这道逆向题我已经解出flag了，根据我的动态调试，程序并不检查1-5以及最后一字节内容，只检查6-2...

Question

这道逆向题我已经解出flag了，根据我的动态调试，程序并不检查1-5以及最后一字节内容，只检查6-27字节
v13 = (_QWORD *)(sub_7FF7699815EB((__int64)flag) + 5);这一行就是把flag的第六字节指针赋值给v13
我输入flag{oh_you_found_our_x3nny1是可以通过检查的，这很奇怪，我看代码，对第28字节是有检查的呀：
debug034:000001D23D75A980 sub_1D23D75A980 proc near
debug034:000001D23D75A980
debug034:000001D23D75A980 var_20 = qword ptr -20h
debug034:000001D23D75A980
debug034:000001D23D75A980 sub rsp, 20h
debug034:000001D23D75A984 mov [rsp+20h+var_20], rcx
debug034:000001D23D75A988 mov r10d, 7C072E27h
debug034:000001D23D75A98E xor r10d, 12345678h
debug034:000001D23D75A995 mov edi, dword ptr [rsp+20h+var_20]
debug034:000001D23D75A998 cmp edi, r10d
debug034:000001D23D75A99B jnz short loc_1D23D75A9BB
debug034:000001D23D75A99D mov edi, dword ptr [rsp+20h+var_20+4]
debug034:000001D23D75A9A1 mov r10d, 87653A4Fh
debug034:000001D23D75A9A7 xor r10d, 87654321h
debug034:000001D23D75A9AE cmp edi, r10d
debug034:000001D23D75A9B1 jnz short loc_1D23D75A9BB
debug034:000001D23D75A9B3 xor rax, rax
debug034:000001D23D75A9B6 add rsp, 20h
debug034:000001D23D75A9BA retn
debug034:000001D23D75A9BB ; ---------------------------------------------------------------------------
debug034:000001D23D75A9BB
debug034:000001D23D75A9BB loc_1D23D75A9BB: ; CODE XREF: sub_1D23D75A980+1B↑j
debug034:000001D23D75A9BB ; sub_1D23D75A980+31↑j
debug034:000001D23D75A9BB add rsp, 20h
debug034:000001D23D75A9BF xor rax, rax
debug034:000001D23D75A9C2 sub rax, 1
debug034:000001D23D75A9C6 retn
debug034:000001D23D75A9C6 sub_1D23D75A980 endp
解释一下

Answer 1

你这个现象其实一点都不奇怪，关键有两个坑：

第一，这个函数不是在比较 rcx 指向的内存内容，而是在比较传进来的 rcx 这个 64 位参数本身。
第二，主逻辑在调用它之前，先把你输入的最后一个字符改成了 0，所以你看到“第 28 字节好像被检查了”，但你输入的那个 1 其实已经被抹掉了。

你贴的这段汇编，真正含义是：

asm
sub     rsp, 20h
mov     [rsp], rcx          ; 先把 rcx 保存到栈上

mov     r10d, 7C072E27h
xor     r10d, 12345678h     ; r10d = 6E33785Fh

mov     edi, dword ptr [rsp]
cmp     edi, r10d           ; 比较 rcx 的低 4 字节
jnz     fail

mov     edi, dword ptr [rsp+4]
mov     r10d, 87653A4Fh
xor     r10d, 87654321h     ; r10d = 0000796Eh
cmp     edi, r10d           ; 比较 rcx 的高 4 字节
jnz     fail

也就是说它等价于：

c
int check(uint64_t x)
{
    if ((uint32_t)x != 0x6E33785F) return -1;
    if ((uint32_t)(x >> 32) != 0x0000796E) return -1;
    return 0;
}

把这 8 个字节按小端展开，就是：

c
0x0000796E6E33785F  ->  5F 78 33 6E 6E 79 00 00
                      ->  _  x  3  n  n  y \0 \0

所以这个检查函数要求的其实是：

text
"_x3nny\0\0"

不是 "_x3nny1"。

更关键的是，我看了主逻辑，里面有这么一段：

asm
140018cec: addq    $0x5, %rax
140018cf0: movq    %rax, 0x48(%rbp)     ; p = flag + 5

140018cf4: ...                          ; rax = strlen(flag)
140018cfd: movq    0x48(%rbp), %rcx     ; rcx = p = flag + 5
140018d01: movb    $0x0, -0x6(%rcx,%rax)

这一句：

asm
movb $0x0, -0x6(%rcx,%rax)

代进去就是：

c
p = flag + 5;
p[len - 6] = 0;

因为 p = flag + 5，所以这其实等价于：

c
flag[len - 1] = 0;

也就是：

程序会把输入串的最后一个字符直接改成 \0。

所以你输入：

text
flag{oh_you_found_our_x3nny1

长度是 28。程序在检查前会把第 28 个字符 '1' 改成 0，内存里变成：

text
flag{oh_you_found_our_x3nny\0

再加上字符串本来结尾还有一个自然的 \0，最后那 8 字节就正好是：

text
_x3nny\0\0

完全符合这个函数的比较条件。

再结合主函数的调用方式，你的理解也能彻底串起来：

asm
movq    (%rax), %rcx
call    check1

movq    (%rax), %rcx
call    check2

movq    (%rax), %rcx
call    check3

这里是先把 v13 指向的位置当成 _QWORD* 分三段取值：

v13[0] -> 第 6 到 13 字节
v13[1] -> 第 14 到 21 字节
v13[2] -> 第 22 到 29 字节

所以程序确实是在按 8 字节块检查 6~29 这个范围，但第 28 字节在检查前已经被程序自己清零了，第 29 字节本来就是字符串终止符 \0。
因此从“你可控的输入字符”角度说，确实只有 第 6 到 27 字节是实质参与校验的。

结论就是：

你动态调试得到的“只检查 6-27”这个结论，本质上是对的
静态上看到“检查到第 28 字节”，也没错
真相是：第 28 字节会先被改成 0，然后再参与比较
所以你输入的最后一个字符是什么，其实都无所谓，只要总长度对上，它都会被抹掉

换句话说，这题的 check 其实是个“多解”校验，不是唯一 flag。

这道逆向题我已经解出flag了，根据我的动态调试，程序并不检查1-5以及最后一字节内容，只检查6-2...

Вопрос

Мысль

Ответ

Поделиться этим Q&A