- 博客(14)
- 收藏
- 关注
RSS订阅原创 攻防世界 re serial-150
查无壳ida载入发现函数检测不出字符串中才有显示linux中运行发现就是输入字符然后检测进行ida动态调试动态调试发现检测不出的函数实际上自身会发生变化找到输入字符后对字符检测的部分首先确定字符长度是否16然后两段判断,判断首位字符再判断首位与末尾加起来的值最后每位进行计算得到结果...
2019-10-16 17:08:33
746
1
原创 python PIL模块
本次使用图片“111.jpg”为例子环境:kali加载模块命令from PIL import Image加载图片im = Image.open('./111.jpg')输出图片格式print im.format,im.size,im.mode从结果上看:将加载图片的格式,尺寸,模式输出呈现图片im.show()将载入的图片加载出来,用于查看修改结果...
2019-10-11 15:03:46
207
原创 攻防世界 re catch-me
得到一个可能是elf文件折腾一会发现是个压缩包,加上后缀后打开又是一个没有后缀的压缩包再次修改后打开得到文件Catch_meida打开先跑一下看下结果得到一个提示假的flag开始看ida前半部分v3通过个挺复杂的函数得到值,然后v3与一些数 and 后存储着接下来重要的是 getenv 这个函数,函数主要作用就是获取名为 ASIS 和 CTF 的环境变量然后两个的与运算后 xo...
2019-10-10 17:07:06
256
原创 攻防世界 reverse (一)
dmd-50下载是个elf载入ida观察有一段代码使用md5加密下方有一段字符串应该为加密后的字符再下面有个if-else语言输出是否为正常字符对字符串进行md5解密发现明文md5加密两次尝试flag为grape加密一次的值...
2019-08-25 16:36:55
572
原创 攻防世界 reverse 简单
Hello,CTFPEid查壳无壳,ida载入很明显将437261636b4d654a757374466f7246756e与输入字符串进行对比同时在sprintf函数中将输入的字符串转换为16进制sprintf 的参数为 %x 为16进制十六进制转换为:CrackMeJustForFun...
2019-08-21 19:30:05
262
原创 od分析基础逆向6
打开程序随意输入用户名密码出现错误字符目标:得到该程序的相关序列号和了解序列号计算过程载入od在od中右键查找相关字符容易发现输入正确后的字符串可双击字符进入字符所在的messageBox输出函数同时向上翻找计算流程出现一段循环推测可能为计算序列号再向上翻找出现两段GetDlgItemTextA函数,为对应两个输入框寻找关键函数也可以通过对GetDlgItemTextA...
2019-07-22 11:23:48
3158
原创 简单脱壳1
程序1PEiD载入程序实际上该程序的壳为 CrypKeySDK载入od查看程序一进去的路口点不是常见的push ebp点击上面窗口的 M查看内存其中出现出现**have a nice day!**字段同时首代码的地址为46B6DE对照内存中为输入表中判断有壳继续调试程序jmp到一串代码处代码开头为 55 8B E3为vc经典开头选择右键分析—分析代码继续判断是否到达OEP...
2019-07-18 19:31:42
171
原创 od分析基础逆向5
打开程序点击file register任意输入字符同时在退出时出现nag载入od先对字符串进行查找右键查找所有文本字符 搜索:name / code双击进入所在位置观察代码段同时,注意到上方有感谢注册字符串后接jmp指令跳过未注册字符继续向上查找出现关键计算函数以及关键跳转在函数位置下断点测试输入code后在此停住F8调试发现经过call后eax的值为0修改标志进行测...
2019-07-13 19:53:22
331
原创 分析基础逆向程序4
打开程序观察得知此程序使用天数已达,输入code后出现提示框将程序载入od先对输入code失败提示的字符串进行文本查找并观察程序代码观察到上方存在一个cmp + jnz语句,推测通过此判断即可跳过失败标志同时注意到右侧有 case 3 of switch 提示,代码中应该有switch case结构ctrl + G 查找到 switch语句的开头 4DBDA4推测有1~0B一共1...
2019-07-10 22:46:09
122
原创 分析基础逆向程序3
打开程序在使用一个功能后出现未注册标志点击注册后出现的字符串将程序载入od,查找字符串先进行查找“Invalid Password”查看字符串上方代码发现经过test与je指令后输出未注册字符现在考虑修改je标志位测试结果:未注册字符消失,但实际上校验是否注册的算法未通过,只得到表面注册的结果推测上方的call语句为进行校验算法进行调试并观察寄存器的值运行至此处al...
2019-07-07 23:28:05
138
原创 分析基础程序逆向2
打开测试软件未注册版本提示如下在od上打开该程序选择未注册部分作为切入点,搜索字符串到达相应语句观察jnz跳过的代码段推测jnz为关键跳转,跳转成立则代表已注册,将jnz标志位改动测试则证明jnz是关键跳转,jnz上方的call语句则为判断是否注册的函数观察到上方有test al的值,test语句修改标志位,故test语句上一个call语句为判断是否注册函数进入call...
2019-07-06 18:02:50
126
原创 分析基础逆向程序2篇
打开逆向程序,程序限制了未注册用户登录次数和在关闭后出现广告目的:将限制次数功能和退出时广告出现去除将程序载入od依照惯例,先将程序进行单步步过出现一个消耗时间长的循环,可通过在循环外F2+F9跳出循环调试停止的第一个call语句观察注释得知,下方出现exit则意味着call语句进入了程序的主体部分则选择进入该代码段进入代码段后继续调试暂停在该位置,选择设置断点继续进入继续...
2019-06-29 10:35:50
382
原创 分析registerMe和基础程序1逆向
打开registerme.exe,跳出nag点击确认跳出正式界面关闭窗口再次跳出nag目标:将打开和关闭的nag去除,只留下正式的界面OD打开exe简单观察能得知存在两个messagebox控制着两个nag。MessageA存在cmp指令比较和je指令跳转,可通过修改je指令为jmp达成跳过打开的nagGetModuleHandle 是获取程序的句柄,就是获取程序的基址(程...
2019-06-23 00:07:24
486
原创 分析trackme与reverseme
分析trackme打开TrackMe.exe先通过F8调试,设置断点再重新调试,一步步的方式进行设置第一个断点 00401469再次设置新断点 00401015并重新调试在此位置右侧注释出现window api函数:DialogBoxParamA注:按下ALT+b 键可打开全部断点设置界面快捷键:空格将所选断点激活或禁止快捷键:delete 删除所选中的断点点击上方字...
2019-06-18 23:37:40
800
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人