XCTF 攻防世界 Reverse新手题（logmein）

首先，先用exeinfoPE查看程序有无加壳，得知无壳，并且是一个elf文件，即linux下的文件
利用linux的file命令来查看文件，发现是一个64位的程序
接下来，直接用IDA64打开分析，找到main函数，进行反编译：

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  size_t v3; // rsi
  int i; // [rsp+3Ch] [rbp-54h]
  char s[36]; // [rsp+40h] [rbp-50h]
  int v6; // [rsp+64h] [rbp-2Ch]
  __int64 v7; // [rsp+68h] [rbp-28h]
  char v8[8]; // [rsp+70h] [rbp-20h]
  int v9; // [rsp+8Ch] [rbp-4h]

  v9 = 0;
  strcpy(v8, ":\"AL_RT^L*.?+6/46");
  v7 = 28537194573619560LL;
  v6 = 7;
  printf("Welcome to the RC3 secure password guesser.\n", a2, a3);
  printf("To continue, you must enter the correct password.\n");
  printf("Enter your guess: ");
  __isoc99_scanf("%32s", s);
  v3 = strlen(s);
  if ( v3 < strlen(v8) )
    sub_4007C0();
  for ( i = 0; i < strlen(s); ++i )
  {
    if ( i >= strlen(v8) )
      sub_4007C0();
    if ( s[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i]) )
      sub_4007C0();
  }
  sub_4007F0();
}

通过分析代码，可以知道调用sub_4007F0()是可以得到最终的flag的。
注意一点，这里的v7是LL型，即长长整型，因此在解密之前需要将v7还原为字符串
由于程序是小端的存储方式，所以需要倒置字符串
编写EXP如下：

v8 = ":\"AL_RT^L*.?+6/46"
v7 = str(bytes.fromhex(hex(28537194573619560)[2:]))[-2:1:-1]
v6 = 7

flag = ''
for i in range(0, len(v8)):
    flag += chr(ord(v8[i]) ^ ord(v7[i%v6]))
print(flag)

其实代码不难理解，只要不满足调用sub_4007C0()函数的条件并且根据给出的条件进行解密，就可以得到最终的flag