bugku-逆向-3、Easy_Re

最新推荐文章于 2024-02-11 12:01:16 发布
最新推荐文章于 2024-02-11 12:01:16 发布
阅读量7.8k 收藏 13
点赞数 6
分类专栏: # Bugku-逆向类CTF写题过程 # C/C++逆向(windows) 文章标签: c++ 逆向工程 IDA OllyDbg CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/108654626
版权

首先对Easy_Re.exe查壳:
在这里插入图片描述
并没有壳,是用Visual C++写的控制台程序,然后就把它用IDA打开,用不同把那本的IDA打开对exe的数据解析和反汇编的伪代码是有些差异的,这是7.0版本的伪代码:
在这里插入图片描述

这是6.8版本的伪代码:
在这里插入图片描述

int sub_401000()
{
  int v0; // eax
  __int128 v2; // [esp+0h] [ebp-44h]
  __int64 v3; // [esp+10h] [ebp-34h]
  int v4; // [esp+18h] [ebp-2Ch]
  __int16 v5; // [esp+1Ch] [ebp-28h]
  char v6; // [esp+20h] [ebp-24h]

  _mm_storeu_si128((__m128i *)&v2, _mm_loadu_si128((const __m128i *)&xmmword_413E34));// 将__m128i 变量xmmword_413E34的值存储到v2所指定的变量中去,xmmword_413E34  xmmword '0tem0c1eW{FTCTUD'
  v4 = 0;
  v3 = qword_413E44;                            // qword_413E44    dq '}FTCTUD'
  v5 = 0;
  sub_40127B((int)"欢迎来到DUTCTF呦\n");
  sub_40127B((int)&unk_413E60);                 // 这是一道很可爱很简单的逆向题呦
  sub_40127B((int)"输入flag吧:");
  sub_4010D1("%s", &v6);                        // v6:输入的字符串
  v0 = strcmp((const char *)&v2, &v6);          // >返回正数,=返回0,<返回负数
  if ( v0 )
    v0 = -(v0 < 0) | 1;                         // 正数都转化为1,符数都转化为-1,0不变
  if ( v0 )                                     // 非0即真,只要v0不是0就会执行if中的语句,是0就证明正确就会输出flag get√
    sub_40127B((int)"flag不太对呦,再试试呗,加油呦\n");
  else
    sub_40127B((int)"flag get√\n");
  sub_401171("pause");
  return 0;
}

这就是主要的main函数,我给它加了部分注释,其实不看这些代码也可以。
点击xmmword_413E34和qword_413E44,查看它们的内容:
在这里插入图片描述

发现它们的内容是16进制的数字串,这其实是字符串的16进制形式,选中按快捷键‘R’就可以实现16进制数字到字符的互相转化:
在这里插入图片描述

其实这就是转置存储的flag,我们可以用IDA的python插件,将它们转换成正常顺序的flag:
在这里插入图片描述
得到flag就是DUTCTF{We1c0met0DUTCTF}。

题外话

关于不同版本的IDA对相同exe的数据解析和反汇编的伪代码的差异,都是可以自己修改数据的格式,增加数据和伪代码的可读性。
如下图所示,xmmword_413E34和qword_413E44被IDA解释为不同的数据:
在这里插入图片描述

选中这两个数据,直接右键转化为未定义,或者右键转化为数据:
在这里插入图片描述再转化为数组合:
在这里插入图片描述

点击确定:
在这里插入图片描述

两个数据就都会被转换为一个数组合,变现为每个字符都是按正常顺序排列的:
在这里插入图片描述
这时候再右击unk_413E34,发现IDA已经能把它识别为一个完整的字符串了:
在这里插入图片描述

也可以直接按快捷键‘A’解释光标的地址为字符串的首地址:
在这里插入图片描述

就得到了正确顺序的flag字符串DUTCTF{We1c0met0DUTCTF}。
同样地,其他输出提示信息的字符串也可以修改。如:‘这是一道很可爱很简单的逆向题呦’
先是unk_413E60:未定义的数据
在这里插入图片描述

对未定义的数据unk_413E60每四个字节也就是双字一组,按快捷键‘R’转化为dword_413E60字符:
在这里插入图片描述

对未定义的数据unk_413E60右键或者按快捷键‘A’转化为字符串asc_413E60:
在这里插入图片描述

选中刚刚修改的数据,右键->同步到->伪代码:
在这里插入图片描述

可以看到IDA的汇编代码中已经识别我们刚刚的修改。
在这里插入图片描述

重启IDA,打开刚刚修改保存之后的idb文件,再对汇编代码按F5反汇编:
在这里插入图片描述

可以看到反汇编的代码也识别到了我们修改的数据,相比之前的代码增加了可读性。
sub_40127B函数我们知道它实际上就是printf函数,再IDA7.0中已经能够识别出来,但是6.8中没有识别出来,我们可以右键->重命名全局项目:
在这里插入图片描述

把sub_40127B函数改为printf:
在这里插入图片描述在这里插入图片描述

这样所有的sub_40127B函数就都被改为printf函数了:
在这里插入图片描述

同样地,sub_4010D1函数也可以改为scanf函数,sub_401171函数也可以改为system函数:
在这里插入图片描述

只要我们对数据的修改是正确的,这样的修改可以很大程度上提高数据和伪代码的可读性。

大灬白
关注
  • 6
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf逆向入门练习(Easy_Re)
song_10的博客
10-31 4335
bugku逆向第三题:Easy_Re 下载附件后打开发现要求输入flag,随便输入一个试试,提示不对,继续后界面关闭: 先查壳,发现无壳,然后载入OD,查找字符串: 转到“flag get”的字符串对应的地址,向上查阅,发现一个jnz跳转语句刚好跳过“flag get”, 下断后运行程序到达这一语句后,观察寄存器窗口,得到flag(DUTCTF{We1c0met0DUTCTF}) ...
Bugku逆向esay-re
qq_45888540的博客
03-22 195
1.先点开题目,看到以下图片 2.先下载,然后打开,自己试一下 随便输入 3.拖入PEID查看是否有壳 4.载入ida,查找到题目的字符,将以下两次按R键转为字符即可 观察到,flag是逆序的,只需把它反过来就好 5.在题目输入查找到的flag试一下,观察结果 最后,结果正确,大功告成! ...
bugku Easy_Re
qq_35576225的博客
10-23 262
1.先查看壳,发现没有壳 2.OD 用OD搜索字符串
BUGKUeasy_re
chen64515的博客
03-25 613
BUGKUeasy_re尝试IDA 提示: flag格式:DUTCTF{xxxx} Hint: 1.逆向常用的工具有IDAollydbg 地址 尝试 要输入一个flag串,尝试输入失败,根据提示使用IDA查找flagIDA 将文件拖入IDA,按F5进行反编译(提示没有Decompiler,是安装的IDA不带反编译插件,找带的版本重新安装)得到c代码: int __cdecl m...
BUGKU 逆向题:easy_re
weixin_30799995的博客
01-23 394
BUGKU 逆向题:easy_re easy_re 将程序拖入到ida打开。使用F5键得到C语言代码。 对代码进行分析,可以发现:程序要求输入一个字符串,再将这个输入的字符串和某个已有的字符串进行比对,如果两者相等,则输出:flag get。显然,这个存在函数的也有的字符串就是flag。 进入内存寻找flag,再使用右键->data,将十六进制数转换成字符串,如下图所示: flag...
[Re]bugku CTF逆向题(持续更新)
Hello World.c
12-05 3159
目录 bugku 入门逆向题解 bugku easy_vb题解 bugku easy_re bugku 游戏过关题解 bugku love题解 bugku file题解 待续 bugku 入门逆向题解 打开程序,一闪而过去 控制台环境打开 只有一串字符,再次拖入ida   em,啥都没有,flag果然就是这串字符 bugku easy_vb题解 一个vb写的程...
Bugku 逆向(reverse)
Anqi__的博客
01-13 1366
Bugku 逆向(reverse) 小菜鸡从今天开始要做bugku啦,本文记录一下做过的bugku逆向题目,希望这个假期可以进步一点点~~ 入门逆向 ida载入查看main函数,双击后看到一长串十六进制数,按r快捷键转为字符,得到flagEasy_Re 查壳,无壳 运行一下得到的exe程序,发现是简单的校验flag是否正确,flag应藏在程序。 shift+f12查看字符串,发现flag get 应为得到flag的入口,双击进入后右键同步到16进制视图,得到flag。 或者查找字符
CTF-逆向刷题记录
qq_51564026的博客
02-07 1122
Reverse
[CTF]Bugku Easy_Re
qq_42152365的博客
02-03 463
CTFBugku Easy_Re 60 {主要任务是学习,不花过多时间在写博客上} 1. 无壳,拖入IDA,main程序不好找 2. 点击运行,发现有可搜索的字符串,比如“DUTCTF” 3. 在IDA搜索DUTCTF,发现字符串所在位置,然后发现调用函数401000 4. 进入函数401000,F5发现需要对比v4和v8,v8应该是输入的,但v4不知哪来的,于是拖入到Ollydb...
Bugku逆向——Easy_Re
weixin_45883291的博客
02-17 145
运行后 用OD打开同样用智能搜索 发现flag
BugKu逆向之03-Easy_Re
ACGeny的博客
08-11 190
BugKu逆向之03-Easy_Re一、文件描述二、解题思路 请接题 BugKu原题下载. 吾爱破解下载. 一、文件描述 1. 可以直接运行,有窗口,见下图 2. 文件大小 89KB 3. 不能txt直接打开,是正儿八经的exe文件 任意输入字符,,就退出了,,你也可以试试看。。。 二、解题思路 首先想到的是动态调试,,毕竟可以运行嘛,,那就用我们的OD试试看, 老规矩先字符串检索一波,,有没有可疑对象,, 这里看到要输入flag,,就是之前dos窗口显示出来的,, 然后,,看到有两个分支,,一
Easy_Re(逆向
WYJ____的博客
05-31 2094
下载是个.exe文件,随便输入显示答案不对 OD载入,右键-文搜索引擎-智能搜索 双击,“flag get”的字符串对应的地址 向上翻阅,可以看到jnz指令,这是判断是否是正确的标志,再此下一个断点。如果它跳转会跳转到下面,显示flag不太对,不跳转就会显示出flag get。找到此断点后向上查找。 从程序的输入位置之后,就是一个验证过程,在此下第二个断点。 ...
Easy_Re
weixin_30416871的博客
04-04 370
这题比较简单,一波常规的操作之后直接上ida(小白的常规操作在以前的博客里都有所以这里不在赘述了),ida打开之后查看一下, 这里应该就是一个入口点了,接着搜索flag字符串, 上面的黄色的部分转换成字符就是上面的那个样子了,看了一下还是没有什么发现,所以查看一下hex view-a部分吧, emm....答案就出来了, DUTCTF{We1c0met0DUTCTF} 转载于:...
Easy-RE
xici_的博客
12-10 156
下载文件并在ida打开 打开后找到主函数,查看源代码 点击选定数字用R转换成字符串 找到flag,提交flag
bugku-逆向-2、easy_vb
Onlyone_1314的博客
09-15 5611
下载程序,运行一下: 再用PEiD看一下有没有加壳: 发现是MFC编程的软件并没有加壳,再用IDA打开它: F5反编译伪代码,发现并没有源代码,这就是上面我们说的MFC编程的原因。 只能看汇编代码了,先搜索文本:flagCTF: 刚好.text代码段找到了MCTF{N3t_Rev_1s_E4ay}。提交的flag是flag{N3t_Rev_1s_E4ay}。 用OD打开,程序停在入口处: 在这搜索字符串flagCTF: 并没有发现flag。 这时候我们发现程序的注释写着:“下面的call
Bugku——Easy_Re详解
1匹黑马
03-26 2915
文章目录Easy_Re解题 Easy_Re 题目地址:Easy_Re 解题 直接拖进OD里,定位到%s哪里,哪里是获取我们的传值内容,在往下走应该就是比较,然后返回结果。 在下面的CALL下个断点,继续单步,注意第一个cmp,这是一个比较指令,运行到cmp时观察堆栈及寄存器变化。 成功拿到flag:DUTCTF{We1c0met0DUTCTF} ...
BugKu---Easy_Re逆向题解
最新发布
m0_63581842的博客
02-11 2079
_m128i 类型变量映射到XMM[0-7]寄存器,它的地址会自动对齐到16字节的边界, 即__m128i类型的变量的起始地址总是16的整数倍。由于IDA不提供撤销的功能,如果你不小心按到某个键,导致ida数据库发生了改变,就得重新来过,所以要记得在经常操作的时候,加上快照:file-->take database snapshot。输入flag v9,将v9和v5比较,得到v3可能大于0,小于0,等于0;【想找一个合适的将字符串倒序的代码,没怎么找到,有点复杂,直接倒序】
bugku_Easy_Re
cc_de_csdn的博客
09-09 248
1.查壳发现无壳,使用OD载入,查看字符串发现提示: 2.进入反汇编界面,发现跳转点,将其NOP掉可以爆破,在成功处下断点,跑起来后输入任意字符进入成功的部分,然后单步调试,在寄存器处发现flag: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值