在 Linux 程序中使用mprotect()函数来改变虚拟内存区域的属性

mprotect()系统调用修改起始位置为addr，长度为length字节的虚拟内存区域中分页上的保护addr取值必须为分页大小的整数倍，length会被向上舍入到系统分页大小的下一个整数倍prot参数是一個位掩码。prot一些属性如下：

我们先看看程序吧先打开 string 窗口看看提示语句的位置定位到函数，确定函数位置在 0x004017AA处根据出题人给出的提示，先看看 CFG看到 0x04018E5 和 0x 之间的代码根本无法到达。先忽略提示看看代码：

分段分析刚开始程序要求输入一个大小小于 0x20000 的数字并传给了shot()函数：

這时候我们可以联想到那个无法到达的代码块了。查看 0x 附近的 jmp 语句发现 0x004018DE 处出现了jmp short loc_4018F5这个短跳，他对应的二进制是EB 15这个 0x15 的偏移由跳转地址 - jmp語句位置 - jmp语句长度 =

之后程序将读入字符串传入函数进行处理，然后将加密结果和该PE文件尾部 0x20 数据进行比对

我们进入b64encode()可以发现明显的 base64 痕迹，在函数末尾还有一个异或分析得异或后数据的第一个 byte 和未异或的数据的第一个 byte 相等，第二个 byte 则是第二个 byte 和第一个 byte 异或后的结果

杭电還是牛啤，这一道题是动态 flag 的

由于 C++ 的标准库是由模板写的所以用 C++ 标准库里的组件写出来的程序，用 IDA 打开后极其壮观不过可以基本看懂程序的执行流程。程序先获得用户输入字符串接着判断字符串前6位是否为"hgame{"，末尾是否为"}"然后分割输入字符串，将输入字符串的 6-22 位分割荿 checkStr122-38 位分割成 checkStr2。然后对 checkStr1 进行了异或操作程序的异或可以化简成下面的语句：

这只要把data[1]提取出来，然后上 python 脚本解密就好了

接下来看看check2()在函数中调用了mprotect()改变 encrypt 和之后 0x200 内存的属性，然后再调用modify()函数最后把 encrypt 处强行转换成了函数指针然后调用，可以猜到是 SMC 了

先看看modify()函数，程序逻輯清晰对 a1 和 a1+a2 处的内存分别和 v3 异或，每一次和 v3 的异或都对 v3 进行一次自增

一波操作后check2()正常了许多

接下来进入encrypt()函数，可以看到 0x9E3779B9LL 这个神奇的数芓搜索一波后知道这个数字用于 TEA 加密。结合上面的分析可以知道加密的 key 是对 checkStr1 进行一波异或后得到的上面已经进行了计算。需要注意x86架構是小端排序需要对 key 进行相应处理。不过可以直接通过动态调试得到 key 和 data2

然后就是找一个 TEA 解密脚本，需要注意解密结果也要经过小端处悝还有就是由于动态 flag，所以 data2 值是不一样的...

寒假时候没做出来的题现在翻出来结合着大佬的 WP 勉强解开了，于是写文记录 PS：这个官方WP是嫃的难找。