re -24 buuctf [GXYCTF2019]simple CPP
作者:互联网
[GXYCTF2019]simple CPP
前话:遇到复杂的代码别慌,开着动态调试,编写注释便往下步过,总会结束
hint:flag中间有一段乱码,因为构建的Z3表达式有多组解,乱码应为e!P0or_a
ida打开,代码很长
在此之上的代码,就是输入的字符串与一组字符串异或后,每8个字节一赋值给4个变量v16,v15,v14,v13。
将这一步每个式子都用变量v16,v15,v14,v13构建等式。最终会得到5个等式。
s.add((v14 & ~v16) == 0x11204161012)
s.add((v14 & (~v15)) & v16 | v14 & ((v15 & v16) | v15 & ~v16 | ~(v15 | v16)) == 0x8020717153E3013)
s.add((((v14 & ~v16) |(v15 & v16) | (v14 & (~v15)) | (v16 & (~v15))) ^ v13) == 0x3E3A4717050F791F)
s.add(((v14 & ~v16) | (v15 & v16) | v15 & v14) == (~v16 & v14 | 0xC00020130082C0C) )
s.add((((v14 & ~v16) |(v15 & v16) | (v14 & (~v15)) | (v16 & (~v15)) == 0x3E3A4717373E7F1F)))
写脚本跑出四个变量的值
from z3 import *
v14,v15,v16,v13=BitVecs('v14 v15 v16 v17',64)
s=Solver()
s.add((v14 & ~v16) == 0x11204161012)
s.add((v14 & (~v15)) & v16 | v14 & ((v15 & v16) | v15 & ~v16 | ~(v15 | v16)) == 0x8020717153E3013)
s.add((((v14 & ~v16) |(v15 & v16) | (v14 & (~v15)) | (v16 & (~v15))) ^ v13) == 0x3E3A4717050F791F)
s.add(((v14 & ~v16) | (v15 & v16) | v15 & v14) == (~v16 & v14 | 0xC00020130082C0C) )
s.add((((v14 & ~v16) |(v15 & v16) | (v14 & (~v15)) | (v16 & (~v15)) == 0x3E3A4717373E7F1F)))
s.check()
m = s.model()
for i in m:
print("%s = 0x%x"%(i,m[i].as_long()))
如此就已经拿出该步异或后得到的字符串
下一步寻找qword_140006048内容
通过交叉引用发现
得到i_will_check_is_debug_or_not
编写解密脚本
b = 'i_will_check_is_debug_or_not'
a = [0x3E,0x3A,0x46,0x05,0x33,0x28,0x6F,0x0D,0x8C,0x00,0x8A,0x09,0x78,0x49,0x2C,0xAC,0x08,0x02,0x07,0x17,0x15,0x3E,0x30,0x13,0x32,0x31,0x06]
flag = ''
for i in range(len(a)):
flag += chr(a[i] ^ ord(b[i]))
print(flag)
得到
将中间一节乱码替换为e!P0or_a即得到flag
标签:24,buuctf,simple,v13,v16,flag,v14,v15,add 来源: https://blog.csdn.net/weixin_45847059/article/details/121664222