文章目錄

• • glass.apk
  • • 直接分析jni的函數：
  • baby.bc
  • • .bc轉換為可執行程序
    • fill_number(__int64)input)
    • docheck(input, input)：z3約束
    • row[]約束總結為：
    • col[]約束總結為：

glass.apk

直接分析jni的函數：

這里的話，三個有用函數，第一個sub_FFC((int)&v7, (int)&v6, v4);是RC4算法初始化函數，第二個sub_1088((int)&v7, v3, 39);RC4算法加密函數，第三個sub_10D4((int)v3, 39, (int)&v6, v4);進行一番異或操作，也就是說，只需要分析第三個函數即可。前面的兩個函數直接用工具

for ( i = 0; i < a2; i += 3 ){v5 = result + i;v6 = *(_BYTE *)(result + i + 2);v7 = *(_BYTE *)(result + i + 1);v8 = *(_BYTE *)(result + i) ^ v6;*(_BYTE *)(result + i) = v8;*(_BYTE *)(v5 + 2) = v6 ^ v7;*(_BYTE *)(v5 + 1) = v7 ^ v8;}for ( j = 0; j < a2; j += a4 ){for ( k = 0; (a4 & ~(a4 >> 31)) != k && j + k < a2; ++k )*(_BYTE *)(result + k) ^= *(_BYTE *)(a3 + k);result += a4;}

baby.bc

.bc轉換為可執行程序

第一次拿到.bc的文件

查了一下，LLVM IR bitcode，二進制文件。想辦法轉換成.s，然后再轉成可執行文件。（windows里面無法轉成elf，最后編譯成elf時，需要在linux里面進行

由此看出input長度為25；數組元素大小可取 0 ~ 5

fill_number(__int64)input)

v1 = (char *)(a1 + 4);v2 = 0LL;do{v3 = *(v1 - 4);if ( map[5 * v2] ){if ( v3 != 48 )return 0;}else{map[5 * v2] = v3 - 48;}v4 = *(v1 - 3);if ( byte_601051[5 * v2] ){if ( v4 != 48 )return 0;}else{byte_601051[5 * v2] = v4 - 48;}v5 = *(v1 - 2);if ( byte_601052[5 * v2] ){if ( v5 != 48 )return 0;}else{byte_601052[5 * v2] = v5 - 48;}v6 = *(v1 - 1);if ( byte_601053[5 * v2] ){if ( v6 != 48 )return 0;}else{byte_601053[5 * v2] = v6 - 48;}v7 = *v1;if ( byte_601054[5 * v2] ){if ( v7 != 48 )return 0;}else{byte_601054[5 * v2] = v7 - 48;}++v2;v1 += 5;}while ( v2 < 5 );return 1; } unsigned char map[] = {0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 4, 0, 0, 0, 0, 0, 3, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 0, 0, 0, 2, 0, 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 };

這個函數的作用也正如函數名所述，用來填充map數組中的0

if ( map[5 * v2] ){if ( v3 != '0' )return 0;}else{map[5 * v2] = v3 - 48;}

map的起始地址是0x601050， 這個也就是如果map元素為0，那么就是用v3來做相應填充，而這里的v3也就是我們所做的input。else中減掉48，是想把字符元素轉換為數字元素，然后賦值于map數組

if ( v3 != '0' )return 0;

這里按照邏輯我覺得是當map中的元素不為0時，那么就來判斷input相應輸入位置，input這個輸入位置必須為字符0，否則退出

docheck(input, input)：z3約束

v25 = 0;v24 = 0;v1 = (unsigned __int8)map[5 * v0];if ( *((_BYTE *)&v24 + v1) )break;*((_BYTE *)&v24 + v1) = 1;v2 = (unsigned __int8)byte_601051[5 * v0];if ( *((_BYTE *)&v24 + v2) )break;*((_BYTE *)&v24 + v2) = 1;v3 = (unsigned __int8)byte_601052[5 * v0];if ( *((_BYTE *)&v24 + v3) )break;*((_BYTE *)&v24 + v3) = 1;v4 = (unsigned __int8)byte_601053[5 * v0];if ( *((_BYTE *)&v24 + v4) )break;*((_BYTE *)&v24 + v4) = 1;if ( *((_BYTE *)&v24 + (unsigned __int8)byte_601054[5 * v0]) )break;

這里剛開始我也沒看出有什么用，一調試才知道。這里的作用也就是把它所以的元素連續的五個分成五個一組，然后判斷這組值中不能出現兩兩重復。

v23 = 0;v22 = 0;v6 = (unsigned __int8)map[v5];if ( *((_BYTE *)&v22 + v6) )break;*((_BYTE *)&v22 + v6) = 1;v7 = (unsigned __int8)byte_601055[v5];if ( *((_BYTE *)&v22 + v7) )break;*((_BYTE *)&v22 + v7) = 1;v8 = (unsigned __int8)byte_60105A[v5];if ( *((_BYTE *)&v22 + v8) )break;*((_BYTE *)&v22 + v8) = 1;v9 = (unsigned __int8)byte_60105F[v5];if ( *((_BYTE *)&v22 + v9) )break;*((_BYTE *)&v22 + v9) = 1;if ( *((_BYTE *)&v22 + (unsigned __int8)byte_601064[v5]) )break;

這里的話，也就是把連續的五個元素分成一組，總共有五組，每組有五個元素，然后每組同時選出一個相同下標的元素，判斷五個組所選出的五個元素不能兩兩重復。

unsigned char row[] = {0, 0, 0, 1, 1, 0, 0, 0, 2, 0, 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 0 }; v11 = row[4 * v10];if ( v11 == 2 ){if ( (unsigned __int8)map[5 * v10] > (unsigned __int8)byte_601051[5 * v10] )return 0;}else if ( v11 == 1 && (unsigned __int8)map[5 * v10] < (unsigned __int8)byte_601051[5 * v10] ){return 0;}v12 = byte_601071[4 * v10];if ( v12 == 1 ){if ( (unsigned __int8)byte_601051[5 * v10] < (unsigned __int8)byte_601052[5 * v10] )return 0;}else if ( v12 == 2 && (unsigned __int8)byte_601051[5 * v10] > (unsigned __int8)byte_601052[5 * v10] ){return 0;}v13 = byte_601072[4 * v10];if ( v13 == 2 ){if ( (unsigned __int8)byte_601052[5 * v10] > (unsigned __int8)byte_601053[5 * v10] )return 0;}else if ( v13 == 1 && (unsigned __int8)byte_601052[5 * v10] < (unsigned __int8)byte_601053[5 * v10] ){return 0;}v14 = byte_601073[4 * v10];if ( v14 == 2 ){if ( (unsigned __int8)byte_601053[5 * v10] > (unsigned __int8)byte_601054[5 * v10] )return 0;}else if ( v14 == 1 && (unsigned __int8)byte_601053[5 * v10] < (unsigned __int8)byte_601054[5 * v10] ){return 0;}

這里的話，把map數組照樣分成五組，連續的五個元素為一組，然后把row作為4個元素為一組（5個元素，相鄰兩個相比較，只需要比較四次)，因為input長度為25，所以map也就是25，map分小組可以分為5組，那么row也就可以分為5組：

row第1組的第四個元素為1；

else if ( v14 == 1 && (unsigned __int8)byte_601053[5 * v10] < (unsigned __int8)byte_601054[5 * v10] ){return 0;}

這是第一組，也就代表了map[3]>map[4]；

row第2組的第一個元素為1；

else if ( v11 == 1 && (unsigned __int8)map[5 * v10] < (unsigned __int8)byte_601051[5 * v10] ){return 0;}

這是第二組，也就代表了map[5]>map[6]；

row第3組的第一個元素為2；第四個元素為1

if ( v11 == 2 ){if ( (unsigned __int8)map[5 * v10] > (unsigned __int8)byte_601051[5 * v10] )return 0;}else if ( v14 == 1 && (unsigned __int8)byte_601053[5 * v10] < (unsigned __int8)byte_601054[5 * v10] ){return 0;}

這是第三組，也就代表了map[10]<map[11]；map[13]>map[14]

row第5組的第一個元素為1；第三個元素為1

else if ( v11 == 1 && (unsigned __int8)map[5 * v10] < (unsigned __int8)byte_601051[5 * v10] ){return 0;}else if ( v13 == 1 && (unsigned __int8)byte_601052[5 * v10] < (unsigned __int8)byte_601053[5 * v10] ){return 0;}

這是第五組，也就代表了map[20]>map[21]；map[22]>map[23]

row[]約束總結為：

map[3]>map[4]； map[5]>map[6]； map[10]<map[11]；map[13]>map[14]； map[20]>map[21]；map[22]>map[23] unsigned char col[] = {0, 0, 2, 0, 2, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 1, 0, 0, 1 }; v17 = col[5 * v15];if ( v17 == 2 ){if ( (unsigned __int8)map[5 * v15] < (unsigned __int8)byte_601055[5 * v15] )return 0;}else if ( v17 == 1 && (unsigned __int8)map[5 * v15] > (unsigned __int8)byte_601055[5 * v15] ){return 0;}v18 = byte_601091[5 * v15];if ( v18 == 1 ){if ( (unsigned __int8)byte_601051[5 * v15] > (unsigned __int8)byte_601056[5 * v15] )return 0;}else if ( v18 == 2 && (unsigned __int8)byte_601051[5 * v15] < (unsigned __int8)byte_601056[5 * v15] ){return 0;}v19 = byte_601092[5 * v15];if ( v19 == 2 ){if ( (unsigned __int8)byte_601052[5 * v15] < (unsigned __int8)byte_601057[5 * v15] )return 0;}else if ( v19 == 1 && (unsigned __int8)byte_601052[5 * v15] > (unsigned __int8)byte_601057[5 * v15] ){return 0;}v20 = byte_601093[5 * v15];if ( v20 == 2 ){if ( (unsigned __int8)byte_601053[5 * v15] < (unsigned __int8)byte_601058[5 * v15] )return 0;}else if ( v20 == 1 && (unsigned __int8)byte_601053[5 * v15] > (unsigned __int8)byte_601058[5 * v15] ){return 0;}v21 = byte_601094[5 * v15];if ( v21 == 2 ){if ( (unsigned __int8)byte_601054[5 * v15] < (unsigned __int8)byte_601059[5 * v15] )return 0;}else if ( v21 == 1 && (unsigned __int8)byte_601054[5 * v15] > (unsigned __int8)byte_601059[5 * v15] ){return 0;}

這里的話，把map數組照樣分成五組，連續的五個元素為一組，然后把col作為5個元素為一組（5個元素，分別和對應組相比較，需要比5次)，因為input長度為25，所以map也就是25，map分小組可以分為5組，五組之間，對應元素比較，只需要比4次，那么col也就可以分為4組，每組5個元素：

col第一組的第三個元素為2；第五個元素為2

if ( v19 == 2 ){if ( (unsigned __int8)byte_601052[5 * v15] < (unsigned __int8)byte_601057[5 * v15] )return 0;}if ( v21 == 2 ){if ( (unsigned __int8)byte_601054[5 * v15] < (unsigned __int8)byte_601059[5 * v15] )return 0;}

這是第一組，也就代表了map[2]>map[7]；map[4]>map[9]

col第三組的第四個元素為1；

i else if ( v20 == 1 && (unsigned __int8)byte_601053[5 * v15] > (unsigned __int8)byte_601058[5 * v15] ){return 0;}

這是第三組，也就代表了map[13]<map[18]；

col第4組的第二個元素為1；第五個元素為1

if ( v18 == 1 ){if ( (unsigned __int8)byte_601051[5 * v15] > (unsigned __int8)byte_601056[5 * v15] )return 0;}else if ( v21 == 1 && (unsigned __int8)byte_601054[5 * v15] > (unsigned __int8)byte_601059[5 * v15] ){return 0;}

這是第三組，也就代表了map[16]<map[21]；map[19]<map[24]

col[]約束總結為：

map[2]>map[7]；map[4]>map[9] map[13]<map[18]； map[16]<map[21]；map[19]<map[24]

總結

以上是生活随笔為你收集整理的2021年CISCN初赛re的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。