攻防世界-reverse-re1

"本文通过使用ExeinfoPe和IDA_Pro_v7.0 Portable工具,详细解析了一个32位程序,分析了strcmp函数比较的字符串,并追踪到xmmword_413E34内存地址中隐藏的十六进制flag。经过大端与小端的转换,最终得到了DUTCTF{We1c0met0DUTCTF}
摘要由CSDN通过智能技术生成

工具:ExeinfoPe(查壳用)

链接:https://pan.baidu.com/s/1dtYl1Cjx0DLB38kTF8GaPw?pwd=renw 
提取码:renw 

工具:IDA_Pro_v7.0_Portable

链接:https://pan.baidu.com/s/1CS7xjshF8IoDURz7lCB4jg?pwd=renw 
提取码:renw 
跟着大佬做:逆向分析全过程分享——攻防世界——re1_哔哩哔哩_bilibili

1.首先下载附件之后,拖入exeinfo中查看它是32位的还是64位的,这里显示的是32位的

2.将文件拖入到IDA当中

打开之后就是这个样子

3.按键盘上的[Tab]键,之后点击ok即可

 

 可以看到一个关键的字符串,print(aFlag),那么证明这就是输入正确flag,然后,会输出aFlag证明你的flag正确,然后,继续往上分析,可以看到v3的值,是由strcmp()决定的,比较v5和输入的字符串,如果一样就会进入后面的if判断,所以,我们继续往上分析,看看哪里又涉及v5,可以看到开头的_mm_storeu_si128(),对其进行分析发现它类似于memset(),将xmmword_413E34的值赋值给v5,所以,我们可以得到正确的flag应该在xmmword_413E34中,然后,我们双击413E34进行跟进

 接下来看到了两组十六进制字符

 

 选中之后,两组右键转换一下,就出现了flag

这就是我们最后的flag了

注:这里要跟大家普及一个知识了,及大端与小端

假设一个十六进制数0x12345678

大端的存储方式是:12,34,56,78,然后读取的时候也是从前往后读

小端的存储方式是:78,56,34,12,然后读取的时候是从后往前读取

所以,最后的flag应该是:DUTCTF{We1c0met0DUTCTF}

 

 

 

 

  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值