疫情当下,都已经耍了半个月了,都不知道干啥了,无聊中,那就写了Reverse解题记录吧。
maze
代码语言:javascript复制根据题目描述可知这是一道迷宫题。用IDA64打开,F5将主函数main反编译成C伪代码:
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
signed __int64 v3; // rbx
signed int v4; // eax
bool v5; // bp
bool v6; // al
const char *v7; // rdi
__int64 v9; // [rsp 0h] [rbp-28h]
v9 = 0LL;
puts("Input flag:");
scanf("%s", &s1, 0LL);
if ( strlen(&s1) != 24 || strncmp(&s1, "nctf{", 5uLL) || *(&byte_6010BF 24) != '}' )
{ // flag长度为24 并且由nctf{}包裹
LABEL_22:
puts("Wrong flag!");
exit(-1);
}
v3 = 5LL;
if ( strlen(&s1) - 1 > 5 )
{
while ( 1 )
{
v4 = *(&s1 v3); // 从flag花括号内的第一个字符开始比对
v5 = 0;
if ( v4 > 'N' )
{
v4 = (unsigned __int8)v4;
if ( (unsigned __int8)v4 == 'O' )
{
v6 = sub_400650((_DWORD *)&v9 1);
goto LABEL_14;
}
if ( v4 == 'o' )
{
v6 = sub_400660((int *)&v9 1);
goto LABEL_14;
}
}
else
{
v4 = (unsigned __int8)v4;
if ( (unsigned __int8)v4 == '.' )
{
v6 = sub_400670(&v9);
goto LABEL_14;
}
if ( v4 == '0' )
{
v6 = sub_400680((int *)&v9);
LABEL_14:
v5 = v6;
goto LABEL_15;
}
}
LABEL_15:
if ( !(unsigned __int8)sub_400690((__int64)asc_601060, SHIDWORD(v9), v9) ) // 检测是否发生碰撞 只有' '和'#'是可行走的
goto LABEL_22;
if ( v3 >= strlen(&s1) - 1 )
{
if ( v5 )
break;
LABEL_20:
v7 = "Wrong flag!";
goto LABEL_21;
}
}
}
if ( asc_601060[8 * (signed int)v9 SHIDWORD(v9)] != '#' ) //循环结束判断 是否到达迷宫终点'#'
goto LABEL_20;
v7 = "Congratulations!";
LABEL_21:
puts(v7);
return 0LL;
}
代码语言:javascript复制其中 SHIDWORD(v9)即 &v9 1 ,迷宫字符串asc_601060[]如下,长度为64:
******* * **** * **** * *** *# *** *** *** *********
代码语言:javascript复制根据以下代码能够判断出 &v9 为纵坐标(所在行), &v9 1为横坐标(所在列),迷宫是8*8规格的。
if ( asc_601060[8 * (signed int)v9 SHIDWORD(v9)] != '#' ) //判断是否到达迷宫终点'#'
代码语言:javascript复制其中逻辑为:
当前位置 = 8(迷宫横长) * 当前纵坐标(所在行) 当前纵坐标(所在列)
代码语言:javascript复制其中横纵坐标由0开始算。又根据伪代码中四个 if判断中的函数判断移动四个方向:
bool __fastcall sub_400650(_DWORD *a1) // a1为 &v9 1(横坐标)
{ // v4 = 'O'
int v1;
v1 = (*a1)--; // 横坐标-1 向左移动
return v1 > 0; // 是否超出边界
}
bool __fastcall sub_400660(int *a1) // a1为 &v9 1
{ // v4 = 'o'
int v1;
v1 = *a1 1; // 横坐标 1 向右移动
*a1 = v1;
return v1 < 8;
}
bool __fastcall sub_400670(_DWORD *a1) // a1为 v9(纵坐标)
{ // v4 = '.'
int v1;
v1 = (*a1)--; // 纵坐标-1 向上移动
return v1 > 0; // 超界判断
}
bool __fastcall sub_400680(int *a1) // a1为 v9
{
int v1; // v4 = '0'
v1 = *a1 1; // 纵坐标 1 向下移动
*a1 = v1;
return v1 < 8;
}
代码语言:javascript复制将迷宫字符串以8*8格式打印出来(起点在左上角,终点为#)
******
* * *
*** * **
** * **
* *# *
** *** *
** *
********
走出迷宫方式为:右下右右下下左下下下右右右右上上左左 对应flag字符串:o0oo00O000oooo…OO 字符串长度刚好也对应为程序开头的判断(18 6=24) 在Linux虚拟机内运行验证也正确。