ISG2015

　　一天的成果。

Re300 是男人就下一百层

　　一个64位的程序，放到IDA里的话，IDA就会分析不动，这样就把人给下着了。objdump –d re300 > output，这样拿到汇编代码，大概在120M左右，代码量很大。

　　拿到vim里分析，发现代码很简单，读入数据后，一直在判断判断输入数据的正确性，如果读入的数据不正确，就结束。如果一直正确的话，在程序的结尾，

　　

　　jmp *%rsp 也就跳到了我们输入数据的地方，也就是说我们输入的数据被当作指令又被执行了，在调试时，我直接设置rip到栈顶，发现如果输入正确的话，输入的内容确实可以当作代码执行，代码的风格和第一次objdump出来的代码非常类似。然后，突然我明白了题目的奥秘，输入的数据被当作代码执行，被执行的代码又要求输入数据，数据又被当作代码执行，一直循环下去，就像个洋葱一样一层一层的。

　　我拿到了objdump出来的汇编代码，写了一个脚本然后处理下就得到了应输入的数据。

　　

 

　　第一轮过后，生成的数据3M多，当我尝试调试的时候，发现read系统调用一次读不了那么多数据。所以我干脆不调了，直接又写了下一个脚本来分析。

　　

　　这样当第8轮还是第9轮时，输出只剩不倒1K了，我这时候直接将数据发送到栈顶，并调整rip到那个栈顶，这样，稍微调试了下，我就知道看到flag了。最后我又用python生成了下flag。

Lol

　　这道题目主要是android native 层的调试。Java的代码很简单。

 

　　Java_com_example_crackme2_MainActivity_getflag函数很复杂，但是经过阅读，发现这些代码就是在扰乱分析者。

　　

　　输入的字符串，在到达en函数前，看似很复杂的处理，其实是在扰乱分析。调试时，发现en的参数inputs就是用户输入的参数，第二个参数addr就是用来传判断结果的（通过分析en函数知道的）。

     所以重点就放到了en函数里。en函数也是很复杂，但是，我注意到了几点东西。

　　我看到了两个对输入处理的地方，就是前两个图。看到了对输入处理后判断的两处地方。因此，明白了大概的意思，也就是输入的每一位都经过两个处理方法的某一种（但是我不知道哪一种）进行了处理。我索性写了个脚本，把这两个运算的都跑了下。脚本如下：

　　跑出的效果呢？

　　

　　

　　仔细一看，就知道了，隔一个字符使用其中一个处理方法，所以将两个输出交叉读取，就拿到flag了。

Forest

　　只有java代码，代码量也不大，稍微读了下，就知道意思了。程序将输入使用三个简单的加密运算加密后，拼接在一起，然后做判断。

　　

　　密文的长度为18，起初我以为输入的长度为6，这样三个加密算法的加密后拼接刚好18个字符。但是我发现加密算法3应该是base64，但是base64里不会出现’{‘字符。晕了半天，最后看到最终bh函数check的时候，只取了至多前18个字符，突然想到，输入的长度必须大于6。第二个算法是一个置换算法，也不会产生’{‘字符，因此确定了输入的长度就是18，也就是说密文是由第一个算法产生的。后两个算法都是干扰分析的。

　　随后分析了下第一个算法，发现第一个算法和rot13是相似的。即E(E(a))=a。所以直接抠出代码，编译执行，得到flag。

　　

Echo

　　这个是赛后看的，题目思路很清晰，一看就是个格式化字符串洞。但是有一点就是程序是pie的，每次加载的地址不固定。调试时为了方便调试我首先把alsr给关了。通过该漏洞可以泄漏出__libc_start_main函数的地址，也就直接泄漏了libc.so里想要的/bin/sh字符串和system的地址。

 

　　这样的话，我就可以任意地址写将返回地址改为system的地址，把参数改为/bin/sh的地址，函数一退出就拿到shell了。

　　

　　Poc