一.下载程序得到查壳得到一个64位的elf文件

二.直接拖进IDA进行静态分析

一拖进IDA便看到了main函数中一些关键字符“You are Right”、“flag{.....}”

int __cdecl main(int argc, const char **argv, const char **envp) {   char s[240]; // [rsp+0h] [rbp-1E0h] BYREF   char v5[240]; // [rsp+F0h] [rbp-F0h] BYREF   memset(s, 0, 0x1EuLL);   printf("Please Input Key: ");   __isoc99_scanf("%s", v5);   encode(v5, s);   if ( strlen(v5) == key )   {     if ( !strcmp(s, enflag) )       puts("You are Right");     else       puts("flag{This_1s_f4cker_flag}");   }   return 0; }

但是仔细查看逻辑便可得到整个程序的具体逻辑：

①让用户输入一个字符串，放入v5字符数组中

②将v5的首地址与s的首地址作为encode函数的两个参数

③对比v5的长度是否等于key,如果等于则继续判断s指向的字符串是否等于enflag变量，如果s指向的字符串是等于enflag变量则提示“You are Right”，否则提示“flag{.....}”

到这里其实我们可以推测出这个“flag{.....}”并不是正确的flag值，而只是一个作者设计的诱饵

三.对症下药

通过第二步骤的分析，现在我们知道等待我们解决的就只有encode函数和key、enflag变量的值

①首先跟入encode函数，查看逻辑

int __fastcall encode(const char *a1, __int64 a2) {  char v3[104]; // [rsp+10h] [rbp-70h]  int v4; // [rsp+78h] [rbp-8h]  int i; // [rsp+7Ch] [rbp-4h]  i = 0;  v4 = 0;  if ( strlen(a1) != key )    return puts("Your Length is Wrong");  for ( i = 0; i < key; i += 3 )  {    v3[i + 64] = key ^ (a1[i] + 6);    v3[i + 33] = (a1[i + 1] - 6) ^ key;    v3[i + 2] = a1[i + 2] ^ 6 ^ key;    *(_BYTE *)(a2 + i) = v3[i + 64];    *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];    *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];  }  return a2; }

encode的形参a1、a2的对应实参是main函数中的v5(用户输入字符串首地址)、s（定义的空字符串首地址）

encode代码中的if ( strlen(a1) != key )可以直接得知a1(v5)指向的字符串长度要等于key,既然遇到了，那我们就先把key找出来，双击key

此时可以得到key=0x12h=18,也就是说我们输入的字符串正确长度要是18，否则就是错误的，if分析完继续往下走

for ( i = 0; i < key; i += 3 )   {     v3[i + 64] = key ^ (a1[i] + 6);     v3[i + 33] = (a1[i + 1] - 6) ^ key;     v3[i + 2] = a1[i + 2] ^ 6 ^ key;     *(_BYTE *)(a2 + i) = v3[i + 64];     *(_BYTE *)(a2 + i + 1LL) = v3[i + 33];     *(_BYTE *)(a2 + i + 2LL) = v3[i + 2];   }

阅读这个for结构可以知道最后被更改的值只有a2（main函数中的s数组），所以我们这个时候我们就要回到调用者函数main函数中查看a2在encode中更改后又发生了什么？

if ( strlen(v5) == key )   {     if ( !strcmp(s, enflag) )       puts("You are Right");     else       puts("flag{This_1s_f4cker_flag}");   }

好，s(encode中的a2)数组在encode中操作完了以后用来和enflag对比，如果对比相同则提示"You are Right"，那说明s数组就是最后的flag变换值，它必须要等于enflag才证明我们输入的字符串是正确的,双击查看enflag是多少，如图enflag = "izwhroz""w"v.K".Ni"(还没有转义)，那此时我们就可以通过刚才encode的逻辑反推出v5(我们输入的字符串)是多少了，回到encode

  }注意，通过刚才的分析，a2(main函数中的s)就是"izwhroz""w"v.K".Ni"(还没有转义)，a1(main函数中的v5,我们输入的字符串)，那我们的最终目的就是要求出a1指向的字符串，所以我们就朝着能解出a1的方向走

阅读代码：要求a1则求v3,要求v3则只用用我们已知的a2来反解，所以可以得到如下解密脚本

#include#includeint main() {                 char input[18];         int v3[104] = { 0 };         char enflag[] = "izwhroz\"\"w\"v.K\".Ni";         int key = 18;     for (int i = 0; i < key; i += 3)     {                 v3[i + 2] = *(BYTE*)(enflag + i + 2);                 v3[i + 33] = *(BYTE*)(enflag + i + 1);                 v3[i + 64] = *(BYTE*)(enflag + i);                 input[i + 2] = v3[i + 2] ^ key ^ 6;                 input[i + 1] = (v3[i + 33] ^ key) + 6;                 input[i] = (v3[i + 64] ^ key) - 6;     }         for (size_t i = 0; i < 18; i++)         {                 printf("%c", input[i]);         }         return 0; }

四.得到结果