Buuctf Simple Rev 题解

这次题解我们来点不一样的，一般我们逆向都用ida，但是之前我找了一个工具 ghidra，这次我打算用这个工具来做这个题目。

先来张截图感受一下吧：

首先不废话，将程序拖进工具。选中main函数，可以看到该工具自动生成的main函数伪代码。

本题解中的部分伪代码变量被我修改过，方便阅读

void main(void)
{
  char cVar1;
  int iVar2;
  do {
    while( true ) {
      printf("Welcome to CTF game!
Please input d/D to start or input q/Q to quit this program: ");
      iVar2 = getchar();
      cVar1 = (char)iVar2;
      if ((cVar1 != 'd') && (cVar1 != 'D')) break;
      Decry();
    }
    if ((cVar1 == 'q') || (cVar1 == 'Q')) {
      Exit();
    }
    else {
      puts("Input fault format!");
      iVar2 = getchar();
      putchar(iVar2);
    }
  } while( true );
}

很显然，Decry()函数就是我们要找到的游戏程序的主体函数，点进去后可以看到一大坨代码。这个时候要冷静读题。

首先这里有几个全局变量，我们可以找到这几个变量的值是

key3 = "kills";
key1 = "ADSFK";

然后就是一些拼接的操作。注意了，因为数字的高位存在内存较高的位置，如果要将一串数字看成一个字符数组的话，顺序要颠倒过来。具体的可以看我的上一篇博客

https://www.cnblogs.com/Node-Sans-Blog/p/14285636.html

接下来我们可以得到

text = "killshadow";
key = "ADSFKNDCLS";

然后就是一段对输入加密的程序

  while( true ) {
    iVar1 = getchar();
    inputChar = (char)iVar1;
    if (inputChar == '
') break;
    if (inputChar == ' ') {
      index = index + 1;
    }
    else {
      if ((inputChar < 'a') || ('z' < inputChar)) {
        if (('@' < inputChar) && (inputChar < '[')) {
          iVar1 = ((int)inputChar - (int)(char)key[j % len]) + 0x3a;
          result[index] = (char)iVar1 + (char)(iVar1 / 0x1a) * -0x1a + 'a';
          j = j + 1;
        }
      }
      else {
        iVar1 = ((int)inputChar - (int)(char)key[j % len]) + 0x3a;
        result[index] = (char)iVar1 + (char)(iVar1 / 0x1a) * -0x1a + 'a';
        j = j + 1;
      }
      if (j % len == 0) {
                    /* 输出空格 */
        putchar(0x20);
      }
      index = index + 1;
    }
  }

仔细阅读的话，不难发现这里是字符数组一位一位加密的，每一位加密后的结果之间没有联系，所以可以写脚本逐位爆破，时间复杂度也足够承受。

对了这里加密的几个表达式中，有一个表达式是

result[index] = (char)iVar1 + (char)(iVar1 / 0x1a) * -0x1a + 'a';

这里仔细看一下的话可以发现是 iVar1 % 26 + 'a' 的意思。毕竟 mod 运算可以看成是一个被除数减去能减的最多个数的除数得到的结果。（有点绕自己慢点理解下吧）

脚本：

#include <iostream>

using std::cout;
using std::endl;

int main() {
  char target[] = "killshadow";
  char key[] = "adsfkndcls";
  char t;
  for (int i = 0; i < 10; ++i) {
    for (char j = 0; j < 127; ++j) {
      if (j >= 'a' && j <= 'z' || j >= 'A' && j <= 'Z') {
        t = j - key[i] + 0x3a;
        t = t % 26 + (int)'a';
        if (t == target[i]) {
          putchar(j);
          break; 
        }
      }
    }
  }
  putchar('
');
  return 0;
}

当然，这道题还是有点缺陷的，比如说如果输入是小写的话，可以有多解，并且给的样例程序无法运行。