工具:ExeinfoPe(查壳用)
链接:https://pan.baidu.com/s/1dtYl1Cjx0DLB38kTF8GaPw?pwd=renw
提取码:renw
工具:IDA_Pro_v7.0_Portable
链接:https://pan.baidu.com/s/1CS7xjshF8IoDURz7lCB4jg?pwd=renw
提取码:renw
跟着大佬做:逆向分析全过程分享——攻防世界——re1_哔哩哔哩_bilibili
1.首先下载附件之后,拖入exeinfo中查看它是32位的还是64位的,这里显示的是32位的
2.将文件拖入到IDA当中
打开之后就是这个样子
3.按键盘上的[Tab]键,之后点击ok即可
可以看到一个关键的字符串,print(aFlag),那么证明这就是输入正确flag,然后,会输出aFlag证明你的flag正确,然后,继续往上分析,可以看到v3的值,是由strcmp()决定的,比较v5和输入的字符串,如果一样就会进入后面的if判断,所以,我们继续往上分析,看看哪里又涉及v5,可以看到开头的_mm_storeu_si128(),对其进行分析发现它类似于memset(),将xmmword_413E34的值赋值给v5,所以,我们可以得到正确的flag应该在xmmword_413E34中,然后,我们双击413E34进行跟进
接下来看到了两组十六进制字符
选中之后,两组右键转换一下,就出现了flag
这就是我们最后的flag了
注:这里要跟大家普及一个知识了,及大端与小端
假设一个十六进制数0x12345678
大端的存储方式是:12,34,56,78,然后读取的时候也是从前往后读
小端的存储方式是:78,56,34,12,然后读取的时候是从后往前读取
所以,最后的flag应该是:DUTCTF{We1c0met0DUTCTF}