本文主要是介绍[Zer0pts2020]easy strcmp 分析与加法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
无壳,放入IDA自动跳到main函数
__int64 __fastcall main(int a1, char **a2, char **a3)
{if ( a1 > 1 ){if ( !strcmp(a2[1], "zer0pts{********CENSORED********}") )puts("Correct!");elseputs("Wrong!");}else{printf("Usage: %s <FLAG>\n", *a2);}return 0LL;
}
条件明确,要求我们输入的字符串和如下字符串相同
zer0pts{********CENSORED********}
提交flag发现错误,显然没有那么容易;观察函数列表:
从sub_610到sub_795的一系列函数笔记碍眼,不妨一个个看一下,能够发现sub_6EA有着明显的逻辑:
__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{int i; // [rsp+18h] [rbp-8h]int v4; // [rsp+18h] [rbp-8h]int j; // [rsp+1Ch] [rbp-4h]for ( i = 0; *(_BYTE *)(i + a1); ++i );v4 = (i >> 3) + 1;for ( j = 0; j < v4; ++j )*(_QWORD *)(8 * j + a1) -= qword_201060[j];return qword_201090(a1, a2);
}
但当我试图用IDA查看该函数的交叉引用,会发现提示:
Couldn't find any xrefs!
那这个函数岂不是没有被用到吗?不被执行还需要分析吗?
可以从init函数中找到答案:
void __fastcall init(unsigned int a1, __int64 a2, __int64 a3)
{signed __int64 v4; // rbp__int64 i; // rbxv4 = &off_200DF0 - &funcs_889;init_proc();if ( v4 ){for ( i = 0LL; i != v4; ++i )((void (__fastcall *)(_QWORD, __int64, __int64))*(&funcs_889 + i))(a1, a2, a3);}
}
for循环中调用了一系列的函数,而函数地址从funcs_889开始,跟入便能够发现如下内容:
.init_array:0000000000200DE0 funcs_889 dq offset sub_6E0 ; DATA XREF: LOAD:00000000000000F8↑o
.init_array:0000000000200DE0 ; LOAD:0000000000000210↑o ...
.init_array:0000000000200DE8 dq offset sub_795
分别调用了sub_6E0和sub_795两个函数;上一个倒不值得关注,进入下面的那个看看:
// write access to const memory has been detected, the output may be wrong!
int (**sub_795())(const char *s1, const char *s2)
{int (**result)(const char *, const char *); // raxresult = &strcmp;qword_201090 = (__int64 (__fastcall *)(_QWORD, _QWORD))&strcmp;off_201028 = sub_6EA;return result;
}
可见,off_201028被置为sub_6EA函数地址了
可以看到,off_2010288实际上是strcmp函数的地址,但现在它被替换成了sub_6EA
因此我们执行strcmp函数时实际上是执行sub_6EA函数
__int64 __fastcall sub_6EA(__int64 a1, __int64 a2)
{int i; // [rsp+18h] [rbp-8h]int v4; // [rsp+18h] [rbp-8h]int j; // [rsp+1Ch] [rbp-4h]for ( i = 0; *(_BYTE *)(i + a1); ++i );v4 = (i >> 3) + 1;for ( j = 0; j < v4; ++j )*(_QWORD *)(8 * j + a1) -= qword_201060[j];return qword_201090(a1, a2);
}
逻辑:将字符串每8个比特位减去一个数字
.data:0000000000201060 qword_201060 dq 0, 410A4335494A0942h, 0B0EF2F50BE619F0h, 4F0A3A064A35282Bh
那么解密脚本姑且是能够写出来了
int main()
{char p[] = "zer0pts{********CENSORED********}";uint64 k[4] = { 0, 0x410A4335494A0942, 0x0B0EF2F50BE619F0, 0x4F0A3A064A35282B };for (int i = 0; i < 4; i++){*(uint64*)&(p[i*8]) += k[i];}cout << p;
}
但是,我还是好奇这样一个字符串是如何实现大数加减法的,于是单步跟了进去
以 0x410A4335494A0942 为例,其二进制表达为:
100 0001 0000 1010 0100 0011 0011 0101 0100 1001 0100 1010 0000 1001 0100 0010
因为Intel是小端序的,所以从后面往前读
0100 0010-------> 66(十进制)
而我们的flag变换字符为:
'*' (42)-------->'I' (108)
相差正好为66;因此结果也变得显然了:
字符串大数相加的实现为:将大数做成多个字节,将每个字节与对应的字符串字符相加(指相同字节位对齐相加,多者溢出)
这篇关于[Zer0pts2020]easy strcmp 分析与加法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!