将文件放入Exeinfo PE查看文件为32bit为无壳文件。
放入32位IDApro F5查看伪代码
步入最后一个函数观察
查看unk_8048B44的数据内容,提示为succes,因此猜测s2为最后的flag,查看
写脚本提取s和dword_8048A90的内容
[5178, 5174, 5175, 5179, 5248, 5242, 5233, 5240, 5219, 5222, 5235, 5223, 5218, 5221, 5235, 5216, 5227, 5233, 5240, 5226, 5235, 5232, 5220, 5240, 5230, 5232, 5232, 5220, 5232, 5220, 5230, 5243, 5238, 5240, 5226, 5235, 5243, 5248, 0]
[5121, 5122, 5123, 5124, 5125, 0]
由于初次使用idapy记录一下
一addr后面地址记得加上)0x
二range里面的数字是根据所占用存储的大小决定
三append是在是将数据加在arr列表的末尾,都是四个字节为单位存储用Dword
还有提取到的数据最后一个都是0舍去
下面根据上图函数解密flag
运行得到最后的flag
9 4 4 7 { y o u _ a r e _ a n _ i n t e r n a t i o n a l _ m y s t e r y }