gegit - wp
分析题目附件:
https://adworld.xctf.org.cn/media/task/attachments/e3dd9674429f4ce1a25c08ea799fc027
拖入Exeinfo PE中:
发现是ELF文件,64位。ELF文件是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件,是Linux的主要可执行文件格式。
拖入ida64,找main函数按F5(Fn+F5)查看伪代码:
观察伪代码发现,创建了flag.txt文件,但是最后又remove【remove()函数用于删除指定的文件】了,也就是说我们不能找到flag.txt这个文件。因此我们需要从两个关键的循环中寻找信息,下面我们对此进行分析:
先搞清楚flag.txt文件的创建:
第21行表示建立flag.txt文件;
第22行中,stream等于flag.txt 文件中的内容。用fopen函数,使用给定的模式w打开filename所指向的文件。w模式表示打开文件,若文件存在则文件长度清为零,即该文件内容会消失&#x