Last updated on October 15, 2024 2:02 PM
国庆的时候断断续续用 IDA 强拆了前六个炸弹便没再管了。本着为自己负责的原则,在这里把所有炸弹好好再拆一遍。
先用 objdump 把可执行文件反汇编到 bomb.asm 中。
打开 bomb.c 看看:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 #include <stdio.h> #include <stdlib.h> #include "support.h" #include "phases.h" int main (int argc, char *argv[]) char *input;if (argc == 1 ) { stdin ;else if (argc == 2 ) {if (!(infile = fopen(argv[1 ], "r" ))) {printf ("%s: Error: Couldn't open %s\n" , argv[0 ], argv[1 ]);exit (8 );else {printf ("Usage: %s [<input_file>]\n" , argv[0 ]);exit (8 );int *fp = initialize_bomb();if (*fp != SECRETTOKEN){printf ("Don't try to make the bomb run on your local machine!(*/w\*)" );return 0 ;printf ("Welcome to Mr.Gin's little bomb. You have 6 phases with\n" );printf ("which to blow yourself up. Have a nice day! Mua ha ha ha!\n" );printf ("Phase 1 defused. How about the next one?\n" );printf ("That's number 2. Keep going!\n" );printf ("Halfway there! Good job!\n" );printf ("So you got that one. Try this one.\n" );printf ("Good work! On to the next...\n" );free (fp);NULL ;return 0 ;
便知道每个 phase 都需要我们找到一个正确的字符串。
先在 bomb.asm 里面找到 phase 1:
1 2 3 4 5 6 7 8 9 10 11 00000000000027b8 <phase_1>:
发现似乎很简单。显然我们的输入是在 %rdi 的,27c0 又将 %rip+0x2a39 赋给了 %rsi,这俩自然是 strings_not_equal 的参数。根据其逻辑可以发现如果不相等的话就会 call explode_bomb。所以我们自然希望获取到那一段内存里面的值。
打开 gdb,gdb bomb,为了保险起见先给 explode_bomb 打断点,然后给 phase_1 打断点:
1 2 3 4 5 Reading symbols from bomb...
然后输出 r 就可以运行程序了,先随便输入一个字符串。程序会在第一个断点停下来,也即 phase_1 处。
1 2 3 4 5 6 7 8 9 10 (gdb) r"/lib/x86_64-linux-gnu/libthread_db.so.1" .'s little bomb. You have 6 phases with which to blow yourself up. Have a nice day! Mua ha ha ha! abcdefg Breakpoint 2, 0x00005555555567b8 in phase_1 () (gdb)
输入 disas 可以让 gdb 显示对应部分的汇编代码。按 ni 可以跳到下一步指令。我们一直 ni 到 lea 完成为止。然后用 x/s $rsi 即可检查对应部分的内存并以字符串输出了。所以 phase_1 的答案就是那个字符串。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Breakpoint 2, 0x00005555555567b8 in phase_1 ()
按 r 重新运行程序然后输入这个字符串即可。按 c 可以从断点处继续往下运行。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 (gdb) r
进入 phase 2,先看看汇编代码。真的还长了很多,下面分段给出注释。
1 2 3 4 5 6 7 8 9 10 00000000000027dc <phase_2>:
我们再跳到 read_six_numbers 看看是个啥情况:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 00000000000030cc <read_six_numbers>:
注意到 30f9 处调用了 sscanf 函数,那么想必前几行就是在准备 sscanf 的参数了。sscanf 的第一个参数为要 scan 的字符串地址,存在 %rdi 中,第二个参数为匹配的模式串,存在 %rsi 中。这个函数要读六个数字,那么后面的几个参数就应当为读到的数字的地址。下面给出相应注释:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00000000000030cc <read_six_numbers>:
这样便已看明白 read_six_numbers 的行为,是读 6 6 6 a 0 , ⋯ , a 5 a_0,\cdots,a_5 a 0 , ⋯ , a 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
所以这六个数字显然为 0 1 1 2 3 5,是为斐波那契数列。
顺带一提的是,观察 main 函数我们知道,可以将已经破开的字符串放进一个文件里面,就不用每次都输入了。到了文件里面没有的才会从 stdin 里面读入。
所以我们不妨令 main 的参数为文件名,在 gdb 中 set args data.in 即可。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 Reading symbols from bomb...set args data.in"/lib/x86_64-linux-gnu/libthread_db.so.1" .'s little bomb. You have 6 phases with which to blow yourself up. Have a nice day! Mua ha ha ha! Phase 1 defused. How about the next one? That' s number 2. Keep going!
此时我们就可以继续着眼于第三个 phase 了。
phase 3 更长,我们先看前几行,浅浅注释一波:
1 2 3 4 5 6 7 8 9 10 11 0000000000002859 <phase_3>:
看到调用 sscanf 便知又是要从字符串里面读些什么。先看看 %rsi 是什么情况。可以通过 *phase_3+39 打断点到相应的指令位置,然后输出 %rsi。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 (gdb) disasfor function phase_3:$0x18 ,%rspin phase_3 ()$rsi "%d %d"
这下我们知道,phase 3 是需要我们输入两个整数,存放在 %rsp 和 %rsp+4 处,暂且分别叫做 x x x y y y
1 2 3 4 5 6 7 8 9 10 11 2880: e8 db fa ff ff call 2360 <__isoc99_sscanf@plt>
到了比较麻烦的地方了。这里是取了个 %rdx,然后要跳到 %rdx * 2 + 4 * x 的地方。
这个东西有点像 switch 语句,但我们如果不真带入个啥也没法分析了。不妨我们就让输入的 x = 0 x=0 x = 0
发现跳到了这个地方:
1 2 3 4 5 6 7 8 9 10 28af: 8b 44 24 04 mov 0x4(%rsp),%eax
第一行相当于把 y y y 0x282 后与 0x6b0 比较,如果不等于的话就跳去 2930,即爆炸。否则好像就可以了。
所以有一个答案为 0 1070。剩下的分支都是类似的,但都会跳到与 0x6b0 的比较。
事实上用 IDA 的反编译代码也如此:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 unsigned __int64 __fastcall phase_3 (__int64 a1) int v1; int v3; int v4; unsigned __int64 v5; 0x28 u);if ( (int )__isoc99_sscanf(a1, "%d %d" , &v3, &v4) <= 1 )switch ( v3 )case 0 :642 ;break ;case 1 :443 ;break ;case 2 :584 ;break ;case 3 :316 ;break ;case 4 :188 ;break ;case 5 :270 ;break ;case 6 :856 ;break ;case 7 :760 ;break ;default :if ( v1 != 1712 )return v5 - __readfsqword(0x28 u);
看看开头吧:
1 2 3 4 5 6 7 8 9 10 11 12 13 0000000000002977 <phase_4>:
照例把 sscanf 的模式串找出来,仍为 %d %d。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 29a5: 83 f8 02 cmp $0x2,%eax # 照例
所以这就相当于:
1 2 3 4 5 6 int val = 0 , i = 0 ;for (i = 0 ; i < x; ++i) {if (val != y) explode_bomb
其实我们都不必关心 func4 里面是个什么东西,只需要执行到 29d2 的时候找到 ebp 的值就可以了。
所以这题答案为 5 20,搞定!(怎么感觉比 phase 3 还简单)
看看是个啥情况:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 00000000000029fb <phase_5>:
看到这里就知道我们需要的是一个长度为 6 6 6 maduiersnfotvbylSo you think you can stop the bomb with ctrl-c, d。令这个数组为 T[] 吧
1 2 3 4 5 6 7 8 9 10 11 12 13 14 2a21: b8 00 00 00 00 mov $0x0,%eax # i = 0
所以,这一部分是令 A[i] = T[S[i] & 0xF],相当于做了些变换处理。我们继续看:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 2a50: c6 44 24 07 00 movb $0x0,0x7(%rsp) # 将 rsp+7 的位置置零。可以理解为是 A[6] = 0
把对应的串取出来,可以得到是 bruins。
那么我们需要的就是构造对应的输入,这个是不难的,考虑到 writeup 中补充说了 phase_5 的答案为数字和字母,所以构造出答案 M63487。
最难的一个来了。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 0000000000002a8c <phase_6>:
先看前面吧,又是熟悉的读六个整数,要做些什么妖呢:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 2a8c: f3 0f 1e fa endbr64
仔细分析之后发现是一个二重循环,内容如下:
1 2 3 4 5 6 7 8 9 10 int i, j;for (i = 0 ; i <= 5 ; ++i) {if (a[i] - 1 > 5 )for (int j = i + 1 ; j <= 5 ; ++j) {if (a[i] == a[j])
这告诉我们,输入的必须是 6 6 6 6 6 6
循环结束后会跳到 2afa,我们先看前面几行。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 2afa: be 00 00 00 00 mov $0x0,%esi # 根据后面怀疑其为下标
现在比较逆天的是,出现了一个 <node1>,我们在这个地方打好断点后,看看那段内存是个什么情况:
1 2 3 4 5 6 7 8 9 (gdb) x/32 $rdx
发现这一段内存的形式有点像是一个链表。第一个字段存值,第二个字段存下标,第三和第四个字段一起成为指向下一个元素的指针。
发现 node5 指向了 0x000055555555c080,检查一下那段内存:
1 2 (gdb) x/4 0x000055555555c080
合理了。说明这个链表的初始状态是 node1->node2->node3->node4->node5->node6->NULL。输入的数字被限制在 6 6 6
然后我们再仔细看看他在做些什么:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 2afa: be 00 00 00 00 mov $0x0,%esi # 根据后面怀疑其为下标
我们大概可以明白,rsp+20 起应当是维护了一个指针数组 node* nodes[6],伪代码可以写成:
1 2 3 4 5 6 7 8 9 10 11 int i;for (i = 0 ; i <= 5 ; ++i) {int val = 1 ;while (val < a[i]) {
于是我们知道,nodes[i] 维护的便是指向 node_{a[i]} 的指针。回忆之前所说读入的数字应当个个不同,所以可以确定的是,这段代码是将链表中的节点按照给定的顺序重新取了出来,我们继续往下看,发现应该又是一个循环:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 2b2b: 48 8b 5c 24 20 mov 0x20(%rsp),%rbx # rbx = nodes[0]
这便是把那些节点的顺序进行了重新安排,安排成了我们输入指定的顺序。
继续!马上胜利了!发现又有一个循环,拆解:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 # 此时 rbx 的值为 nodes[0]
这是在干什么,这是要求最后按照我们的顺序排好后,链表中节点的值是递减的。
回头去看看各个节点的值,便知道答案为 5 2 6 1 4 3。
主要在于很无奈的是,现在提交 secret phase 会用掉两个 grace day。所以就只能破拆一下二进制文件的样子。
先看 initialize_bomb:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 0000000000002d80 <initialize_bomb>:
发现正常情况下其会返回一个指针,指向的内容为 0x2021fa11,而且看主函数的代码可以发现返回值不对的话也会触发异常。
那我们就只需要让其在函数一开始就完成指令
1 2 3 4 mov $0x4, %edi
就可以了。注意一开始的 endbr64 不能动。
需要注意不能修改二进制文件的长度,只能直接就近覆盖。而且由于 call 是相对地址,所以也需要计算一下新的偏移量。更改后的如下:
1 2 3 4 5 6 0000000000002d80 <initialize_bomb>:
然后是 send_msg,即每次炸弹拆除后/炸弹爆炸时都会调用的函数,通过 IDA 反编译结果和前人资料我们知道 send_msg 的第二个参数是一个指向 32 位值的指针,而 send_msg 要将其的值置为 1 1 1
所以我们让 send_msg 的前几行变成
1 2 3 endbr64
所以改成 c7 06 01 00 00 00 c3 即可。
1 2 3 4 0000000000002ee4 <send_msg>:
经过测试,完全不会有任何问题。
似乎在 main 函数里面也没有找到 secret phase,还是先找找哪里 call 了 secret phase 吧。发现在 phase_defused 函数里面。我们先看第一部分控制流吧。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 000000000000324f <phase_defused>:
前面的东西不必理会,主要是看到有一个全局变量叫做 num_input_strings,经过实验发现用 p (int)num_input_strings 后发现这个变量即为 read_line 读入的字符串个数,放在这里也就是拆掉了的炸弹个数。所以必须拆掉前面所有炸弹之后才可能进入 secret phase。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 329a: e8 f9 f3 ff ff call 2698 <abracadabra>
%rip 是指令指针的意思,指向下一条要执行的指令。
发现先调用了 abracadabra,若返回值为 0 0 0 0x22be(%rip) 和 0x22fa(%rip)。不过无所谓,只有返回值不为 0 0 0 alohomora。如果其返回值为 0 0 0 32f6 处,打印 0x222b(%rip) 和 0x21cf(%rip),但只要其返回值不为 0 0 0 。提示词如下:
1 2 3 4 5 6 (gdb) x/s *phase_defused+126+0x21ab"Curses, you've found the secret phase!" "But finding it and solving it are quite different..." "And I can't give you a clear answer yet. You need to measure it yourself..."
emm,如果 alohomora 触发失败就是这样的:
1 2 3 4 (gdb) x/s *phase_defused+174+0x222b
什么沟槽的信科特色
经过 gdb 调试,进入 abracadabra 的时候 %rdi 的值仍为 1 1 1 send_msg 的),因此判断 abracadabra 是没有参数的。
我们看看 abracadabra 在干什么吧:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 0000000000002698 <abracadabra>:
发现又有一个 sscanf,我们把 %rdi 和 %rsi 指向的东西都打印出来看看:
1 2 3 4 (gdb) x/s $rdi "5 20" $rsi "%d %d %s"
发现是 phase 4 我们的输入。然后把数字分别存到 %rsp+0x8 和 %rsp+0xc 里面,再把后面的字符串放到 %rsp+0x10 里面,再看后面:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 26d8: 83 f8 03 cmp $0x3,%eax
发现必须得读到第三个字符串,然后会与 2702 行取到的东西进行比较,我们具体看看是什么:
1 2 (gdb) x/s *abracadabra+113+0x2aa7"...VeniVidiViciTwoThousandYearsAgo?"
于是我们知道了,必须在第 4 4 4 ...VeniVidiViciTwoThousandYearsAgo? 才会触发 alohomora。接下来看看阿拉霍洞开吧!
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 0000000000002725 <alohomora>:
于是我们可以看懂了,在第二个 phase 的字符串后面还要跟一段东西。应当是要跟上 ...diaSecnOraseaCsuiluJsuiaGtahTwonKUoD 的 reverse,即 DoUKnowThatGaiusJuliusCaesarOnceSaid...,有点意思。
此时,我们便已经能够进入 secret phase。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 0000000000002beb <secret_phase>:
我们可以看出来,secret phase 读入的字符串会过一道 strtol 函数变成 long,然后调用一个 get_sum 并要求其返回的结果与我们输入的数相同。我们且看看 get_sum 是怎么个事,嗯其返回 63 63 6 3
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 ➜ ubuntu@ics-yangty ~/bomb162 > ./bombto Mr.Ginto blow yourself up. Have a nice day! Mua ha ha ha!is a program that science and logic can never explain.1 defused. How about the next one?0 1 1 2 3 5 DoUKnowThatGaiusJuliusCaesarOnceSaid...0 1070 5 20 ...VeniVidiViciTwoThousandYearsAgo?Try this one.On to the next ...5 2 6 1 4 3 and solving it are quite different...And I can63 finally knew that the students at PKU are not easy to defeat.in haste, but you know it is not over..."A sleepless malice" , uttered you as you caught a whiff of the next trouble...and will verify your solution.
好像这个 secret phase 是简单版本的。重新下载了个炸弹开始拆,前面的就用了 IDA:
略
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 unsigned __int64 __fastcall phase_2 (__int64 a1) int i; 6 ]; unsigned __int64 v4; 0x28 u);if ( v3[0 ] < 0 )for ( i = 1 ; i <= 5 ; ++i )if ( v3[i] != v3[i - 1 ] + i )return v4 - __readfsqword(0x28 u);
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 unsigned __int64 __fastcall phase_3 (__int64 a1) char v1; char v3; int v4; int v5; unsigned __int64 v6; 0x28 u);if ( (int )__isoc99_sscanf(a1, "%d %c %d" , &v4, &v3, &v5) <= 2 )switch ( v4 )case 0 :if ( v5 != 505 )120 ;break ;case 1 :if ( v5 != 552 )102 ;break ;case 2 :if ( v5 != 295 )105 ;break ;case 3 :if ( v5 != 422 )121 ;break ;case 4 :if ( v5 != 825 )121 ;break ;case 5 :if ( v5 != 777 )122 ;break ;case 6 :if ( v5 != 866 )100 ;break ;case 7 :if ( v5 != 680 )99 ;break ;default :if ( v3 != v1 )return v6 - __readfsqword(0x28 u);
1 2 3 4 5 6 7 8 9 10 11 12 13 unsigned __int64 __fastcall phase_4 (__int64 a1) unsigned int v2; int v3; unsigned __int64 v4; 0x28 u);if ( (unsigned int )__isoc99_sscanf(a1, "%d %d" , &v2, &v3) != 2 || v2 > 0xE )if ( (unsigned int )func4(v2, 0LL , 14LL ) != 31 || v3 != 31 )return v4 - __readfsqword(0x28 u);
那我们看看 func4 在干嘛:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 __int64 __fastcall func4 (__int64 a1, __int64 a2, __int64 a3) int v3; int )a3 - (int )a2) / 2 ;if ( v3 > (int )a1 )unsigned int )(v3 - 1 ));else if ( v3 < (int )a1 )unsigned int )(v3 + 1 ), a3);return (unsigned int )v3;
直接写个程序硬跑就可以了:13 31
这个没法直接看出来了。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 unsigned __int64 __fastcall phase_5 (__int64 a1) char *v1; int v5; int v6; unsigned __int64 v7; 0x28 u);"%d %d" ;if ( (int )__isoc99_sscanf(a1, "%d %d" , &v5, &v6) <= 1 )void (__noreturn *)(void ))explode_bomb)();0xF u;0LL ;0LL ;while ( v5 != 15 )unsigned int )(v3 + 1 );char *)array_0;unsigned int )(v5 + v2);if ( (_DWORD)v3 != 15 || v6 != (_DWORD)v2 )return v7 - __readfsqword(0x28 u);
这个循环里面,有种跳链表的感觉。
1 2 3 4 5 (gdb) x/20dw $rsi
整理一下就是:
1 2 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 10 2 14 7 8 12 15 11 0 4 1 13 3 9 6 5
因为 v3 一定最后要是 15 15 1 5
1 0 -> 10 -> 1 -> 2 -> 14 -> 6 -> 15 -> 5 -> 12 -> 3 -> 7 -> 11 -> 13 -> 9 -> 4 -> 8 -> 0
重新排一下:
1 5 -> 12 -> 3 -> 7 -> 11 -> 13 -> 9 -> 4 -> 8 -> 0 -> 10 -> 1 -> 2 -> 14 -> 6 -> 15
最后可以得到答案 5 115。
和我的是一样的。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 0000000000001cb3 <secret_phase>:
前面的地方是在检测串长,要求串长不能超过 25 25 2 5 check_synchronizing_sequence:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 0000000000001c69 <check_synchronizing_sequence>:
又发现有个叫做 emulate_fsm 的东西。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 0000000000001c12 <emulate_fsm>:
很有趣。反编译出来长这样的:
1 2 3 4 5 6 7 8 9 10 __int64 __fastcall emulate_fsm (unsigned int a1, _BYTE *a2) while ( *a2 )if ( (unsigned __int8)(*a2 - 48 ) > 1u )7 * (char )*a2++ - 336 + a1];return a1;
把 transition_table 弄出来:
1 2 3 4 5 6 (gdb) x/20dw 0x5555555583c0
所以 transition_table 就是 6, 1, 3, 0, 2, 4, 5, 0, 2, 1, 3, 1, 5, 6。
这便指引我们,需要枚举一个长度小于等于 25 25 2 5
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 #include <stdio.h> #include <assert.h> int transition_table[] = {6 , 1 , 3 , 0 , 2 , 4 , 5 , 0 , 2 , 1 , 3 , 1 , 5 , 6 };char str[30 ];long long emulate_fsm (unsigned int a1, char *a2) while ( *a2 )'0' || *a2 == '1' );7 * (char )*a2++ - 336 + a1];return a1;long long check_synchronizing_sequence (char * s) int v1; int i; 0LL , s);for ( i = 1 ; ; ++i )if ( i > 6 )return 0LL ;if ( (unsigned int )emulate_fsm((unsigned int )i, s) != v1 )break ;return 0xFFFFFFFF LL;void gen_str (int len, int idx) {if (len == idx) {long long res = check_synchronizing_sequence(str);if (!res) {printf ("found answer %s\n" , str);return ;'1' ;1 );'0' ;1 );return ;int main () {for (int len = 1 ; len <= 25 ; ++len) {0 );
跑出来结果了。搞定。
1 2 3 4 5 6 7 8 Fear of death is worse than death itself.0 1 3 6 10 15 DoUKnowThatGaiusJuliusCaesarOnceSaid...0 x 505 13 31 ...VeniVidiViciTwoThousandYearsAgo?5 115 2 3 4 5 1 6 1000100101001000101000001