题目给了一堆启动鸿蒙liteos的套件，用jefferson解压rootfs.img得到文件系统，在bin目录里即可找到crakeme文件。直接拖进ida分析

首先清理了一个全局变量bss_struct，然后进入了judge函数

judge函数首先读取了/etc/config文件并将其读取到了内存里，所以我们首先来写脚本解析一下/etc/config文件：四个字节为一组，将每一组的值打印出来

先不用管每个数值的具体用处，继续用ida进行静态分析

这个地方取出config中的第一个数值用作偏移从栈中取值，变量newS到bp的距离是0x74,而这里取得值为&newS+4*0x1e即&newS+0x78,正好是返回地址的位置，所以这里取得值为返回地址。

Constructor函数会初始化一个结构体S，并将其指针放入全局变量bss_struct中，S结构体结构如下

为了方便，给全局变量bss_struct也定义了一个结构体，结构如下

其中offset是从config中取值时用的下标，s_ptr是储存S结构体用的数组。初始化S结构体时会经历以下步骤：

初始化完成结构体之后进入Parser函数，该函数首先会打印S.content的内容，再就会调用call_vfunc函数

call_vfunc函数会先根据传入的参数从bss_struct.s_ptr取出相应的S结构体，如果S.target_ptr!=0就将target_ptr作为第一个参数(r0)来调用S的函数指针

将target_ptr作为第一个参数是从汇编中看出来的

下面又取出了config[1]并储存了起来，取出了config[2]作为了循环次数，之后进入了大循环，在循环里构造了一个新的S结构体，并且它的函数指针是通过"返回地址+config中的偏移"得到的（config的下标从3开始），经过两个永真的if之后，将新的S结构体的内容整体复制给了位于bss_struct.s_ptr[0]的结构体

第一次逆到这里的时候完全看不懂在干什么。。只能动态调试看看发生甚么事了，在调试中就可以发现，bss_struct.s_ptr[0]->target_ptr的值和bss_struct.s_ptr[2]的值是一样的，并且bss_struct.s_ptr[0]和bss_struct.s_ptr[1]储存的指针也是一样的。要搞清楚发生了什么，得回到上面构造结构体的时候看一下

首先构造了1、2号结构体，然后有销毁了1、2号结构体，我们查看Destructor函数就可以发现它free结构体指针之后没有清空。。。造成了一个uaf

所以情况是这样的

所以S0.target_ptr和S2指向的是同一个chunk，循环里实际上是在对S2结构体也就是bss_struct.s_ptr[2]中的结构体进行操作。
循环后半段就是取出bss_struct.s_ptr[2]结构体，将bss_struct.s_ptr[2]->target_ptr赋值为 bss_struct.s_ptr[6]->target_ptr(输入的位置),然后调用bss_struct.s_ptr[2]的函数指针，并判断返回值是不是1。
所以整体的逻辑就非常清晰了：每个循环依次调用ret_addr+confg[3+i]处的函数，以输入为参数，并判断返回值，循环九次
config中的后九个值解析成int是显然是负数，返回地址可以直接在ida里面找，为0x58DC（main函数中call judge的下一条指令的地址),由此可以还原出九个函数地址：

前八个函数是简单的换表，最后一个函数是对换表后的输入进行了一串运算并判断，所以用z3解方程之后再反向代换回去就能得到flag。
exp:

得到flag:

可以看到主逻辑函数中多次调用了函数sub_3154，分析其逻辑

首先malloc了一个ptr,然后以第一个参数+1为下标idx,将ptr放在了0x712C处的dword数组中，这个malloc的size就是结构体的大小。

下面将a2中的字符串复制到ptr中，所以结构体开头是存储字符串的空间，大小暂时未知，如果a3不等于0就申请一个target_ptr,放在结构体+0x10的位置，下面又将a3放在了结构体+0x14的位置，所以现在结构体应该包括一个16字节的char数组，一个4字节的指针，一个4字节的长度。

最后又再结构体+0x18的地方放了一个函数地址，这时结构体大小正好为0x1c。所以结构体结构如下图所示

完整附件：https://pan.baidu.com/s/1g5mlSO_o-pOG4uLNB9zEYw?pwd=eqty
上传的附件为crackme和crackme.idb