题目信息

xor

解题步骤

DIE分析

MacOS程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
int __fastcall main(int argc, const char **argv, const char **envp)
{
  int i;
  char __b[264]; // 缓冲区,用于存储用户输入

  memset(__b, 0, 0x100u);           // 清零缓冲区(256字节)
  printf("Input your flag:\n");     // 提示输入
  get_line(__b, 256);               // 获取输入(最多256字符)

  if ( strlen(__b) != 33 )
    goto LABEL_7;                   // 长度必须为33(包含末尾的'\0'?不,strlen不包括'\0' → 所以是33个可见字符)

  for ( i = 1; i < 33; ++i )
    __b[i] ^= __b[i - 1];           // 自定义编码:从第1个字符开始,每个字符异或前一个字符

  if ( !strncmp(__b, global, 0x21u) ) // 比较前33字节是否相等(0x21 == 33)
    printf("Success");
  else
LABEL_7:
    printf("Failed");

  return 0;
}

main函数

关键点

  • 输入长度必须是 33 字符
  • 然后进行一个 链式 XOR 变换
1
2
for (i = 1; i < 33; ++i)
    s[i] ^= s[i-1];

  • 这是一种简单的累积加密方式。比如:

    • s[1] = s[1] ^ s[0]
    • s[2] = s[2] ^ s[1] (注意这里的 s[1] 已经被改过了)

    所以这个操作是顺序依赖的

  • 加密后的结果要等于全局变量 global 中的内容(33 字节)。

所以下面要看一下global

aFKWOXZUPFVMDGH (地址: 0x100000F6E )

Shift+E

使用Shift + E快速取出数据

根据之前分析的 _main 函数,程序的工作流程是:

  1. 用户输入33字符的flag
  2. 对输入进行XOR加密: b[i] ^= b[i - 1] (每个字符与前一个字符异或)

  3. 比较加密结果与 _global 指向的数据

    解密思路

    要找到正确的flag,我们需要反向操作:

  4. 从加密数据开始( _global 指向的数据)

  5. 反向应用XOR操作: decrypted[i] = encrypted[i] ^ decrypted[i-1]

解密脚本

1
2
3
4
5
6
7
8
9
10
t = [0x66, 0x0A, 0x6B, 0x0C, 0x77, 0x26, 0x4F, 0x2E, 0x40, 0x11, 
  0x78, 0x0D, 0x5A, 0x3B, 0x55, 0x11, 0x70, 0x19, 0x46, 0x1F, 
  0x76, 0x22, 0x4D, 0x23, 0x44, 0x0E, 0x67, 0x06, 0x68, 0x0F, 
  0x47, 0x32, 0x4F]

s = [t[0]]
for i in range(1, 33):
    s.append(t[i] ^ t[i-1])
flag = ''.join(chr(c) for c in s)
print(flag)

flag{QianQiuWanDai_YiTongJiangHu}