1. 威客安全首页
  2. 安全资讯

​一道逆向的三种解题思路


题目分析

 

1. IDA 打开程序,main 函数反汇编,大概逻辑是输入三次的字符串到 s 中。前两次只可以输入 2 个字符和4 个,第三次输入的是拼接在前两次后面。

 

下面会经过一个判断,通过之后就会将 data 中的数据经过输入异或之后的运算,写入到 flag.jpg 中。

​一道逆向的三种解题思路

  • data

​一道逆向的三种解题思路

 

通过判断,输入的传入到 hash 函数里:

v3 =( v9 == 20 &&hash(s) == 3522040383264150944LL);

hash 函数:

__int64 __fastcall hash(char *a1)
{  
char *v1; // rax  
char *v3; //[rsp+0h] [rbp-18h]  
signed __int64 v4;// [rsp+10h] [rbp-8h]
   
v3 = a1;  
v4 = 5381LL;  
while ( *v3 )  
  {
  v1 = v3++;   
  v4 = 33 * v4 + *v1; 
   }  
 return v4;
 }

第一种思路

所以第一种思路就是逆向这个算法,找到这个原来的字符串,但是我这垃圾逆向功底完全就搞不定这个算法。只能用取巧的方法来做了。

​一道逆向的三种解题思路

  • 这里也可以使用 Z3 来约束求解,但是貌似也跑不出结果。

 

第二种思路

因为已知程序程序输出会错误输出是两个不同的提示,所以可以尝试一下使用 angr 来通过符号执行的方法来解题。

if ( stream ){ 
   ...   
   puts("yougot my secret photo");
   }else{ 
       puts("hakerhaker go away");
       }

 

直接载入,添加 find 路径和 avoid 路径,开始跑。。

​一道逆向的三种解题思路

这里没跑出来,应该是没有限制路径和一些约束条件,但这不妨是一种思路。

​一道逆向的三种解题思路

 

第三种思路

 

因为发现到最后是将输入的 s 在长度值(v9)的偏移和 data 异或,然后输出到 jpg 文件中。因为我们知道最后的结果是 jpg 文件,那么可以通过 JPG 的文件头部特征,和 data 进行异或,就可以得到原始的 s 的值。

​一道逆向的三种解题思路

 

例如,我们知道 jpg 文件头的 magic number 为:FFD8FFE0,和这里的 data 开头:8CB28B95 进行异或,就可以得到前四位为 “sjtu”

​一道逆向的三种解题思路

​一道逆向的三种解题思路

 

以此类推,我们找到一个正常的 jpg 文件,对他的头部 20 个字节和 data 的 20 个字节进行异或就行了,最后得到的 s 的值为:

sjtu93hechangeschina

直接输入就会在当前目录下生成一个 flag.jpg 文件。

​一道逆向的三种解题思路

打开就可以得到最后的 flag。

​一道逆向的三种解题思路

 

 

原文链接:https://www.secpulse.com/archives/116548.html

本站声明:网站内容来源于安全脉搏如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。