緣由
在2016年6月的時候,我寫下RE100和RE200的wp(也是52破解的申請文章,挺有紀念意義的),當時剛接觸逆向,硬剛,剛出了這兩題,re300是linux,沒接觸過linux,一開始並看不出什麼(當時可能傻了,現在看這麼簡單,還是自己水平不行啊),當時說暫時空着,現在要培訓別人,要搞掂題目,所以重新看了下,達到有始有終。
開始吧
die看一下,elf文件,ida打開並註釋,關鍵在check函數(當然,註釋過了)
int __cdecl main(int argc, char **argv)
{
if ( argc > 1 && check(argv[1], 0) )
{
puts("Access granted");
sub_8048538(argv[1]);
}
else
{
puts("Access denied");
}
return 0;
}
之後進入check,裏面首先是一個switch,可以看到第一個字符我們必須爲i
case 0:
if ( *argv1 == 'i' )
goto LABEL_19;
result = 0;
break;
而LABEL_19是遞歸調用
LABEL_19:
result = check(argv1 + 1, 7 * (zero + 1) % 11);
那我們就可以寫代碼了
dic = {"3":"n", "9":"r", "4":"d", "1":"e", "0":"i", "5":"a", "6":"g", "7":"s"}
start = "i"
startNum = 0
for x in xrange(1,100):
key = 7 * (startNum + 1) % 11
if key == 2 or key == 8 or key == 10:
print start
exit(0)
start += dic[str(key)]
startNum = key
運行結果:
isengard
[Finished in 0.1s]
那我們運行下程序即可
root@giantbranch:~# ./rev300 isengard
Access granted
flag{s0me7hing_S0me7hinG_t0lki3n}