query=upx upx.exe -d easyre.exe 再查一次,避免多重壳。 逆向分析 ida搜索字符串,shift+F12 是flag的第2部分,现在查找第一部分。 打开反汇编子窗口,拖到右边 Functions窗口中搜索part 数据放在栈上,16进制转字符串,按R。恢复数据,两个注意点 小端字节序存储(高位字节坊高地址,低位字节放低地址) 栈的先进...
简介暗示有壳,脱了先 不一定只有一层壳,要脱干净 很轻松找到flag的尾部,但点到反汇编代码发现它没有被引用,有意思的是它叫f_part2。不妨找找part0,part1。 IDA把它解释成了函数。这时候我们用二进制打开文件就会发现的确有一个带有{的字符串 但是如果直接将这个头部和尾部拼接,答案是错误的。回去看这个函数...
[WP]XCTF-easyre-153 1、查看基本信息,32 位 ELF 程序,注意到是静态链接 运用strings 工具发现了 UPX 字样 2、脱壳 3、载入 IDA 一个进程在由 pipe()创建管道后,一般再fork一个子进程,然后通过管道实现父子进程间的通信,管道两端可分别用描述字fd[0]以及fd[1]来描述,需要注意的是,管道的两端是固定了任务...
xctf攻防世界 REVERSE 高手进阶区 easyRE1 0x01. 进入环境,下载附件 给出了压缩包,解压出一个easy-32和easy-64位文件,使用exeinfo PE打开查看是否加壳,均未加壳,两个文件分别为32位和64位文件。 尝试直接使用IDA32位和IDA64位分别打开两个文件,找到main函数,F5进行反编译,得到反编译代码为: int__cdeclmain(in...
CTF Reverse · 5篇 简介暗示有壳,脱了先 不一定只有一层壳,要脱干净 很轻松找到flag的尾部,但点到反汇编代码发现它没有被引用,有意思的是它叫f_part2。不妨找找part0,part1。 IDA把它解释成了函数。这时候我们用二进制打开文件就会发现的确有一个带有{的字符串 ...
2019-11-29 00:04 −##一、题目来源 ** 来源:XCTF社区安卓题目easy_apk** --- ##二、破解思路 ** 1、首先运行一下给的apk,发现就一个输入框和一个按钮,随便点击一下,发现弹出Toast`验证失败`。如... windy_ll ...
XCTF EasyRE 一.查壳 无壳,并且发现是vc++编译的 二.拖入ida,来静态分析,这题让我深刻感觉到汇编的nb。 这段算是灵性的一段了,单从静态语句来看,发现分析不出啥,只能靠猜一下,我当时猜的是将输入的字符串又赋值到一个新的字符数组里了,后面,写脚本就出现了问题,一直乱码,又返回分析,结合wp才知道,这...
xctf easyre 一道简单的题目 while ( v1 < 24 ); v4 = 0; do { byte_40336C[v4] = (byte_40336C[v4] + 1) ^ 6;// 关键处理加一异或6 ++v4; } while ( v4 < 0x18 ); v5 = strcmp(byte_40336C, (const char *)&unk_402124);// 比较 xIrCj~<r|2tWsv3PtI zndka...
CTF Reverse · 5篇 简介暗示有壳,脱了先 不一定只有一层壳,要脱干净 很轻松找到flag的尾部,但点到反汇编代码发现它没有被引用,有意思的是它叫f_part2。不妨找找part0,part1。 IDA把它解释成了函数。这时候我们用二进制打开文件就会发现的确有一个带有{的字符串 ...