1.老规矩,拿到题目文件,查壳
搜索基本信息,32位文件(用32位ida打开),下面一段我也看不懂。
运行附件
看到这段话后面有个:,猜测后面还有东西。
2。拖入ida之中
发现就3个函数
F5跟进查看伪代码
算了,看不懂,退出来
发现这个sub_401160函数只处理了unk_402008的前28位,跟进unk_402008
跟进发现不只有28位 ,那么就验证了刚开始的猜想,后面还有东西
接下来就是修改代码,使它输出后面的东西
3.使用OD
要知道push是将元素压入栈中,挨个挨个看push(因为是新手,不知道怎么看),发现push 1C
百度进制转换一看是28,就可以大胆猜测这个地方就是元素入栈
所以修改这个地方的汇编
修改成一个较大的数,我修改的是7C
修改完后,F8单步运行
果然,flag就是后面的东西
flag{I_a_M_t_h_e_e_n_C_o_D_i_n_g@flare-on.com}
拿到网站进行验证
正确!!!!!