ctf逆向解题——Bomb二进制炸弹

Bomb

Phase1

在输入阶段将由文件输入的字符存储在input中,在phase1,该阶段将原字符串存储到rdi中,调用pases_1函数进行字符串比较。

image

进入phase1函数,该函数将原字符串rdi与预先设定的字符串“Border relations with Canada
have never been better.”(存储在rsi中)进行比较,用于比较的函数是strings_not_equal,若两字符串相同,进入下一阶段。


image

Phase2

第二阶段首先分析需要输入的数据格式为'%d %d %d %d %d %d',六个数字以空格隔开的数字。

image

输入的数据被存储在栈上,每次向左移4位可以取出相应数字。

image

比较过程:
首先比较第一个数字,如果是1则进入后续步骤。
接着使用(rsp+4)取得第二个数字并放入rbx。将rbp设置为循环是否结束的标志位,其值为(rsp+18h),每一位数字的存储占用4bit,4*6=24=18h。
接下来进行2~6位数字的比较,先将前一个数字取出放入eax中,把eax翻倍,比较此时eax与rbx 的值,若相等则进行下一个数的比较。可以看出之后的每个数字都是前一个数字的两倍。
Phase2的字符串是“1 2 4 8 16 32”.

Phase3

首先分析sscanf()函数可以得到输入数据应为“%d %d”。


image

输入的两个数字分别被存储到rsp+8与rsp+12中。
将输入的第一个数字与7进行无符号比较,如果第一个数字小于7则进入下一步。


image

接下来是一个switch-case语句,根据第一个数字的值可以得到第二个数字值,此处共有7种组合,我们选择“7 326”进入下一阶段。


image

Phase4

该阶段首先也是接收两个数字输入,存储方式与上述相同。
第一个数字需要小于0xe。


image

满足该条件时,将edx=0xe,esi=0,edi=第一个数字,这三个变量作为func4的参数调用func4。


image

观察phase4的剩余部分,在func4结束后,对其返回结果eax的值进行判断,如果eax不等于0则程序爆炸;如果eax等于0,此时还需要输入的第二个数字也等于0,则可以通过phase4.


image

所以在phase4中需要使得返回结果eax为0.观察func4中的代码,该函数接收3个参数,也就是上文提到的edx=0xe,esi=0,edi=第一个数字。我们假设edi为变量x,esi为y,edx为z,eax为t,ecx为k,可以将func化简为以下c代码:

void func4(int x, int y, int z) {
    int t = z - y;
    int k = t >> 31;
    t = (t + k) >> 1;
    k = t + y;
    if(k <= x) {
        t = 0;
        if(k >= x) {
            return;
        }else {
            y = k + 1;
            func4(x, y, z);
        }
    }else {
        z = k - 1;
        func4(x, y, z);
       }
}

如果要使得返回值t为0,需要满足k==x,通过带入x、y、z计算可以得到k=x=7,即第一个数为7,第二个数为0.

Phase5

首先确定该阶段需要需要6个字符


image

该程序将eax作为计数器,在每一次循环后加1,控制程序循环6次。在每一次循环中,程序取出我们输入的一个字符,将该字符与0xf进行与运算,得到的结果作为数组array_3499的偏移,用该数组中的字符替换原字符串。


image

在完成对字符串的处理后,程序将处理后的字符串与“flyers”进行比较,如果两字符串相同则成功通过该阶段。


image

由上述过程,我们可以得到“flyers”字符在原数组中的索引为[9, 15, 14, 5, 6, 7],也就是我们输入的ASCII字符与0xf进行与运算后应该得到的结果,所以可在从'a'~'z'这26个字母中,寻找符合对应条件的字母。最后得到的结果不唯一。
(i,y),(o),n,(e,u),(f,v),(g,w)

array = ['a', 'd', 'u', 'i', 'e', 'r', 's', 'n', 'f', 'o', 't', 'v', 'b', 'y', 'l']

for i in range(0,len(array)):
    d[array[i]]=i+1
'''
d={'a': 1,
 'b': 13,
 'd': 2,
 'e': 5,
 'f': 9,
 'i': 4,
 'l': 15,
 'n': 8,
 'o': 10,
 'r': 6,
 's': 7,
 't': 11,
 'u': 3,
 'v': 12,
 'y': 14}
'''

s = []
for i in 'flyers':
    s.append(d[i])

for i in s:
    for j in range(ord('a'),ord('z')+1):
        if j & 0xf == i:
            print(chr(j))
    print("-"*10)

Phase 6

Phases接收6个数字输入,使用的函数同样是read_six-numbers。

Part 1

在接收输入后,首先判断输入的六个数字都小于6且不重复。程序逻辑为:

  • 1 取出第一个数,在数组中索引为i,判断其需要小于6,再用该数字与之后的6-i个数字进行比较,判断其与另外6-i个数字都不重复。
  • 2 取出下一个数,重复上述操作,直到6个数都满足条件。
对于输入的6个数字(索引为i):
    取出其中一个数:
        如果该数字小于6:
            对于剩余6-i个数字:
                如果剩余6-i个数字与该数字都不相等:
                    取出下一个数
                explode_bomb()#数字有重复时
        explode_bomb()#数字大于6时

代码解释如下:


image

Part 2

第二部分完成的操作是,用7减去数组中的每一个数字,将得到结果结果存储在数组原位置上。

image

Part3

该部分完成的功能是,根据我们输入的数组,对结构体数组重新排序。按照我们输入的数字的大小1,如果我们输入的5 2 4 3 1 6,那么node5会被存储在第一个位置,node2会被存储在第二个位1置……

第三部分中用到了6个预先定义的结构体node,一个node结构体如下

node{
value1;
value2;
*next;指向下一个node
}
image

代码解释如下:


image

Part4

image

Part5

Part5是判断最后得到的结构体数组是否为递减数组。如果要得到最后的结果,根据原结构体数组可以得到顺序[3, 4, 5, 6, 1, 2],考虑到part2中进行了减法操作,最后的序列是[4, 3, 2, 1, 6, 5]。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,444评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,421评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,363评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,460评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,502评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,511评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,280评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,736评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,014评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,190评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,848评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,531评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,159评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,411评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,067评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,078评论 2 352

推荐阅读更多精彩内容