攻防世界 reverse 进阶 easyre-153

easyre-153

查壳：

upx壳 

脱壳：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int pipedes[2]; // [esp+18h] [ebp-38h]
  __pid_t v5; // [esp+20h] [ebp-30h]
  int v6; // [esp+24h] [ebp-2Ch]
  char buf; // [esp+2Eh] [ebp-22h]
  unsigned int v8; // [esp+4Ch] [ebp-4h]

  v8 = __readgsdword(0x14u);
  pipe(pipedes);                                // pipe函数可用于创建一个管道，以实现进程间的通信。
                                                // pipe函数的定义如下：
                                                // #include<unistd.h>
                                                // int pipe(int fd[2]);
                                                //         pipe函数定义中的fd参数是一个大小为2的一个数组类型的指针。该函数成功时返回0，并将一对打开的文件描述符值填入fd参数指向的数组。失败时返回 -1并设置errno。
                                                //         通过pipe函数创建的这两个文件描述符 fd[0] 和 fd[1] 分别构成管道的两端，往 fd[1] 写入的数据可以从 fd[0] 读出。并且 fd[1] 一端只能进行写操作，fd[0] 一端只能进行读操作，不能反过来使用。要实现双向数据传输，可以使用两个管道。
  v5 = fork();                                  //     1）在父进程中，fork返回新创建子进程的进程ID；
                                                //     2）在子进程中，fork返回0；
                                                //     3）如果出现错误，fork返回一个负值；
  if ( !v5 )                                    // 等于0，即在子进程中时
  {
    puts("
OMG!!!! I forgot kid's id");
    write(pipedes[1], "69800876143568214356928753", 0x1Du);// 写入
    puts("Ready to exit     ");
    exit(0);
  }
  read(pipedes[0], &buf, 0x1Du);                // 读取
  __isoc99_scanf("%d", &v6);
  if ( v6 == v5 )
  {
    if ( (*(_DWORD *)((_BYTE *)lol + 3) & 0xFF) == 204 )
    {
      puts(":D");
      exit(1);
    }
    printf("
You got the key
 ");             
    lol(&buf);                                  // 生成flag
  }
  wait(0);
  return 0;
}

查看lol(&buf)

int __cdecl lol(_BYTE *a1)
{
  char v2; // [esp+15h] [ebp-13h]
  char v3; // [esp+16h] [ebp-12h]
  char v4; // [esp+17h] [ebp-11h]
  char v5; // [esp+18h] [ebp-10h]
  char v6; // [esp+19h] [ebp-Fh]
  char v7; // [esp+1Ah] [ebp-Eh]
  char v8; // [esp+1Bh] [ebp-Dh]

  v2 = 2 * a1[1];
  v3 = a1[4] + a1[5];
  v4 = a1[8] + a1[9];
  v5 = 2 * a1[12];
  v6 = a1[18] + a1[17];
  v7 = a1[10] + a1[21];
  v8 = a1[9] + a1[25];
  return printf("flag_is_not_here");
}

wp:

a1='69800876143568214356928753'
a1=list(map(ord,a1))
v2 = 2 * a1[1];
v3 = a1[4] + a1[5];
v4 = a1[8] + a1[9];
v5 = 2 * a1[12];
v6 = a1[18] + a1[17];
v7 = a1[10] + a1[21];
v8 = a1[9] + a1[25];

# x=locals().items()
# print(x)
flag=''
for i in range(2,9):
    flag+=chr(locals()['v'+str(i)])
print(flag)

rhelheg

特娘的，提交需要加上RCTF{}

RCTF{rhelheg}