IDA

好久没写博客了，最近在刷re，这道题是我觉得十分有意义的一道题。故AC后总结分享给大家。不足之处请指正。

分析

直接导入IDA shift +F12

双击后按 ctrl + x跳转到被调用的函数中，按F5反编译，源代码如下

int func()
{int result; // eaxint v1[4]; // [esp+14h] [ebp-44h]unsigned __int8 v2; // [esp+24h] [ebp-34h] BYREFunsigned __int8 v3; // [esp+25h] [ebp-33h]unsigned __int8 v4; // [esp+26h] [ebp-32h]unsigned __int8 v5; // [esp+27h] [ebp-31h]unsigned __int8 v6; // [esp+28h] [ebp-30h]int v7; // [esp+29h] [ebp-2Fh]int v8; // [esp+2Dh] [ebp-2Bh]int v9; // [esp+31h] [ebp-27h]int v10; // [esp+35h] [ebp-23h]unsigned __int8 v11; // [esp+39h] [ebp-1Fh]char v12[29]; // [esp+3Bh] [ebp-1Dh] BYREFstrcpy(v12, "Qsw3sj_lz4_Ujw@l");printf("Please input:");scanf("%s", &v2);result = v2;if ( v2 == 65 ){result = v3;if ( v3 == 67 ){result = v4;if ( v4 == 84 ){result = v5;if ( v5 == 70 ){result = v6;if ( v6 == 123 ){result = v11;if ( v11 == 125 ){v1[0] = v7;v1[1] = v8;v1[2] = v9;v1[3] = v10;*(_DWORD *)&v12[17] = 0;while ( *(int *)&v12[17] <= 15 ){if ( *((char *)v1 + *(_DWORD *)&v12[17]) > 64 && *((char *)v1 + *(_DWORD *)&v12[17]) <= 90 )*((_BYTE *)v1 + *(_DWORD *)&v12[17]) = (*((char *)v1 + *(_DWORD *)&v12[17]) - 51) % 26 + 65;if ( *((char *)v1 + *(_DWORD *)&v12[17]) > 96 && *((char *)v1 + *(_DWORD *)&v12[17]) <= 122 )*((_BYTE *)v1 + *(_DWORD *)&v12[17]) = (*((char *)v1 + *(_DWORD *)&v12[17]) - 79) % 26 + 97;++*(_DWORD *)&v12[17];}*(_DWORD *)&v12[17] = 0;while ( *(int *)&v12[17] <= 15 ){result = (unsigned __int8)v12[*(_DWORD *)&v12[17]];if ( *((_BYTE *)v1 + *(_DWORD *)&v12[17]) != (_BYTE)result )return result;++*(_DWORD *)&v12[17];}result = printf("You are correct!");}}}}}}return result;
}

看着眼花，慢慢来讲
int8的v2-v6本质上就是字符，因为int8就是一个字节和char长度相等，
int32才是我们常说的四个字节
v2-v6和v11其实就是 ACTF{},中间的字符才是关键，也就是v7 v8 v9 v10这四个int32的变量，也就是4*4=16 个ascii字符
v7-v10赋值给了v1[0-3],后面其实就是v1和v12之间的比较，但是这个*((char *) 等指针看的眼花缭乱，下面慢慢理。

记住以下几点：
*((char *) 一个字节
*((_BYTE *) 一个字节
*(_DWORD *) 四个字节 相当于int32

我们分别看看 v1 和 v12的内存视图
v1 : 00 00 00 00 | 00 00 00 00 | 00 00 00 00 | 00 00 00 00
v12 : Qsw3sj_lz4_Ujw@l 0 | 0000 0000 0000
先看v1因为 int v1[4]，所以v1有4个int32，分开来看，一个00代表了1字节数据(4个字节正好 1 int)
v1数组可以存4个int32位的整型，也可以看作4*4=16 个ascii字符。把如上反编译代码简化以下得到

int func()
{int result; // eaxint v1[4]; // [esp+14h] [ebp-44h]unsigned __int8 v2; // [esp+24h] [ebp-34h] BYREFunsigned __int8 v3; // [esp+25h] [ebp-33h]unsigned __int8 v4; // [esp+26h] [ebp-32h]unsigned __int8 v5; // [esp+27h] [ebp-31h]unsigned __int8 v6; // [esp+28h] [ebp-30h]int v7; // [esp+29h] [ebp-2Fh]int v8; // [esp+2Dh] [ebp-2Bh]int v9; // [esp+31h] [ebp-27h]int v10; // [esp+35h] [ebp-23h]unsigned __int8 v11; // [esp+39h] [ebp-1Fh]char v12[29]; // [esp+3Bh] [ebp-1Dh] BYREFstrcpy(v12, "Qsw3sj_lz4_Ujw@l");printf("Please input:");scanf("%s", &v2);result = v2;if ( v2 == 65 ){result = v3;if ( v3 == 67 ){result = v4;if ( v4 == 84 ){result = v5;if ( v5 == 70 ){result = v6;if ( v6 == 123 ){result = v11;if ( v11 == 125 ){v1[0] = v7;v1[1] = v8;v1[2] = v9;v1[3] = v10;point = 0; // \*(&v12+17) int point//char v12[29] = "Qsw3sj_lz4_Ujw@l";while ( point <= 15 ){if ( *((char *)v1 + point) > 65 && *((char *)v1 + point) <= 90 )*((_BYTE *)v1 + point) = (*((char *)v1 + point) - 51) % 26 + 65;/*如果为大写字母a = (a - 51) % 26 + 65*/if ( *((char *)v1 + point) > 96 && *((char *)v1 + point) <= 122 )*((_BYTE *)v1 + point) = (*((char *)v1 + point) - 79) % 26 + 97;/*如果为小写字母a = (a - 79) % 26 + 97*/++point;}point = 0;while ( point <= 15 ){result = (unsigned __int8)v12[point];if ( *((_BYTE *)v1 + point) != (_BYTE)result )return result;++point;}result = printf("You are correct!");
}

说明一：题目把v12后面没有用到的空间作为一个int整型存数字(虽然不够4个字节？这部分不是很懂，但不影响做题)即上面加粗的部分。

说明二：v1明明是一个int类型的数组，但是题目却使用了char类型指针，说明其实v1数字存放的是ascii字符。我们就应该把v1的内存分开来看，所以我在上面分开了。正好v12字符串的长度和v1的长度相等，v1其实就是我们要找的flag{}中间的那16个未知字符。每一个00 对应了一个字母。

说明三：*(_DWORD *)&v12[17]可以把他看成一个int整型的point，就是计算地址用的，就像数组中a[114]或者*a+114 这个形式

说明四：_BYTE就是char，无需在意。为什么留着这个没有简化？是因为让读者知道这时的v1不能简单地看作int类型数组。

说明五：point 从0到15长度为16，正好与v12字符串长度相等，也和我们flag长度相等。

解题

由简化后的代码可知：输入的字符经过了变换 -> 大小写字母有一个位移变换，其他字符不变。
那么我们把密码本反向构造好flag就直接出来了。

#[ACTF新生赛2020]rome1
# Author me 2023.6.6 22:03
dic = {}
'''
分别构造大小写密码本
'''
for key in range(65,90+1):value = ( key - 51) % 26 + 65dic[chr(value)] = chr(key)for key in range(97,122+1):value = ( key - 79) % 26 + 97dic[chr(value)] = chr(key)s = 'Qsw3sj_lz4_Ujw@l'
ans = ""
for i in s:if i in dic: # 是字母直接转换ans += dic[i]else:        # 不是字母的照旧ans += i
print(ans) # Cae3ar_th4_Gre@t
# 加上ACTF{}就得到 You are correct!