• 网鼎杯2020白虎组部分WriteUp


    • 部分题目:链接:https://pan.baidu.com/s/1_8iThteUQKj2jBg95nkzEQ 
    • 提取码:inrl

    hidden

    检测图片发现图片中包含隐藏的zip文件,然后将zip文件分离,如图:

    解压发现需要输入密码,然后使用john进行枚举密码,然后解压得到另一个图片,如图:

    查看图片发现是二维码的一半,如图:

    查看图片详细信息发现图片大小是133*67,对应十六进制85*43,将图片重命名为1.txt,使用sublime_text修改图片高度对应的值43为85,如图:

    然后保存为png文件,打开之后显示完整的二维码,扫描二维码获得flag,如图:

    hero

     使用file查看发现是64位执行程序,然后首先运行程序,发现有三个选项:

    1. battle with slime.
    2. battle with boss.
    3. go to the shop.

    简单尝试发现slime的战斗力并不是固定的,如图:

    使用IDA静态分析,查看main函数发现存在outflag函数,如图:

    但是题目说不能通过batch获得flag,会影响flag值的准确性,暂时放弃直接执行outflag获取flag,查看outflag函数伪代码,如图:

    发现程序会输出拼接的flag信息。main函数开始会调用init函数,因此查看init函数伪代码,发现flag4、unief、bossexit和coin变量的值,如图:

    结合main函数分析,eff=unief=100,bossexit=3,因此程序会进入while循环,并调用函数dround(v3++),然后查看dround函数伪代码,如图:

    这便是刚刚运行程序的初始信息,v2变量为输入的数字,选项1,2,3分别对应slime、boss和store函数,继续分析slime函数,发现v2的值是36到164之间的随机数,且只有当eff大于或等于v2时才会获得一个coin,如图:

    接着分析boss函数,发现程序首先会判断bossexit的值,然后判断eff的值,当eff大于1000000时返回函数decrypt1的执行结果,当eff大于3000000时返回函数decrypt2的执行结果,当eff大于5000000时返回函数decrypt3的执行结果,根据提示这三个函数应该就是生成的flag的函数,如图:

    然而eff的值只有100,显然不能获得flag。然后查看decrypt1函数,发现调用des函数,并将结果按格式复制到变量flag1,如图:

    查看des函数应该是数据解密,发现没涉及到变量eff,然后查看decrypt2函数,也没有涉及到eff变量,如图:

    查看decrypt3函数,发现涉及到变量unief,如图:

    因此也不能通过修改unief的值大于5000000来获得flag。既然不能通过修改unief的值来获取flag,那就修改和eff比较的值小于eff,从而达到获取flag的目的,如图:

    使用Edit-->Patch program-->Change bytes修改3000000的值(十六进制位0x2dc6c0)为0,修改5000000和1000000的值也为0,然后使用Edit-->Patch program-->Apply patches to input file应用修改,然后运行程序获得flag,如图:

    但是获得的flag貌似还是不正确。

    感谢评论区qq_26143017提供的新方法——整数溢出。

    查看store函数伪代码发现程序使用scanf输入数字到v1变量,然后强制转换v1的数据类型为int型并与0比较,如果大于0就将coin - 2×v1的值赋值给v2,如图:

    而int型能表示的十进制数据范围是-2147483648~2147483647,因此当v2 > 2147483647会造成整数溢出,v2会成为负数,所以当v2 mod 2147483648 ≤ 2147483647时,可以执行充值硬币和攻击力,即(5-2×v1) mod 2147483648 ≤ 2147483647,即当v1 mod 2147483648 ≥ 1073741827时可执行eff += v1,coin += v2。但是v1也不能太大,当eff + v1 > 2147483647时同样会造成溢出,导致eff成为负数,因此当(eff + v1) mod 2147483648 ≤ 2147483647时才可以使eff > 0,即v1 mod 2147483648 ≤ 2147483547时eff > 0,如图:

    然后battle with boss三次即可,如图:

    还有大佬给思路说强制调用decrypt函数然后将flag拼接即可,但目前还没搞定。

  • 相关阅读:
    LeetCode题解之Leaf-Similar Trees
    LeetCode题解之 Increasing Order Search Tree
    建立git仓库的步骤
    Jquery-1(基础)
    JavaScript-12(脚本化CSS)
    JavaScript-11(DOM文档对象模型)
    JavaScript-10(JavaScript事件)
    JavaScript-实现下拉菜单
    JavaScript-9(BOM浏览器对象模型)
    JavaScript-字符与编码转换
  • 原文地址:https://www.cnblogs.com/hzcya1995/p/13302348.html
Copyright © 2020-2023  润新知