[BUUCTF]Reverse——[2019红帽杯]childRE（C/C++函数名修饰）

[2019红帽杯]childRE

1. 例行检查&＃xff0c;64位程序&＃xff0c;c&＃43;&＃43;写的&＃xff0c;无壳儿
   
2. 试运行程序没有得到有用的提示&＃xff0c;检索字符串看到有关flag的提示信息&＃xff0c;跟进来到关键函数
   
3. 截取关键部分代码分析
   
   循环遍历去取outputString字符串中的字符&＃xff0c;然后分别对23取余和除数&＃xff0c;做为下标&＃xff0c;分别在str3中找到对应位置&＃xff0c;而且还必须与str1和str2对应位置的值相等

先来逆算一下outputstring中的字符串

str3 &＃61; &＃39;1234567890-&＃61;!&＃64;#$%^&*()_&＃43;qwertyuiop[]QWERTYUIOP{}asdfghjkl;\&＃39;ASDFGHJKL:"ZXCVBNM<>?zxcvbnm,./&＃39;
str2 &＃61; &＃39;55565653255552225565565555243466334653663544426565555525555222&＃39;
str1 &＃61; &＃39;(_&＃64;4620!08!6_0*0442!&＃64;186%%0&＃64;3&＃61;66!!974*3234&＃61;&0^3&1&＃64;&＃61;&0908!6_0*&&＃39;
ops &＃61; &＃39;&＃39;
for i in range(len(str1)):index1 &＃61; str3.index(str2[i])index2 &＃61; str3.index(str1[i])ops &＃43;&＃61; chr(index1 * 23 &＃43; index2)print(ops)
#outputstring&＃61;private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)


但是这个好像不是flag&＃xff0c;继续看程序

4. 然后关于outputString进行函数名修饰&＃xff0c;这里给一个大佬的思路&＃xff0c;C&＃43;&＃43;代码&＃xff0c;运行就能得到修饰结果。这样就拿到了正确的v5.

#include
using namespace std;class ROPxx {
public:ROPxx(){unsigned char a;My_Aut0_PWN(&a);}private:char My_Aut0_PWN(unsigned char*) {printf("%s", __FUNCDNAME__);return &＃39;0&＃39;;}
};
int main() {new ROPxx();getchar();return 0;
}


v5&＃61; ?My_Aut0_PWN&＃64;R0Pxx&＃64;&＃64;AAEPADPAE&＃64;Z

还可以看看这篇文章针对这道题的分析&＃xff1a;https://blog.nowcoder.net/n/eaa035234db243959947fde394ce6964?from&＃61;nowcoder_improve

这篇文章写的比较详细&＃xff1a;https://www.cnblogs.com/invisible2/p/6204492.html

5. 然后看上面的那一段程序&＃xff0c;看看v5的值一开始哪儿来的
   
   28行v4后面的那个函数我没看大懂&＃xff0c;估计是个加密方式或者是其他什么&＃xff0c;肯定是有规律可循的东西&＃xff0c;不可能硬逆。这边动调&＃xff0c;看看上方这一块代码干了什么

6. sub_140001280&＃xff08;&＃xff09;函数我跟进去没看懂&＃xff0c;就直接看给v5赋值的函数了
   sub_1400015c0()
   
   我传入的v14&＃61;“abcdefghijklmnopqrstuvwxyz12345”,第一次的时候它给name[0]赋值成了p&＃xff0c;对应我输入的字符串的下标是15&＃xff0c;我调试了多次&＃xff0c;发现每次都是这样&＃xff0c;而且最后的name里存放的是打乱了顺序的输入的字符串&＃xff0c;动调它给name赋值的过程&＃xff0c;记录下对应的下标
   最后得到的赋值顺序下标是[15, 16, 7, 17, 18, 8, 3, 19, 20, 9, 21, 22, 10, 4, 1, 23, 24, 11, 25, 26, 12, 5, 27, 28, 13, 29, 30, 14, 6, 2, 0]

7. 到这里程序逻辑就清楚了&＃xff0c;首先输入长度为31的字符串&＃xff0c;然后根据赋值下标的顺序打乱数据得到v2。
   逆算一下输入的字符串

ops &＃61; &＃39;?My_Aut0_PWN&＃64;R0Pxx&＃64;&＃64;AAEPADPAE&＃64;Z&＃39;
result &＃61; [&＃39;&＃39;] * 31
index &＃61; [15, 16, 7, 17, 18, 8, 3, 19, 20, 9, 21, 22, 10, 4, 1, 23, 24, 11, 25, 26, 12, 5, 27, 28, 13, 29, 30, 14, 6, 2, 0]for i in range(len(ops)):result[index[i]] &＃43;&＃61; ops[i]
ss &＃61; &＃39;&＃39;.join(i for i in result)
print(ss)
print(hashlib.md5(ss.encode(&＃39;utf-8&＃39;)).hexdigest())
#63b148e750fed3a33419168ac58083f5


flag{63b148e750fed3a33419168ac58083f5 }

百度了其他师傅写的wp后知道了那个函数是用来生成二叉树的&＃xff0c;具体的看链接&＃xff1a;https://blog.csdn.net/qq_41858371/article/details/103111366