WP-南邮CTF逆向第四题 WxyVM1
用记事本打开后发现前面有elf,所以确认这个是一个elf文件.
- 打开IDA,载入WxyVM1,找到main函数,按F5,得到伪代码,并对伪代码进行分析
- 对sub_400586这个函数进行分析
- 观察这个函数,发现里面只有6010C0这个地址和604B80这个地址,并没有601060这个地址,说明这个函数是根据6010C0处的数据对用户输入的字符串进行重写,然后重写后的数据再与601060处的数据进行比较,下面对这个函数进行详细的分析,来观察它到底是怎么对用户输入的数据进行重写的
- 下面我们再来观察一下6010C0处的数据
我们发现,这个数据非常有规律,再配合前面的for循环是i += 3,判断处6010C0处存放的其实是一个以3个字节为一个元素的数组,并且元素中的第一项(V0)决定了进行什么样的操作,第二项byte_6010C0[i + 1]决定了在哪个地方进行操作,第三项(V3)决定了与什么样的数进行操作 - 由于加减乘除,按位异或的逆向运算比较简单,我们发现这个题可以直接进行逆向,于是编写IDC脚本
- 最终的到真正的flag 为nctf{Embr4ce_Vm_j0in_R3}