6.1000clicks

看题目名字似乎是让咱们点击1000次之后才会出flag。本来打算用CE看能不能搜索出来数值，技术不到家，最后没有搜索到，还导致永劫无间打不了了。所以还是拿出IDA老实分析。

直接搜索flag字符，出来一大堆。张紫涵大佬说是Text对的这个，一看果然是。但是不能局限于此，还要分析为啥是这个。

发现除了text，其他的都没有交叉引用。那就差不多可以判断这个就是flag了。而且目标字符串的引用意思是弹窗提示此消息，更落实我们的猜想。

软件还有一个输入框，会根据输入的信息提示正确或者错误。使用OD修改后发现并没有什么用处，可能是在下才疏学浅，等有机会，看看是不是方法出了问题

补充：原来OD调试的时候，success代码附近就会显示flag！

7.crypt (暂时没解决）

看名字，估计是个算法相关的，进入IDA看看吧。

首先粗粗看一下代码，给函数改个名字，便于分析。

malloc（）找到可用内存中一个大小适合的块。
内存是匿名的；

也就是说，malloc（）分配了内存，但没有为它指定名字。
然而，它却可以返回那块内存第一个字节的地址。

看图片得知，str是一串疑似编码表的字符串，而v3表示了它的长度。估计memset函数把str后面的改成0了。v10数组则全是为0. v9是一块内存的首地址。

先来看sub_140001120函数。

a1就是v9，v9是一快内存的首地址的指针变量。前几行首先给v9这块内存进行赋值，然后给v6赋值。LOBYTE代表16位数的低八位，所以result和v7也被赋值。鉴于result会被返回，所以可以先不管result。

for循环中，v8等于v9的某个值。v7 = (unsigned __int8)(*(_BYTE *)(a2 + v6) + v8 + v7);这行代码从之前介绍的内存地址（基于a2和偏移量v6）处取出一个字节的数据，与v8和当前的v7值相加，然后将结果强制转换为 8 位无符号整数类型后赋值给v7。

但是说了这么多，result却是直接返回j+1，不太清楚这个函数主要实现什么。

再来看这个函数。

8.happyctf 

这个题目还给了PBD文件，查阅PDB文件：每个开发人员都必须知道的 - iTech - 博客园​​​​​​

发现，PBD其实是一种帮助我们逆向分析的文件，IDA启动的时候可以加载这个文件。

 不加载PBD文件，可读性就会变差，需要分析好多函数！但是一旦引入PBD文件，则会带来许多便利之处，可读性则会大大增强。

可以看到，刚开始用了一个cout函数，意思是输出，这里就不再多说了。 if语句检查输入的是不是长度为24。如果等于24，则会继续向下。vector意思是容器，可以装一些东西进去。

这句代码意思是把这两个的地址绑定在一起。为什么？ 我推测是因为函数内的语句  this->v = <v>。

Python 之 lambda 函数完整详解 & 巧妙运用_lamda函数python-CSDN博客

可以看这个博客，了解一下lambda的用法。它本质上是一种匿名函数.所以我们按照正常处理函数去处理它就行了。再看while循环里面的lamabda函数：

 首先看参数，我们已经知道bytee就是一个字符，也就是输入的字符的开头部分。接下来将它和0x14（也就是20）异或。将结果传入val，也就是v，也就是add（因为二者指针绑定了）。

这个函数应该也是实现指针的绑定 ！↑

-----------------

关键函数如上，if语句见下，这是关键代码。 

 我们需要让它返回1，函数内if语句实现的应该是v9和key的对比。v9恰恰是异或后的数组。所以我们就可编写解题的exp：

a='rxusoCqxw{yqK`{KZqag{r`i'
b=''
for i in range(0,24):b+=chr(ord(a[i])^20)
print(b)

总结一下，这道题之所以没写出来，是因为我没理解lambda要当成函数看，以及指针的绑定我不懂。这道题算法总结下来就是输入一串字符串，异或之后和key对比，算法还是比较简单的。