![攻防世界WP[no-strings-attached]](http://www.mshxw.com/aiimages/31/430060.png "攻防世界WP[no-strings-attached]")
- 一
- 二
- 三
- 四
- 五
第一次写WP,做了一道感觉对自己来说有提升的一道题: 一
首先将下发的文件查壳,发现是32位的程序,于是用32位的IDA打开
找到main函数,按F5查看伪代码:
int __cdecl main(int argc, const char **argv, const char **envp)
{
setlocale(6, &locale);
banner();
prompt_authentication();
authenticate();
return 0;
}
二
发现可疑函数authenticate() ;
于是跟进得到代码:
void authenticate()
{
wchar_t ws[8192]; // [sp+1Ch] [bp-800Ch]@1
wchar_t *s2; // [sp+801Ch] [bp-Ch]@1
s2 = (wchar_t *)decrypt(&s, &dword_8048A90);
if ( fgetws(ws, 0x2000, stdin) )
{
ws[wcslen(ws) - 1] = 0;
if ( !wcscmp(ws, s2) )
wprintf(&unk_8048B44);
else
wprintf(&unk_8048BA4);
}
free(s2);
}
在查看完变量&unk_8048B44和&unk_8048BA4后,发现分别为success和fail。再根据if条件中的cmp函数确定为关键函数.。
即将两个字符串进行加密后于flag进行对比。
于是跟进加密函数decrypt
三加密函数代码:
wchar_t *__cdecl decrypt(wchar_t *s, wchar_t *a2)
{
size_t v2; // eax@1
signed __int32 v4; // [sp+1Ch] [bp-1Ch]@0
signed __int32 i; // [sp+20h] [bp-18h]@2
signed __int32 v6; // [sp+24h] [bp-14h]@1
signed __int32 v7; // [sp+28h] [bp-10h]@1
wchar_t *dest; // [sp+2Ch] [bp-Ch]@1
v6 = wcslen(s);
v7 = wcslen(a2);
v2 = wcslen(s);
dest = (wchar_t *)malloc(v2 + 1);
wcscpy(dest, s);
while ( v4 < v6 )
{
for ( i = 0; i < v7 && v4 < v6; ++i )
dest[v4++] -= a2[i];
}
return dest;
}
阅读代码:
先将字符串s赋值给dest ;再将dest函数的每一位减上对应的a的值,又由两重循环看出,a字符串比dest字符串短,所以需要循环减。
根据提示运行就能得到flag,所以flag就为s-a ;
双击s变量和a变量,再全选+shift+E,就可有得到两个变量的值:
由此写出C语言代码计算出flag:
int main()
{
int x=0 ;
int i=0,j=0 ;
while(i<152)
{
x=s[i++]-a[j++%20] ;
if(x>32)
printf("%c",x) ;
}
return 0 ;
}
