本文详细介绍了如何分析gegit的wp,通过解析ELF文件、跟踪IDA64伪代码,理解两个关键循环的作用,揭示了如何从代码中提取出隐藏的flag。通过对s和t字符串的分析,最终得出flag为SharifCTF{b70c59275fcfa8aebf2d5911223c6589}。
gegit - wp
分析题目附件:
https://adworld.xctf.org.cn/media/task/attachments/e3dd9674429f4ce1a25c08ea799fc027
拖入Exeinfo PE中:
发现是ELF文件,64位。ELF文件是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件,是Linux的主要可执行文件格式。
拖入ida64,找main函数按F5(Fn+F5)查看伪代码:
观察伪代码发现,创建了flag.txt文件,但是最后又remove【remove()函数用于删除指定的文件】了,也就是说我们不能找到flag.txt这个文件。因此我们需要从两个关键的循环中寻找信息,下面我们对此进行分析:
先搞清楚flag.txt文件的创建:
第21行表示建立flag.txt文件;
第22行中,stream等于flag.txt 文件中的内容。用fopen函数,使用给定的模式w打开filename所指向的文件。w模式表示打开文件,若文件存在则文件长度清为零,即该文件内容会消失;若文件不存在则创建该文件。很明显,flag.txt 是存在的,因此flag.txt 内容被清零;
第23行中fprintf()函数会根据指定的格式发送参数到由stream流指定的文件,这里表示将u以字符串格式发送到stream。
整体意思就是,先把创建的flag.txt清空,然后把u写入
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
