从零开始的[BUUCTF-reverse1]

最新推荐文章于 2023-12-25 11:34:34 发布
最新推荐文章于 2023-12-25 11:34:34 发布
阅读量254 收藏
点赞数 1
文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Almosttmr/article/details/108962253
版权

[BUUCTF-reverse1]

逆向复习

1.打开IDA导入文件(其实首先要放入Exeinfo PE中查看信息)

2.shift+f12搜索关键字符串 如

3.遇到问题 摸到字符串地址的时候 不能用f5查看伪代码 并且不能转换成框图 怀疑原因是ida没有识别出这些是函数

我曾经也遇到过这个问题。然而在百度的过程中,发现“Create Fun”方法并没有用。image-20201006171151959

实际上,跟进下面sub_1400118C0地址,就能找到函数所在。(已然是框图显示)

image-20201006171251650

F5查看loc_140011948的伪代码(改正:其实F5已经结合整个框图)

int64 sub_1400118C0()
{
  char *v0; // rdi
  signed __int64 i; // rcx
  size_t v2; // rax
  size_t v3; // rax
  char v5; // [rsp+0h] [rbp-20h]
  int j; // [rsp+24h] [rbp+4h]
  char Str1; // [rsp+48h] [rbp+28h]
  unsigned __int64 v8; // [rsp+128h] [rbp+108h]

  v0 = &v5;
  for ( i = 82i64; i; --i )
  {
    *(_DWORD *)v0 = -858993460;
    v0 += 4;
  }
  for ( j = 0; ; ++j )
  {
    v8 = j;
    v2 = j_strlen(Str2);
    if ( v8 > v2 )
      break;
    if ( Str2[j] == 111 )
      Str2[j] = 48;
  }
  sub_1400111D1("input the flag:");
  sub_14001128F("%20s", &Str1);
  v3 = j_strlen(Str2);
  if ( !strncmp(&Str1, Str2, v3) )
    sub_1400111D1("this is the right flag!\n");
  else
    sub_1400111D1("wrong flag\n");
  sub_14001113B(&v5, &unk_140019D00);
  return 0i64;
}

根据 if ( !strncmp(&Str1, Str2, v3) ) 可以明白,这是让str1和str2比较。

跟进str2可以发现,flag就是{hello_world}

image-20201006172059661

但根据上面的代码,会发现str2被处理过。

image-20201006172402838

大意就是,从str2字符串第一位开始遍历到最后一位,如果是111,则变成48.

111和48是什么? 其实是ASCII码,选中后按R即可变成字母。(感谢之前瞎玩的经验)

image-20201006172536880

所以很明显,实际上的flag就是flag{hell0_w0rld}。

思考:有无用dbg进行动态分析的方法?能不能直接从start函数跳转进目标函数?看伪代码其实是种捷径,但我连这种方法都忘了,并且这里面还有许多不懂的。

1.什么是DATA XREF

2.这个rdata的地址命名有什么含义

这个感觉,就好像直接右键记事本打开文件,然后搜索flag一样莫名其妙。大概就是要这样不断积累经验吧。

DATA XREF

2.这个rdata的地址命名有什么含义

这个感觉,就好像直接右键记事本打开文件,然后搜索flag一样莫名其妙。大概就是要这样不断积累经验吧。

PS:还有个致命问题,打开文件提示0xc000007b错误,无法打开,导致我不能放进dbg动态分析。想解决,为此浪费了许多时间,但都无果。
Almosttmr
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[0xFA-2021][Buuctf]Reverse_1
weixin_50962947的博客
09-13 987
[0xFA-2021][Buuctf]Reverse_1 你应该知道的: 使用IDA打开一个文件 学会使用IDA的字符串窗口 学会IDA基本的操作 对引用有初步认识 用IDA打开一个文件: 我们可以直接打开IDA,然后: 可以点击New来打开一个新文件,或者点击Go把可执行文件拖入IDA,这二者都是可以的。要注意的是因为32位和64位的应用程序是不一样的所以我们要用对应的IDA版本来打开文件。如果一开始并不知道文件是几位的可以直接拖进其一,如果版本错误则会提示: 或者在反编译出现错误提示,因为程序
buuctf reverse1-逆向学习记录
qq_36915061的博客
10-21 1831
buuctf reverse1首先使用exeinfo查看拖入64位IDA 首先使用exeinfo查看 该程序无壳,为64位程序 拖入64位IDA shift+F12查看字符串 发现形似flag的{hello_world} 双击跳转到该值地址处,发现有被sub_1400118C0引用 跳转到sub_1400118C0的引用处 F5查看伪代码 分析伪代码可知,程序将输入的值与程序中的Str2进行比较,若输入的值与Str2相同,则输出this is the right flag! 双击查看Str2的值,
BUUCTF Reverse reverse1
A_dmin的博客
07-17 3712
BUUCTF Reverse reverse1 一天一道CTF题目,能多不能少 下载直接用ida(64)打开文件,找到主函数: 跟进: 到了这里,发现这里的复杂的一批 直接查看字符串: 看见关键字符串,直接跟进找调用该处的函数: 找到关键函数: 发现Str2是: 又因为: 直接把o替换成0, 所以flag就是:flag{hell0_w0rld} ...
[BUUCTF]REVERSE——reverse2
mcmuyanga的博客
10-14 2890
reverse2 附件 例行检查,64位目标 64位ida载入,首先shift+f12检索程序里的字符串 得到了“this is the right flag!” 的提示字符串,还看到了一个可能是flag的字符串,“hacking_for fun}” 双击“this is the right flag!” 的提示字符串,ctrl+x找到调用处 根据27行的if判断可知,只有当我们输入的字符串s2跟flag字符串一一样,就会提示我们flag是正确的,看一下flag字符串 hacking_for_fun
BUUCTF-Reversereverse1
_Co1a
11-20 266
题目地址:https://buuoj.cn/challenges#reverse1 查看有没有加壳: 如果加壳了,它会显示的,如果没加壳,显示的是用什么语言编写的 首先要放入Exeinfo PE中查看信息——》没加壳 丢到ida pro里面——》shift+F12 看到this is the right flag!双击跟进——》查看伪代码 v0 = &v5; for ( i = 82i64; i; --i ) { *(_DWORD *)v0 = -858993460;
BUUCTF reverse_1,reverse_2,reverse_3
weixin_45948183的博客
05-21 570
首先下载题目直接·先到PE里面查一下壳,这个题是无壳,64位 接下来到ida里面分析 找到敏感字符串,F5到1400118C0里面看看伪代码 这里可以发现,,是一个字符串比较的函数 双击看看str2里面都有什么 相应的我们把{hell0_world}里面的’o’换成0就得到flag了 ...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
fasthttp-reverse-proxy:基于fasthttp的反向http websocket代理
05-10
特征 代理客户端支持的pool 。... proxy "github.com/yeqown/fasthttp-reverse-proxy/v2" ) var ( proxyServer = proxy . NewReverseProxy ( "localhost:8080" ) // use with balancer // weights = map[string]p
simple-reverse-geocoder:从一个点获取地址
05-14
npm i -S simple-reverse-geocoder 用 const rg = require ( 'simple-reverse-geocoder' ) const loc = { type : 'Point' , coordinates : [ - 70.5171743 , - 33.3608387 ] } rg . getAddress ( loc ) . then ( ...
perl-reverse-shell
06-03
perl-reverse-shell
PE文件判断工具
02-20
可以判断一个文件是不是PE文件,也可枚举出一个文件夹中所有PE文件,也可以拷贝这些PE文件到另外的地方,也可记录下所有PE与非PE文件的路径。功能强大,值得拥有。
sandboxie逆向源码
06-10
沙箱 sandboxie 3.4.0 源码
逆向-reverse1_final
VRMEI的博客
04-18 1701
很简单的一道逆向题目。 用PEid打开查看一下 发现加了一个UPX 不过不要紧 搜索字符串就完事了:) 拉进OD。 直接搜索的话肯定是什么都没有的 所以我们一直F8 直到出现提示字符为止(其中有些循环比较杂乱 可以直接用F4跳过) 好了,停到这里了。 这时候搜索一下ASCII码 有发现了。。 点开00281102 You've got it!! ...
BUUCTF——Reverse——reverse1
最新发布
计算机硕士的博客
12-25 705
BUUCTF——Reverse——reverse1,详细解题步骤。
CTF | Reverse练习之初探
qq_42646885的博客
07-18 3205
题目描述: 主机C:\Reverse\1目录下有一个CrackMe1.exe程序,运行这个程序的时候会提示输入一个密码,当输入正确的密码时,会弹出过关提示消息框,请对CrackMe1.exe程序进行逆向分析和调试,找到正确的过关密码。 实验步骤: 1、使用PEiD扫描 通过对CrackMe1.exe程序的观察,我们知道程序需要输入一个密码,当不输入任何数据就点击按钮时,提示如...
re学习笔记(4)BUUCTF-re-reverse_1
逆向随笔
10-31 1190
新手一枚,如有错误(不足)请指正,谢谢!! 载入IDA,没有main函数,进入start函数,,发现jmp到start_0函数,双击进入查看 然后双击继续进入call…… 然后里面还有两个call……跳来跳去跳晕了,然后还没找到关键地方,,, 调试程序的时候发现字符串,搜索一下试试,找到这个位置 空格切换回框图模式 然后F5伪代码 双击str2,查看其存放的是啥 也就是将{hello_...
DDCTF2019reverse1_final逆向教程
weixin_42306891的博客
04-18 483
0x1,首先查壳: 是个常见的压缩壳,用手动脱壳即可。 0x2,OD调试程序: 1,最重要的是跳到函数加密的位置,根据这个压缩壳的特点,知道前面是一直的循环,让你找不到程序入口的位置,这里只使用F4跳到鼠标位置就好: 一步步到向下到想要的位置 这个位置是调用的位置,我们F7,进入看看; 2,在一步步走 再次调用位置; 3,其实我们已经知道程序入口,手动脱壳 ...
BUUCTF:我爱Linux
末初的CSDN博客
08-02 1477
题目地址:https://buuoj.cn/challenges#%E6%88%91%E7%88%B1Linux 下载下来解压出来的的图片,看不了,用010 editor打开 看到FF D9明显是jpg图片的结尾,而之后的内容不像是图片的内容,右键->Selection->Save Selection提取出来 提取出来的内容如下: Python Picke序列化内容(怎么看出来的我也不知道……hhh) 使用pickle脚本load出来 import pickle fp = open(
buuCTF re逆向wp1-5集合,每日一题从0到1
weixin_50847719的博客
06-27 567
不好意思,crack me把我搞得焦头烂额,现在水平属实不行,退而求其次,来buuCTF找找成就感,今天星期六不断电就多写几道题吧,考试周不想复习,考完试我就更新crack me系列,如果有时间我会出一套外挂的视频教程(开始给自己挖坑了,要食言了) 题链接https://buuoj.cn/challenges 1.easyre 拖入ida看代码,得到flag{this_Is_a_EaSyRe} 这个忘记截屏了,不过也没有讲的必要,下面的是重新来了一遍,每个都截屏了 2.reverse 1 查一下,64位的,
buuctf reverse3 1
08-26
引用提到了BUUCTF-reverse-reverse1,但并没有提到BUUCTF reverse3 1的相关内容。引用提到了一个关于for循环逆解的脚本,引用提到了关于v5长度和字符串变换的一些内容,但没有提到BUUCTF reverse3 1。请提供更多的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值