BUUCTF 新年快乐(xdbg手动脱壳)

已于 2022-02-02 09:41:32 修改
阅读量3k 收藏 21
点赞数 10
分类专栏: Reverse 文章标签: 安全
于 2020-11-14 09:40:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46287316/article/details/109669066
版权

(博客仅个人理解,如有错误欢迎指正)

-------壳的概述:

壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。

BUUCTF新年快乐:

1.下载附件将exe文件拖入查壳软件进行分析,发现加了upx壳:
查壳
在不脱壳的情况下拖入ida进行分析的结果如图:函数明显有点少没脱壳拖入ida
3.开始脱壳:
esp定律脱壳(个人理解):
在外壳代码中有一个pushad的指令,该指令会将所有的寄存器的值都压入栈中也就是说在pushad指令之后esp的值就是指向外壳的代码段了,等之后运行完外壳程序,我们只要找到OEP就可以了

开始操作

将程序拖入x32dbg进行分析(查壳的时候可以看到程序为32位):
由于一开始x32dbg断在的位置不是pushad所以我从断点处找到pushad处重新在此处开始运行程序(pushad指令可以在x32dbg打开exe文件之后在菜单栏中的断点那一栏找到,因为是一次性断点所以可能运行过了那个断点之后就找不到了,但是还是会停在那,不过可能会被忽略)
在这里插入图片描述
在这里插入图片描述
单步运行程序,在pushad之后esp发生变化之后设置硬件断点
在这里插入图片描述

在这里插入图片描述
点击运行,之后会自动停下来, 往上可以看到一个popad的指令,该指令将寄存器的值进行还原。找到下面一个jmp指令所要跳转的位置,就是程序的OEP
请添加图片描述

dump操作在这里插入图片描述
对文件进行修复,理论可以看文末小甲鱼的视频。
操作如下:在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

BUUCTF前几题感想:

有时候将程序拖进ida之后会发现有好多函数,为了更快的找到要开始分析的程序片段,个人觉得从shift+F12查看字符串比较快,关键词一般是flag,或者乱码(大多数情况下是中文)然后一步一步分析需要哪些条件

推荐阅读: 使用x64dbg脱壳之开源壳upx
http://www.kanhaige.com/post-67.html

B站有关知识点讲解 小甲鱼解密系列脱壳篇https://www.bilibili.com/video/BV1us411P7yo?from=search&seid=1267368212914346292

第一篇博客,如有不足,希望大家指正

fatw
关注
  • 10
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
在Windbg中设置断点追踪打开C++程序远程调试开关的模块
dvlinker的技术专栏
04-10 2万+
在动态调试的Windbg中设置断点,追踪何处打开了C++程序远程调试开关。
将Windbg附加到软件进程上排查异常闪退的问题
dvlinker的技术专栏
06-10 9463
使用Windbg和Process Explorer排查因为内存泄漏导致的软件异常闪退问题。
BUUCTF Reverse 新年快乐(手工去壳)
A_dmin的博客
07-19 6391
BUUCTF Reverse 新年快乐(手工去壳) 一天一道CTF题目,能多不能少 下载文件用ida(32)打开,发现: 怎么可能才两个函数,猜测加了壳,直接查: 发现是UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo [Overlay]的壳? 就是UPX嘛,好像有什么直接脱壳的工具 但是好像可以手工去壳?在这里直接尝试手工去壳...
CTF-REVERSE练习之脱壳分析
ChuMeng1999的博客
11-29 1230
目录预备知识相关实验壳UPX实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 相关实验 本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。 壳 在自然界中,植物用壳来保护种子,动物用壳来保护身体等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。他们附加在原程序上通过Windows加载器载入内存后,先于原始程序的执行,得到控制权,执行过程中对原始程序进行解密和还原操作,还原后再把控制权交给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘
关于手动脱壳的分析及方法总结
最新发布
Yyx260019的博客
07-24 781
单步跟踪法的原理就是通过Ollydbg的单步(F8)、单步进入(F7)和运行到(F4)功能,完整走过程序的自脱壳过程,跳过一些循环恢复代码的片段,并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后,到达OEP,并dump程序。
BUUCTF--新年快乐
weixin_30876945的博客
09-04 326
测试文件:https://buuoj.cn/files/bbf9f68a97fd551edec384914d4f3fbe/93c43c5c-3d4d-4d17-a9a1-4ffb65ebb2fb.zip?token=eyJ0ZWFtX2lkIjpudWxsLCJ1c2VyX2lkIjoxOTAzLCJmaWxlX2lkIjoxNjZ9.XW-hEg.7BMROvySmduBj7-fRbm...
buuctf——新年快乐
yhfgs的博客
05-22 1154
1.下载得到一个exe文件,丢到DIE查壳,发现是upx加壳。 2.去壳。 3.将去壳后的文件丢到IDA中,找到main函数,无敌f5。 4.代码的意思大概是输入flag,判断flag和str2中的字符串是否相同,相同flag正确,否则不对,而str2前面直接就有“HappyNewYear!“。 5.get flag flag{HappyNewYear!} ...
buuctf新年快乐
weixin_47158947的博客
07-12 467
buuctf新年快乐 #先脱壳 shift+f12 得到flag flag{HappyNewYear!} 看都看完了,点个赞再走呗!
BUUCTF 新春快乐
doudoudedi
06-14 712
明天四级做个签到题放松心情 我想啊有没有会ida动态调试的大佬教教我 我QQ:1398581885 这道题看上去在后面 直接ida分析我发现有壳然后去壳 就这样阅读程序得到flag flag{HappyNewYear!} 划水划水哈哈哈 快乐起来 ...
xdbg_printf()
03-15
xdbg_printf()是x32dbg和x64dbg调试器中的一个函数,用于在调试过程中输出调试信息。它的作用类似于C语言中的printf()函数,可以在调试器的输出窗口中显示指定的文本信息。xdbg_printf()函数的使用方法如下所示[^2]...
x32dbg x64dbgl_V2019_05
09-22
《深入探索x32dbg与x64dbg:Windows程序调试利器》 在Windows程序开发过程中,调试是不可或缺的关键环节,而x32dbg和x64dbg则是开发者们常用的两款强大调试工具。它们分别针对32位和64位应用程序,提供了丰富的调试...
如何使用xdebug断点调试代码??
Jenny的博客
02-26 2341
注:如果你还没有安装xdebug,请参考上一篇文章phpstudy2018 安装xdebug扩展 当然如果你还没有安装phpstorm,请自行安装! 下面进入正题,首先第一步打开设置  file->Settings   或快捷键ctrl+alt+s 第二步:选择PHP版本 debug的配置 与服务的配置 第三步:点击该项 设置断点,开启断点监听 随...
BUUCTF中的“新年快乐
在Web和Reverse坑里游泳中。。。。
12-23 1389
今天看了一下日期,距过年还有28天,正好今天做的题目也叫新年快乐,就提前给大家拜个早年,祝大家早年幸福。
BUUCTF,Reverse:新年快乐
Pai_Space
11-07 952
1.解题过程: 下载附件,查壳 发现有UPX的壳,使用UPX进行脱壳 得到无壳的程序 注意:使用UPX脱壳时后缀的 .exe 不要忘了 将无壳的程序拖入IDA中查看分析 结合知识点(文章下方附有知识点)分析: 从输出 “this is true flag!” 处分析,若 strncmp() 返回值为0,则用户输入的v5为flag 所以查看v4,flag即为v4指向的字符串 2.知识点: (1)伪代码中涉及到的函数: ① strcpy(): ...
BUUCTF逆向题解》——新年快乐
qq_62735163的博客
02-24 846
常规操作,下载,解压,查壳32位exe程序 UPX壳 用UPX专用脱壳工具脱壳 脱壳后 用再用exeinfo观察文件脱壳后的信息 用IDA32打开 用shift+F5 查找字符串 看到flag字样 双击 进入引用它的函数 稍微观察 发现flag为 flag{HappyNewYear!} ...
BUUCTF,,re新年快乐
weixin_45948183的博客
05-22 477
还是相同的步骤,先到PE里面查一下壳 是一个upx的壳,,,upx有专门的脱壳工具,,然后放到脱壳工具里面脱壳就可以到ida里面运行了,也可以在OD里面手动脱壳,, 1、万能脱壳工具脱壳 然后到ida看一下主函数的伪代码 一个比较的函数,,,输入与V4相等就可以拿到flag 然后上面 ,,,v4是HappyNewYear!,,直接拿到flag就是flag{HappyNewYear!} 最主要的还是脱壳 ...
BUUCTF-re-新年快乐(1)
Ccai的博客
04-04 1661
在re中迷路的菜鸟,从入门到放弃。 题目:下载地址 拖入ExeinfoPE或PEID中查看,发现有UPX壳。 upx脱壳 拖入ida中查看。 找到关键函数,输入Str1与Str2比较。 输入Str1即为:HappyNewYear! flag{HappyNewYear!} ...
buuctf 新年快乐 wp
m0_73580720的博客
03-26 154
flag{HappyNewYear!}
html新年快乐代码
09-17
HTML新年快乐代码可以是以下这段简单的代码: ``` <!DOCTYPE html> <html> <head> <title>HTML新年快乐</title> </head> <body> <h1>新年快乐!</h1> <p>祝大家新年快乐,万事如意!健康、幸福、成功!</p> <img src="fireworks.gif" alt="烟花" width="300" height="200"> </body> </html> ``` 这段代码使用了基本的HTML标签,包括`<!DOCTYPE html>`声明、`<html>`根标签、`<head>`头部标签和`<body>`主体标签。 在`<head>`标签中,使用了`<title>`标签来设置页面的标题为"HTML新年快乐"。 在`<body>`标签中,使用了`<h1>`标题标签来显示"新年快乐!"作为页面的主要标题。接着使用了`<p>`段落标签来显示一段祝福语,祝愿大家新年快乐,万事如意,健康、幸福、成功。 最后,使用了`<img>`图像标签来显示一张烟花的动画图片。通过`src`属性指定了图片的文件路径,`alt`属性提供了对于图片的替代信息,`width`和`height`属性指定了图片的宽度和高度。 这段代码可以通过浏览器运行,展示一个简单的祝福页面,让使用者感受到新年的快乐氛围。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值