攻防世界逆向高手题之76号
继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的76号
.
.
下载附件,解压,照例扔入exeinfope中查看信息,这里是32位ELF文件,无壳,这里几个?号可能就对应了IDA中没有main函数的原因把。
.
.
照例先运行一下程序,看一下主要回显信息:
.
.
照例扔入IDA32中查看伪代码信息,没有main
函数,在strings
窗口跟踪一下password
,然后就跳转到汇编代码中了,一开始没发现是main函数,按F5也生成不了伪代码,然后我就想到动调了。
.
.
.
(这里积累第一个经验)
只有汇编代码的动态调试中,我参考的是前面做过的serial-150
,运行程序,因为不知道在哪里下断点,所以在输入的时候按暂停来下断,然后单步执行到从7F地址
跳出到真实的40地址
为止。
.
.
(这里积累第二个经验)
的确弹出到真实的执行地址了,因为一开始不知道这里是main函数的范围~。。。。额,现在知道了,所以可以直接在这里分析了。
函数作用注释都写好了,_getline
是获取用户输入,然后js short loc_804848F
也没有跳转。eax
什么的在动态中发现前后赋值为用户输入的字符数
和用户输入的字符串
。
然后在跳转到输出Incorrect!
字符串之前就只剩下call sub_8048580
函数了,这个函数就是关键了,毕竟用户输入存在了eax的寄存器
中作为参数传给了它嘛。
.
.
(这里积累第三个经验)
双击跟踪sub_8048580
函数,根据前面传入的参数重命名了一下形参,函数逻辑很简单,就是不断switch
判断,其中_0
形参是在判断中自己修改
的,没有递增。
.
.
只能手动一个个去推了,注意v5的下标要对应,因为有一两个混淆项,最终flag:
flag{09vdf7wefijbk}
.
.
.
总结:
1:
(这里积累第一个经验)
只有汇编代码的动态调试中,我参考的是前面做过的serial-150
,运行程序,因为不知道在哪里下断点,所以在输入的时候按暂停来下断,然后单步执行到从7F地址
跳出到真实的40地址
为止。
2:
(这里积累第二个经验)
的确弹出到真实的执行地址了,因为一开始不知道这里是main函数的范围~。。。。额,现在知道了,所以可以直接在这里分析了。
函数作用注释都写好了,_getline
是获取用户输入,然后js short loc_804848F
也没有跳转。eax
什么的在动态中发现前后赋值为用户输入的字符数
和用户输入的字符串
。
然后在跳转到输出Incorrect!
字符串之前就只剩下call sub_8048580
函数了,这个函数就是关键了,毕竟用户输入存在了eax的寄存器
中作为参数传给了它嘛。
3:
(这里积累第三个经验)
双击跟踪sub_8048580
函数,根据前面传入的参数重命名了一下形参,函数逻辑很简单,就是不断switch
判断,其中_0
形参是在判断中自己修改
的,没有递增。
解毕!敬礼!