64位,进ida
第一个for循环,输入六个32位字符串,转换成整数,存到v6数组
第二个for循环,函数是把低位和高位分成了两个dword,就是在一个循环中一下处理了两个数据(两个32位数据在64位数组中)
然后看看这个unk_601060,32位对齐,所以里面的数据就是(2,2,3,4)
接下来就是sub_400686这个加密函数
可以看到也是两个数据两个数据处理的,但是这时候我们没有原数据,所以继续往后看
在条件判断的函数中,找到了变换完的数组数据,用z3约束器跑一下
from z3.z3 import *
a0, a1, a2, a3, a4, a5 = Ints('a0 a1 a2 a3 a4 a5')
s = Solver()
s.add(a2 - a3 == 0x84A236FF)
s.add(a3 + a4 == 0xFA6CB703)
s.add(a2 - a4 == 0x42D731A8)
s.add(a0 == 0xDF48EF7E)
s.add(a5 == 0x84F30420)
s.add(a1 == 0x20CAACF4)
if s.check() == sat:
print(s.model())
能得到变换后的数组
a[6] = {3746099070, 550153460, 3774025685, 1548802262, 2652626477, 2230518816}
然后就是把这个变换给逆向过来,写EXP
#include <iostream>
using namespace std;
int main()
{
__int64 a[6] = {3746099070, 550153460, 3774025685, 1548802262, 2652626477, 2230518816};
unsigned int a2[4] = {2, 2, 3, 4};
unsigned int v3, v4;
long long v5;
for (int j = 0; j <= 4; j += 2)
{
v3 = a[j];
v4 = a[j + 1];
v5 = 1166789954LL * 64LL; //不写LL会有警告,不过不影响运行
for (int i = 0; i <= 63; ++i)
{
v4 -= (v3 + v5 + 20) ^ ((v3 << 6) + a2[2]) ^ ((v3 >> 9) + a2[3]) ^ 16;
v3 -= (v4 + v5 + 11) ^ ((v4 << 6) + *a2) ^ ((v4 >> 9) + a2[1]) ^ 32;
v5 -= 1166789954;
}
a[j] = v3;
a[j + 1] = v4;
}
for (int i = 0; i < 6; ++i)
{
cout << hex << a[i];
}
system("pause");
}
得到十六进制字符串666c61677b72655f69735f6772656174217d
用在线工具转换一下得到flag{re_is_great!}
标签:a3,int,32,xxor,add,GWCTF,a2,2019,v4 From: https://www.cnblogs.com/yee-l/p/18310411