[BUUCTF]REVERSE——Youngter-drive

最新推荐文章于 2024-05-05 17:45:59 发布
最新推荐文章于 2024-05-05 17:45:59 发布
阅读量418 收藏
点赞数
分类专栏: BUUCTF刷题记录 REVERSE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109730778
版权

Youngter-drive

附件

步骤:

  1. 例行查壳儿,32位程序,upx壳儿
    在这里插入图片描述
  2. 利用网上找的upx脱壳儿工具脱完壳扔进ida,首先检索程序里的字符串,发现了有关flag的字样,跟进,当source=TOiZiZtOrYaToUwPnToBsOaOapsyS的时候才会输出flag
    在这里插入图片描述
  3. 从main函数开始看程序
    在这里插入图片描述

在这里插入图片描述
函数创建了两个进程,一个startaddress,一个sub_41119F
4. 先看startaddress
在这里插入图片描述
到sub_411940这里报错了
在这里插入图片描述
转汇编看一下,这边由于堆栈不平衡所以报错了
在这里插入图片描述
这边将411a03处修改一下,前面加个符号即可,在按f5
在这里插入图片描述
找到了加密函数,这是将字符串进行了替换,当字符是大写字母时,替换为off_418000处-38,小写则替换为-96
在这里插入图片描述
用来加密的字符串QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm
5. 再看第二个线程sub_41119F
在这里插入图片描述
这个进程,好像没什么用,但它运行了–dword_418008,让计数器又减了1,并且可以看出是hObject、v1地交替运行,从而导致加密函数变成隔一个加密
6. 然后是 sub_411190()函数
在这里插入图片描述
加密后的字符串是TOiZiZtOrYaToUwPnToBsOaOapsyS

逆向解密一下我们输入的字符串

off_418000 = "QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm"

off_418004 = "TOiZiZtOrYaToUwPnToBsOaOapsyS"

flag=''

for i in range(len(off_418004)):
    if i %2 == 0:
        flag += off_418004[i]
        continue
    for j,k in enumerate(off_418000):
        if off_418004[i] == k:
            if chr(j+38).isupper():
                flag += chr(j+38)
            else:
                flag += chr(j+96)

print flag

在这里插入图片描述
然后这边有一个坑,doword_418008的初始值是0x1D(29),下标是29,也就说数据长度是30
在这里插入图片描述
我们需要再得到的字符串后面在加一位,buu上需要加E
flag{ThisisthreadofwindowshahaIsESE}

Angel~Yan
关注
专栏目录
BUUCTF Reverse/Youngter-drive
ookami6497的博客
07-22 296
BUUCTF Reverse/Youngter-drive 查壳发现UPX壳,且为·32位程序 用脱壳工具脱壳 用IDA32位打开 跟进查看,又是一道字符串比较的题目 发现这个函数对输入的字符串进行了比较 int sub_411880() { int i; // [esp+D0h] [ebp-8h] for ( i = 0; i < 29; ++i ) { if ( *(&Source + i) != off_418004[i] )
[buuctf] crypto全解——85-120(不建议直接抄flag)
ao52426055的博客
11-24 8458
yxx 查看题目 啥也不是没看懂 用010查看进制 32位,再来查看明文.txt发现刚好也是32位字符,于是怀疑这道题是道一次性密码本OTP的题目,将明文与密文的txt一位一位异或即可得到flag 上脚本 python2的 h=['0A','03','17','02','56','01','15','11','0A','14','0E','0A','1E','30','0E','0A','1E','30','0E','0A','1E','30','14','0C','19','0D','1F','10'
BUUCTF逆向题Youngter-drive
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-07 727
其实线程一代码我自己也不大理解,看了正确的 flag 后,我自己推出来的是这样:在 couece 中取出字符,然后在 QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm 中找出一样的,取出该字符在 QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm 中的下标,如果取出的字符是大写则 在ASCII中找出【下标 - 38】值对应的字符替换couece中的字符,同理,小写就减 96。
buu Reverse学习记录(25) Youngter-drive
EMsheep的博客
03-14 342
题目链接:https://buuoj.cn/challenges#Youngter-drive
BUUCTF RE Youngter-drive by YuSec
YuSec
08-12 337
Youngter-drive Start 打开发现加了个UPX壳 想手脱,发现 好吧,直接脱壳机脱吧,脱完重新载入IDA 搜索字符串,将flag放在Source中,后面就没了 看看谁用了Source 发现四处引用的地方,除了当前的,还有三处 看到sub_411880 对Source和off_418004常量字符串进行比较,这里应该就是最终加密后进行比较的 看到StartAddress_0 发现调用了sub_41112C进行处理Source 这里有个细节需要注意,dword_418008是临界资源
BUUCTF Youngter-drive
awxnutpgs545144602的博客
08-16 1047
exe逆向,首先查壳,发现有upx壳,upx -d脱壳,拖进ida找到主函数这里可以看到创建了两个线程,先沿着StartAddress,一直找到sub_411940,这里有一个问题,当使用f5是,会显示这是由于堆栈不平衡导致的,看汇编部分这里要将-04改为00改完后之后再次f5找到了加密函数,这是将字符串进行了替换,当字符是大写字母时,替换为off_418000处-38,小写则替换...
re学习笔记(10)BUUCTF-re-Youngter-drive
逆向随笔
11-18 1505
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:Youngter-drive 直接拖入IDA32,提示警告…… 首先函数就俩,,,在UPX1,伪代码第一句是pusha,保存所有寄存器 而最上面的条也没被读取出来,显示灰色 exe文件,使用官网下载的upx进行脱壳进行脱壳 UPX-3.95-win64 脱壳之后成功加载 然后跳转到_main_0查看 F5伪代码 ...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
[buuctf] crypto全解——121-146(不建议直接抄flag)
热门推荐
ao52426055的博客
01-13 1万+
[BJDCTF2020]编码与调制 查看题目 曼彻斯特 6进制024A447B4469664D616E63686573746572636F64657D 通过解码16进制即可得到flag{DifManchestercode} [网鼎杯 2020 青龙组]you_raise_me_up 查看题目 #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random n = 2 ** 512 m
buu Youngter-drive
YenKoc的博客
04-03 501
一.查壳,发现是upx的壳,用自解压方式,脱下壳 二.之后发现打不开了,应该是要修复,不想修复了,直接拖入ida 找到关键函数,中间发生一点小插曲,发现堆栈不平衡,然后导致F5反编译失败,百度了下是ALT+k快捷键来修改栈顶指针,维持栈顶平衡,修改之后发现可以反编译了 发现是创建进程,再进入 这块发现是加密,而且外面还创建了一个进程,说明是一次不加,一次加,这种循环来加密的。 然后看看,输出...
buu:Youngter-drive
weixin_60553183的博客
12-30 1476
查壳发现有壳,UPX脱壳放IDA进入MAIN函数 学到新的知识点,多线程。CreateThread是创造一个线程,CloseHandle是关闭该线程。 先点进第一个线程的第一个函数 发现打不开,放百度。 这里又是一个新的知识点:堆栈不平衡。这里需要修改栈顶。 这里勾选Stack pointer再去汇编指令那里,就会发现有标红,在对应的地址那里按ALT+K进行修改后。即可打开函数 这里就很简单了小写改大写。 ...
buuctf——youngter_drive
yhfgs的博客
05-29 318
1.得到exe文件,查壳。 upx
buu-Youngter-drive
qq_53087690的博客
05-02 211
差壳 脱壳 IDA打开,找到main函数 值得注意的是这个CreateMutexW函数 进程在执行过程中可能创建多个新的进程。创建进程称为父进程,而新的进程称为子进程。每个新进程可以再创建其他进程,从而形成进程树。 详细可以看进程的创建和终止 这里创建了两个进程 第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数 然后挨个分析打开StartAddress函数 加密函数:这是将字符串进行了替换,当字符是大写字母时,替换为off_418000处-38,
re题(10)BUUCTF-re Youngter-drive
最新发布
2301_80907001的博客
05-05 356
虽然得出flag,但是把flag输入题目中是错误的,检查一下发现flag是有30位的,最后一位没进行比较,我们要得到最后一位,唯一的办法就是把字母一个一个代到答案中试一下,发现最后一个字符是E。另一个线程啥也没干,只有dw自减1,根据两个线程我们直到第奇数个字符不变,第偶数个字符进行第一个线程的操作。发现这是一个双线程的,进入sub_41112c看一下。进入sub_411190()函数,分析一下,拖到ida,F5反汇编,分析一下。按x看一下flag的交叉引用。先查一下壳,是upx壳。进入另一个线程看一下。
BUU Youngter-drive wp
__ys的博客
04-22 291
Youngter-drive 拿到题目,发现有upx壳,先去壳,然后丢入IDA 分析 看到这里我们应该先了解一下关于Windows多线程的知识 CreateThread是一种微软在Windows API中提供了建立新的线程的函数,该函数在主线程的基础上创建一个新线程。线程终止运行后,线程对象仍然在系统中,必须通过CloseHandle函数来关闭该线程对象。 可以看出主函数中创建了2个子线程,我们分别进行分析 StartAddress: 这里我们回到main函数中打开sub_411190()函数可以找
Youngter-drive
weixin_52034946的博客
01-25 766
有壳,upx的,先脱壳,教程自己上网搜 从main函数开始 创造俩个进程,StartAddress和sub_41119F StartAddress 里面含有一个加密处理和一个减一 看加密函数,在进 sub_411940 时会有一个报错,我这边用的IDA7.5,提示错误了,但是还是可以看到伪代码 加密函数就是大写字母-38,小写字母-96, 是off_418000 减d的. off_418000:QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasd 下一个线程里面只有减一 最后一
buuctf Youngter-drive
weixin_45701079的博客
10-31 2574
buuctf Youngter-drive 拿到题目,查壳(upx),首先脱壳,(不会脱壳自行百度,很多教程),脱壳之后是不能运行的,好像是因为文件重定向,但是不影响ida静态分析,ida打开 分析,多线程,最近刚好在学多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好, 在红色部分用alt+k,打开![在这里插入图片描述] 把原来的0x-4改成
buuctf reverse3 1
08-26
引用提到了BUUCTF-reverse-reverse1,但并没有提到BUUCTF reverse3 1的相关内容。引用提到了一个关于for循环逆解的脚本,引用提到了关于v5长度和字符串变换的一些内容,但没有提到BUUCTF reverse3 1。请提供更多的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值