1.基本信息探查：

1.EXEinfo：

32位，无壳

2.运行一下：

2.IDA分析：

找到主函数，直接F5，发现ida报错了：

显示反汇编失败，说虚拟地址401095处的call分析失败。

做法一：直接分析汇编代码

大概看一下程序流程,了解一下flag验证过程：

下面列几个关键点：

1. 输入输出：

   ; int __cdecl main(int argc, const char **argv, const char **envp)
   _main proc near
   
   argc= dword ptr  4
   argv= dword ptr  8
   envp= dword ptr  0Ch
   
   push    offset aGiveMeYourFlag ; "Give Me Your Flag String:\\n"
   call    sub_401020       //printf上面的字符串
   push    64h ; 'd'
   push    offset byte_4212C0
   push    offset aS       ; "%s"
   call    sub_401050     //scanf接受flag
   mov     edx, offset byte_4212C0
   add     esp, 10h
   lea     ecx, [edx+1]

2. 验证串长：

   sub     edx, ecx
   cmp     edx, 1Bh    //判断串长是否为27
   jnz     short loc_4010FF      //跳转到输出函数，输出“Wrong！”

3. 字符串比较：

   xor     eax, eax    //eax置零
   db      66h, 66h
   nop     word ptr [eax+eax+00000000h]  
   
   loc_4010D0:
   mov     cl, byte_4212C0[eax]  //byte_4212C0处的地址为接受flag的地址
   xor     cl, al              //flag中eax处的值与eax异或
   cmp     cl, ds:byte_41EA08[eax]  //异或后和byte_41EA08[eax]进行比较
   jnz     short loc_4010FF        //不相等则输出“Wrong”
   
   inc     eax     //eax累加
   cmp     eax, edx    //做edx次循环          
   jb      short loc_4010D0

   这里就是将flag循环异或然后和一个字符串进行比较。提取进行比较的字符串

   .rdata:0041EA08 byte_41EA08     db 4Dh                  ; DATA XREF: _main+48↑r
   .rdata:0041EA09 aSawbFxzJTqjNBp db 'SAWB~FXZ:J:`tQJ"N@ bpdd}8g',0
   
   //MSAWB~FXZ:J:`tQJ"N@ bpdd}8g

   最后循环做满意味着flag验证通过，输出字符串”Right!“

做法二：分析报错想办法整出源代码

这里看一下call函数这里的汇编代码：

.text:00401090     push  offset aGiveMeYourFlag ; "Give Me Your Flag String:\\n"
.text:00401095     call  sub_401020

将一串字符压入栈，然后调用函数(这里基本可以断定是输出)，接着跟入函数去看一下

int sub_401020(int a1, ...)

这里可能是参数的个数识别错误，主函数那边只压栈了一个函数，而子函数这边识别却出了问题，在子函数上按y修改里面的变量为：

改完后再F5，就能成功反汇编了。上面方法一对程序的逻辑已做分析这里就不再阐述，正如题目所说就是简单的xor。

// positive sp value has been detected, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int i; // eax

  printf((int)"Give Me Your Flag String:\\n");
  scanf("%s", flag_space);
  if ( strlen(flag_space) != 27 )
  {
LABEL_6:
    printf((int)"Wrong!\\n");
    ((void (__cdecl *)(const char *))sub_404B7E)("pause");
    _loaddll(0);
    __debugbreak();
  }
  for ( i = 0; i < 0x1B; ++i )
  {
    if ( ((unsigned __int8)i ^ (unsigned __int8)flag_space[i]) != rflag[i] )
      goto LABEL_6;
  }
  printf((int)"Right!\\n");
  ((void (__cdecl *)(const char *))sub_404B7E)("pause");
  return 0;
}

3.EXP：

写exp时注意字符串内含双引号，需要用转义字符

rflag = "MSAWB~FXZ:J:`tQJ\\"N@ bpdd}8g"
flag = ""

for i in range(27):
    flag += chr(ord(rflag[i]) ^ i)

print(flag)

MRCTF{@_R3@1ly_E2_R3verse!}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课