攻防世界逆向高手题之76号

攻防世界逆向高手题之76号

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的76号

.
.
下载附件，解压，照例扔入exeinfope中查看信息，这里是32位ELF文件，无壳，这里几个?号可能就对应了IDA中没有main函数的原因把。

.
.
照例先运行一下程序，看一下主要回显信息：

.
.
照例扔入IDA32中查看伪代码信息，没有main函数，在strings窗口跟踪一下password，然后就跳转到汇编代码中了，一开始没发现是main函数，按F5也生成不了伪代码，然后我就想到动调了。


.
.
.
(这里积累第一个经验)
只有汇编代码的动态调试中，我参考的是前面做过的serial-150，运行程序，因为不知道在哪里下断点，所以在输入的时候按暂停来下断，然后单步执行到从7F地址跳出到真实的40地址为止。

.
.
(这里积累第二个经验)
的确弹出到真实的执行地址了，因为一开始不知道这里是main函数的范围~。。。。额，现在知道了，所以可以直接在这里分析了。
函数作用注释都写好了，_getline是获取用户输入，然后js short loc_804848F也没有跳转。eax什么的在动态中发现前后赋值为用户输入的字符数和用户输入的字符串。
然后在跳转到输出Incorrect!字符串之前就只剩下call sub_8048580函数了，这个函数就是关键了，毕竟用户输入存在了eax的寄存器中作为参数传给了它嘛。

.
.
(这里积累第三个经验)
双击跟踪sub_8048580函数，根据前面传入的参数重命名了一下形参，函数逻辑很简单，就是不断switch判断，其中_0形参是在判断中自己修改的，没有递增。

.
.
只能手动一个个去推了，注意v5的下标要对应，因为有一两个混淆项，最终flag：

flag{09vdf7wefijbk}

.
.
.
总结：

1：
(这里积累第一个经验)
只有汇编代码的动态调试中，我参考的是前面做过的serial-150，运行程序，因为不知道在哪里下断点，所以在输入的时候按暂停来下断，然后单步执行到从7F地址跳出到真实的40地址为止。

2：
(这里积累第二个经验)
的确弹出到真实的执行地址了，因为一开始不知道这里是main函数的范围~。。。。额，现在知道了，所以可以直接在这里分析了。
函数作用注释都写好了，_getline是获取用户输入，然后js short loc_804848F也没有跳转。eax什么的在动态中发现前后赋值为用户输入的字符数和用户输入的字符串。
然后在跳转到输出Incorrect!字符串之前就只剩下call sub_8048580函数了，这个函数就是关键了，毕竟用户输入存在了eax的寄存器中作为参数传给了它嘛。

3：
(这里积累第三个经验)
双击跟踪sub_8048580函数，根据前面传入的参数重命名了一下形参，函数逻辑很简单，就是不断switch判断，其中_0形参是在判断中自己修改的，没有递增。

解毕！敬礼！