title: buu-GUET-CTF2019-re
tags:

  • CTF
  • buu
  • RE
    abbrlink: c9294232
    date: 2021-03-26 19:39:10

初识

拿到题目后先拉入PEiD检测,是64位程序,并且有一个upx壳,用upxshell脱壳后拖入IDA打开进行代码分析

熟悉

脱壳后看函数列表有start函数,打开反编译后发现没有什么内容,应该是假入口,于是更换思路,直接去查看字符串

buu-GUET-CTF2019-re - 图1

找到了关于flag判定的提示,转到correct字符串,然后回溯使用了它的函数(其他字符串也可以)

buu-GUET-CTF2019-re - 图2

很明显这个sub_4009AE所进行的判断就是我们要求的结果,直接回溯上去:

buu-GUET-CTF2019-re - 图3

到这一步就很明显了…z3解方程,直接上python,要注意这里少了一个a[6]

整活

  1. from z3 import *
  2. s = Solver()
  3. a1 = [0]*32
  4. for i in range(32):
  5.     a1[i] = Int('a1['+str(i)+']')
  7. s.add( 1629056 * a1[0] == 166163712 )
  8. s.add( 6771600 * a1[1] == 731332800 )
  9. s.add( 3682944 * a1[2] == 357245568 )
  10. s.add( 10431000 * a1[3] == 1074393000 )
  11. s.add( 3977328 * a1[4] == 489211344 )
  12. s.add( 5138336 * a1[5] == 518971936 )
  13. s.add( 7532250 * a1[7] == 406741500 )
  14. s.add( 5551632 * a1[8] == 294236496 )
  15. s.add( 3409728 * a1[9] == 177305856 )
  16. s.add( 13013670 * a1[10] == 650683500 )
  17. s.add( 6088797 * a1[11] == 298351053 )
  18. s.add( 7884663 * a1[12] == 386348487 )
  19. s.add( 8944053 * a1[13] == 438258597 )
  20. s.add( 5198490 * a1[14] == 249527520 )
  21. s.add( 4544518 * a1[15] == 445362764 )
  22. s.add( 3645600 * a1[17] == 174988800 )
  23. s.add( 10115280 * a1[16] == 981182160 )
  24. s.add( 9667504 * a1[18] == 493042704 )
  25. s.add( 5364450 * a1[19] == 257493600 )
  26. s.add( 13464540 * a1[20] == 767478780 )
  27. s.add( 5488432 * a1[21] == 312840624 )
  28. s.add( 14479500 * a1[22] == 1404511500 )
  29. s.add( 6451830 * a1[23] == 316139670 )
  30. s.add( 6252576 * a1[24] == 619005024 )
  31. s.add( 7763364 * a1[25] == 372641472 )
  32. s.add( 7327320 * a1[26] == 373693320 )
  33. s.add( 8741520 * a1[27] == 498266640 )
  34. s.add( 8871876 * a1[28] == 452465676 )
  35. s.add( 4086720 * a1[29] == 208422720 )
  36. s.add( 9374400 * a1[30] == 515592000 )
  37. s.add(5759124 * a1[31] == 719890500)
  38. s.check()
  39. print(s.model())

解出结果如下

  1. [a1[31] = 125,
  2.  a1[30] = 55,
  3.  a1[29] = 51,
  4.  a1[28] = 51,
  5.  a1[27] = 57,
  6.  a1[26] = 51,
  7.  a1[25] = 48,
  8.  a1[24] = 99,
  9.  a1[23] = 49,
  10.  a1[22] = 97,
  11.  a1[21] = 57,
  12.  a1[20] = 57,
  13.  a1[19] = 48,
  14.  a1[18] = 51,
  15.  a1[16] = 97,
  16.  a1[17] = 48,
  17.  a1[15] = 98,
  18.  a1[14] = 48,
  19.  a1[13] = 49,
  20.  a1[12] = 49,
  21.  a1[11] = 49,
  22.  a1[10] = 50,
  23.  a1[9] = 52,
  24.  a1[8] = 53,
  25.  a1[7] = 54,
  26.  a1[5] = 101,
  27.  a1[4] = 123,
  28.  a1[3] = 103,
  29.  a1[2] = 97,
  30.  a1[1] = 108,
  31.  a1[0] = 102]

接着拿着这些结果继续求出他们所对应的字符输出

  1. a1 = [0]*32
  2. a1[31] = 125
  3. a1[30] = 55
  4. a1[29] = 51
  5. a1[28] = 51
  6. a1[27] = 57
  7. a1[26] = 51
  8. a1[25] = 48
  9. a1[24] = 99
  10. a1[23] = 49
  11. a1[22] = 97
  12. a1[21] = 57
  13. a1[20] = 57
  14. a1[19] = 48
  15. a1[18] = 51
  16. a1[16] = 97
  17. a1[17] = 48
  18. a1[15] = 98
  19. a1[14] = 48
  20. a1[13] = 49
  21. a1[12] = 49
  22. a1[11] = 49
  23. a1[10] = 50
  24. a1[9] = 52
  25. a1[8] = 53
  26. a1[7] = 54
  27. a1[5] = 101
  28. a1[4] = 123
  29. a1[3] = 103
  30. a1[2] = 97
  31. a1[1] = 108
  32. a1[0] = 102
  33. for i in range(32):
  34.     if i == 6:
  35.         print(1)
  36.         continue
  37.     print(chr(a1[i]), end="")

得出最终结果

  1. flag{e1
  2. 65421110ba03099a1c039337}

其中加了1的那一位具体数字是多少目前不清楚,题目里面也没有明确的提示,因此只能爆破,依次尝试,但是很幸运,上手一个1就直接通过了,因此本题得解flag{e165421110ba03099a1c039337}