Bugku_逆向_Love

https://ctf.bugku.com/challenges#love

下載文件后運(yùn)行一下看看

隨便輸入個(gè)123看看

解題思路：
很常見的程序流程，就是輸入字符串與程序里的字符串對(duì)比，來(lái)輸出結(jié)果，這時(shí)候我們有兩種選擇。
1.寫個(gè)腳本來(lái)爆破。這是沒(méi)有辦法的辦法，效率極低且不可靠，在某些情況下是唯一的辦法，但在這道題沒(méi)有必要，所以舍棄。
2.使用軟件來(lái)調(diào)試程序代碼，或直接反編譯程序獲得源碼，在這里我用OllyDbg來(lái)調(diào)試程序。
解題流程：
拿到文件先來(lái)查殼

無(wú)殼，就是普通的c++編譯的文件，使用OllyDbg打開文件

沒(méi)有什么頭緒，右鍵選擇 中文搜索引擎->3.智能搜索

其中有幾條很眼熟

這不就是我們輸入字符串后提示的字符串嗎，點(diǎn)進(jìn)去看看

可以看到1035840處有一個(gè)跳轉(zhuǎn)，根據(jù)1035842壓棧的字符串來(lái)推斷，1035847調(diào)用的函數(shù)是類似于printf的函數(shù)，也就是說(shuō)1035840處的跳轉(zhuǎn)決定了輸出的是”wrong flag”還是”right flag”，我們繼續(xù)向上看，尋找是什么控制關(guān)鍵跳轉(zhuǎn)的執(zhí)行。很明顯，在103582e處調(diào)用了strncmp函數(shù),而在其上，壓入了一個(gè)奇怪的字符串進(jìn)棧，根據(jù)開頭猜的程序功能，要么，這就是程序想要我們輸入的字符串。要么，是把我們輸入的字符串加密后對(duì)比的字符串。而strncmp的結(jié)果就決定了關(guān)鍵跳轉(zhuǎn)的執(zhí)行與否。我們?cè)趕trncmp處下一個(gè)斷點(diǎn)，運(yùn)行程序，輸入1234567890。

對(duì)比棧里的數(shù)據(jù)可以得出，ecx中存儲(chǔ)的是我們輸入的字符串加密后的字符串，eax中存儲(chǔ)著要對(duì)比多少個(gè)字符，那我們繼續(xù)向上翻，找找是什么把我們輸入的字符串(即ecx)加密。

在其上不遠(yuǎn)，我們就發(fā)現(xiàn)了一段很可疑的代碼，我們?cè)?0357d0處下一個(gè)斷點(diǎn)，重新運(yùn)行程序，再次輸入1234567890

運(yùn)行到斷點(diǎn)后，查看ebp-0xac附近的內(nèi)存空間，發(fā)現(xiàn)了一段base64代碼

也就是我們輸入的字符串

分析這段加密代碼

然后通過(guò)這段匯編代碼和被對(duì)比字符串 “e3nifIH9b_C@n@dH” 來(lái)構(gòu)造python腳本

得到flag

End