BUUCTF——[ACTF新生赛2020]SoulLike——使用angr解

IDA Pro破解大函数限制：64位无壳程序逆向实战

最新推荐文章于 2025-04-25 15:14:03 发布

原创

最新推荐文章于 2025-04-25 15:14:03 发布 · 983 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#安全

本文讲述了如何通过修改hexrays.cfg文件解决IDA Pro解析大函数问题，使用angr进行函数分析，并揭示了最终解密的flag：actf{b0Nf|Re_LiT!}

64位无壳。IDApro打开，查看main函数

逻辑很简单，我们来查看sub_83A函数。点进去，toobig

看了其他博客。

我们需要将ida /ctg目录下的hexrays.cfg文件中的MAX_FUNCSIZE=64 改为 MAX_FUNCSIZE=1024

改完看函数

好长：看最后部分，一大堆异或，然后比较

第一个想到了爆破，最近在学angr，尝试用angr解题

脚本：

import angr
p = angr.Project('SoulLike',load_options={"auto_load_libs":False})
st = p.factory.entry_state()
sm = p.factory.simulation_manager(st)
sm.explore(find=0x411176, avoid=0x411195)
print(sm.found[0].posix.dumps(0))

注意：载入之后会有两个warning，第一个提示注意偏移地址，要加上0x400000

第二个是线

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

1ens

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

buu-[ACTF新生赛2020]SoulLike

qaq517384的博客

04-03

1105

64位elf文件

[BUUCTF]Reverse——[ACTF新生赛2020]SoulLike

mcmuyanga的博客

04-07

997

[ACTF新生赛2020]SoulLike ELF文件，应该没壳儿，在ubuntu里运行一下看看大概的情况直接上ida了如果能满足sub_83A（）的条件，就能输出flag 看一下sub_83A（） sub_83A（），将传进去的v8进行了3007行的异或操作，然后得到v3里的值，如果不对，会将错误的地方的下标打印出来拿v3里的值反向异或一下应该就能得到flag，但是将sub_83A（）里的代码复制出来后还要修改好一会儿，既然会将错误的那一位给打印出来，那就干脆爆破每一位吧，也不多，12位贴

4 条评论您还未登录，请先登录后发表或查看评论

IDA报错decomplication failure: too big function的解决方案

counsellor的专栏

07-19

5566

IDA报错decomplication failure: too big function的解决方案

BUUCTF Reverse/[ACTF新生赛2020]SoulLike

ookami6497的博客

08-16

528

BUUCTF Reverse/[ACTF新生赛2020]SoulLike 看下文件信息，没有加壳 IDA64位打开，还是字符串比较题目 __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax char v5; // [rsp+7h] [rbp-B9h] int i; // [rsp+8h] [rbp-B8h] int j; // [rsp+Ch] [rbp-B4h] int

buu [ACTF新生赛2020]SoulLike wp

liuxiaohuai_的博客

12-22

1287

下载附件后查壳发现无壳直接拖进ida64查看main()函数函数的结构非常简单。重点就在于sub_83A()这个函数这个函数很大直接f5是会报错的，要将ida /ctg目录下的hexrays.cfg文件中的MAX_FUNCSIZE=64 改为 MAX_FUNCSIZE=1024 再按f5等待一段时间后出伪c代码。这里就是将输入的flag进行接近3000行的异或操作后与最后的v4~v15的数值进行比较。但是当判断错误时会输出wrong on # + 出错的位置所以我们可以直接爆破。 from

BUUCTF [ACTF新生赛2020]rome

liulala987的博客

08-20

450

例如：如果k等于3，则在编码后的消息中，每个字母都会向前移动3位：a（明文）会被替换为d（密文）；字母表末尾将回卷到字母表开头。于是，w会被替换为z，x会被替换为a。凯撒加密是一种简单的消息编码方式：它根据字母表将消息中的每个字母移动常量位k（密钥）。shift+F12查看可疑字符串发现了you are correct。这里判断 flag[i] 是否属于大写小写字母。打开流程图 F5大法查看伪c代码。为了方便看代码把数字转换为字符。这里我参考了其他师傅的做法。这里了解到了凯撒加密。

buuctf————[ACTF新生赛2020]fungame

yhfgs的博客

10-11

747

1.查壳。无壳，32位。 2.IDA反编译。查看字符串。可以看到两个输入（第六行，倒数第九行）分别跟进，第一处：很简单的异或第二处：base64加密分别解密：拼接提交（卧槽），不对（还是天真）第一处：Re_1s_So0_funny! 第二处：a1s0_pWn 3.看了看大佬的wp才知道是栈溢出。在第一处加密后的函数sub_4013ba()中：在第一个cpy中把16位的copy到12位的引起栈溢出。（这就隐藏了第二处函数）所以在两个字...

re | BUUCTF [ACTF新生赛2020]easyre

Mintind的博客

05-17

679

给定的字符串v4和_data_start__和v5的神秘关系，v5是int数组，但是把v5指针转换成了char*，推测就是char数组，把v5定义成char数组。思路比较清晰，输入的字符串有一系列限制，都满足则输出你对啦，否则会提前return 0。可以得到v6和v10（一开始是数字，右键改成char就能看出来像flag的样式）输入字符串是包含v6、v7、v8、v9、v10的，ida把它们切开了。（这里不放心对不对的话可以把原代码拿来验证一下，我一开始就写错了。就得到了十六进制值，稍微改改代码里就能用。

[ACTF新生赛2020]SoulLike

2402_87493158的博客

01-17

385

找到ida目录中的cfg的hexrays.cfg点击进去将MAX_FUNCSIZE由64修改为1024，在打开ida点击sub_83A就可以了。好长，看到最后面：一大堆异或，最后再比较。一眼看到关键函数sub_83A。

BUUCTF-[ACTF新生赛2020]SoulLike

最新发布

2301_81210668的博客

04-25

549

个人感觉这题还是爆破比较合理，而且只要爆破对了，就能和下面的密文一一对应，速度还是很快的。而且哪位有错，还会告诉你哪一位错了。在ida目录的cfg目录下面找到hexrays.cfg，找打这个MAX_FUNSIZE，改成1024，分析不出来的原因应该是函数太长了，看了汇编代码，里面一大串东西。主函数看起来很简单，然后主要逻辑是下面这个sub_5E8172C0083A函数，本来不叫这个的，动调了之后变了。然后就能看见伪代码了，代码很长，3000多行，然后前面是对输入的flag进行加密，最后和v3密文进行比较。

[ACTF新生赛2020]SoulLike 1

qq_41853048的博客

05-27

279

主函数逻辑很简单，先满足前五个字符然后进83A函数进行判断，这题的主要考点也是这个函数，有几千行直接转的话转不了，需要去ida的成分股文件下的hexrays.cfg里面将max_function修改大一点。反汇编后发现是对a1重复异或，且每次会用到自己下标前面的元素参与运算，所以可以把函数dump出来。64位无壳，ELF-LSB文件。

BUUCTF-----SoulLike

qq_64558075的博客

01-25

646

1.拿到文件，进行查壳收集信息，无壳，64位文件 2.IDA进行分析可以看出，这个程序的主要函数就是sub_83A函数，但是这里是不能直接跟进这个函数，如果直接跟进会显示too big funtion，我们要对IDA的配置文件进行修改后，才能跟进这个函数将它修改为1024 跟进这个函数发现是3000行的异或那么我们在这里就采用爆破 from pwn import * T = ['\x00', '\x01', '\x02', '\x03', '\x04', '...

buu练题记录15-[ACTF新生赛2020]SoulLike

Asteri5m

06-21

569

首先拿到查壳，发现是64位的ELF文件，所以直接IDA打开，找到main函数 v9是这里解释为int类型，但是可以转为字符，所以为小端存储，既倒着取值；这里效验v12为字符“}”，但是我们的输入在v11，所以输入应该为18位长度的字符串，刚好把最后一位溢出到v12；这里只调用一个sub_83A函数，所以直接查看这个函数。但是F5的时候IDA会提示 too big function，解决办法为修改IDA配置文件cfg\hexrays.cfg MAX_FUNCSIZE = 64

BUUCTF__[ACTF新生赛2020]SoulLike

2201_76139143的博客

08-26

294

爆破脚本，解决ida报错too big function

[ACTF新生赛2020]SoulLike 题解

于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡。

05-19

697

[ACTF新生赛2020]SoulLike 题解

buuctf-[ACTF新生赛2020]SoulLike

RainsForest的博客

09-18

366

将ida /ctg目录下的hexrays.cfg文件中的MAX_FUNCSIZE=64 改为 MAX_FUNCSIZE=1024。直接把该部分数据放到word文档初步清洗一下，或者python正则表达式，得到大致数据。注意如果此时直接使用python要注意++a1这种非python格式的代码。直接ida打开找到main主函数，貌似就一个主要的加密函数sub_83A。之后就能打开该函数了，但3000多行的异或运算，不是人算的。看了wp需要去更改ida的配置文件。利用如下代码完成调转和修改代码格式。

buuctf[ACTF新生赛2020]SoulLike

2402_87431173的博客

01-18

232

看起来sub_83A是关键，跟进看一下。查壳，无壳，ida打开。发现有很多异或，爆破出来。虽然会爆破但有flag。

buuctf actf新生赛2020 upload

02-03

### BUUCTF ACTF 新生赛 2020 Upload 题目解题报告 #### 文件上传漏洞概述文件上传漏洞是指攻击者能够通过应用程序中的文件上传功能，向服务器上传恶意文件并执行特定操作的一种安全缺陷。这类漏洞通常涉及绕过...