buuctf——youngter_drive

最新推荐文章于 2023-11-07 20:00:28 发布
最新推荐文章于 2023-11-07 20:00:28 发布
阅读量296 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yhfgs/article/details/117374140
版权

1.得到exe文件,查壳。

upx壳,32位文件。

2.脱壳。丢到IDA中找主函数,F5.

3.分析代码。有好多不知到的函数(枯了枯了),网搜一波,发现主要是在createthread函数,他就是建了个线程(可以把他忽略主要看参数里面蓝色的)

大致看一下代码关键就是三个函数:两个createthread函数还有一个sub_411190.

两个createthread函数都是加密用的,sub_411190就是比较。(flag就是那个score)

先看第一个startAddress:

继续跟进函数sub_41112c

这个函数就是先判断flag是不是大写字母,

是:a1[a2]==off_418000[a1[a2]-38]          不是:a1[a2]==off_418000[a1[a2]-96]

第二个sub_41119f:

这个主要是说上面的加密方式是一个见一个的(即奇数位加密,偶数位不加密)

(这两个线程好像是并行的)

最后是比较score和off_418004。查一下off_418004==‘TOiZiZtOrYaToUwPnToBsOaOapsyS’

(即加密后flag的值)

4.写脚本。

运行得到ThisisthreadofwindowshahaIsES。(我以为这就是falg就提交了,结果不对,想了半天不知道咋弄,就看了看大佬的wp,才发现有坑。)看sub_418008处的值是0x1D(29)所以flag应该是30位的,我们运行出的只有29位。最后一位要自己猜。

4.get flag

flag{ThisisthreadofwindowshahaIsESE}

 

 

 

 

 

 

re3sry
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ftdi_ft232_drive.zip
12-29
这个"ftdi_ft232_drive.zip"压缩包文件显然是与FTDI的FT232R USB驱动程序相关的。FT232R是一款常用的USB转UART(通用异步收发传输器)桥接器,广泛应用于各种电子设备和项目中,如嵌入式系统、Arduino开发板、模块化...
`unconnected_drive和`nounconnected_drive
12-09
`unconnected_drive pull1. . ./*在这两个程序指令间的所有未连接的输入端口为正偏电路状态(连接到高电平)*/`nounconnected_drive`unconnected_drive pull0. . ./*在这两个程序指令间的所有未连接的输入端口为反偏...
BUUCTF_Youngter-drive
weixin_46009088的博客
10-30 1241
BUUCTF_Youngter-drive 学到一些多线程和IDA平衡堆栈的知识!同样也是尽量写的详细! 解压后拖进IDA,发现UPX的壳,如图: 用upx -d 把它给脱壳了,如图: 接下来就可以用IDA载入了,如图: 找到main_0函数就可以用F5大法了 一个函数一个函数来看,先看到sub_4110FF,点进去看看: 没啥东西,往下看,CreateThread创建了两个线程,MSDN文档1如下: 点进StartAddress查看线程,如图: 发现一个函数,点进去看,如图: 但是弹出了下面的错误.
[BUUCTF]REVERSE——Youngter-drive
mcmuyanga的博客
11-17 376
Youngter-drive 附件 步骤: 例行查壳儿,32位程序,upx壳儿 利用网上找的upx脱壳儿工具脱完壳扔进ida,首先检索程序里的字符串,发现了有关flag的字样,跟进,当source=TOiZiZtOrYaToUwPnToBsOaOapsyS的时候才会输出flag 从main函数开始看程序 函数创建了两个进程,一个startaddress,一个sub_41119F 4. 先看startaddress 到sub_411940这里报错了 转汇编看一下,这边由于堆栈不平衡所以报错了
buuctf-Youngter-drive
liuzejie1的博客
07-07 206
BUUCTF Reverse/Youngter-drive
ookami6497的博客
07-22 262
BUUCTF Reverse/Youngter-drive 查壳发现UPX壳,且为·32位程序 用脱壳工具脱壳 用IDA32位打开 跟进查看,又是一道字符串比较的题目 发现这个函数对输入的字符串进行了比较 int sub_411880() { int i; // [esp+D0h] [ebp-8h] for ( i = 0; i < 29; ++i ) { if ( *(&Source + i) != off_418004[i] )
buuctf Youngter-drive
weixin_45701079的博客
10-31 2456
buuctf Youngter-drive 拿到题目,查壳(upx),首先脱壳,(不会脱壳自行百度,很多教程),脱壳之后是不能运行的,好像是因为文件重定向,但是不影响ida静态分析,ida打开 分析,多线程,最近刚好在学多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好, 在红色部分用alt+k,打开![在这里插入图片描述] 把原来的0x-4改成
BUUCTF-Youngter-drive
weixin_50783572的博客
10-25 218
BUUCTF reverse Youngter-drive 用Exeinfo打开发现加了upx壳 用upxshell脱壳后用IDA32打开 找到主函数 sub_4110FF函数控制输入了Source的值 打开StartAddress函数 发现sub_41112C函数,进入查看 是将输入的字符中的大小写字母从下面这个字符串中进行替换 这里我犯了错误,没有继续看main后面的函数,以为每一个都要替换 回去看main函数,发现在sub_41119F函数中也对dword_418008的值进行了减一操作,
BUUCTF逆向题Youngter-drive
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-07 694
其实线程一代码我自己也不大理解,看了正确的 flag 后,我自己推出来的是这样:在 couece 中取出字符,然后在 QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm 中找出一样的,取出该字符在 QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm 中的下标,如果取出的字符是大写则 在ASCII中找出【下标 - 38】值对应的字符替换couece中的字符,同理,小写就减 96。
BUUCTF Youngter-drive
zgwz123456的博客
06-21 356
首先查壳发现是upx壳,直接上工具脱壳 upx -d E:\桌面\7289daa8-a5d5-430e-87a0-92ce805d8f15\Youngter-drive.exe 打开是这样的程序 拉入IDA进行分析 找到主函数,发现创建了两个线程,一个StartAddress,一个sub_41119F,进去看看 这里是对我们的flag进行操作,主要函数是sub_41112C 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好 找到411A04处,在pop ebp上按alt+k 将0x4改为.
BUUCTF RE Youngter-drive by YuSec
YuSec
08-12 318
Youngter-drive Start 打开发现加了个UPX壳 想手脱,发现 好吧,直接脱壳机脱吧,脱完重新载入IDA 搜索字符串,将flag放在Source中,后面就没了 看看谁用了Source 发现四处引用的地方,除了当前的,还有三处 看到sub_411880 对Source和off_418004常量字符串进行比较,这里应该就是最终加密后进行比较的 看到StartAddress_0 发现调用了sub_41112C进行处理Source 这里有个细节需要注意,dword_418008是临界资源
emmcDrive.rar_Emmc——SDIO_SDIO_STM32驱动EMMC_emmc drive_sdio通信
07-15
emmc驱动,sdio通信模式,在stm32平台下验证能用
kitti raw_data 数据集 2011_09_30_drive系列,百度云链接文档
12-24
2011_09_30_drive_0072_extract(1).zip 2011_09_30_drive_0034_sync.zip 2011_09_30_drive_0034_extract(1).zip 2011_09_30_drive_0033_sync.zip 2011_09_30_drive_0033_extract.zip 2011_09_30_drive_0027_sync.zip...
DRIVE_train_retinalimages_drive_血管分割_drive视网膜_视网膜血管图像_
10-02
标题中的"DRIVE_train_retinalimages_drive_血管分割_drive视网膜_视网膜血管图像_"揭示了这个数据集的核心内容。"DRIVE"是"Digital Retinal Images for Vessel Extraction"(用于血管提取的数字视网膜图像)的缩写...
煎蛋.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
DirectX修复工具,(DirectX Repair)是一款系统级工具软件, 简便易用 【修复完成后重启电脑】
08-04
安装包
下半年工作总结PPT模板.pptx
08-04
【作品名称】:述职报告,工作计划,工作总结,计划书,商务计划,转正报告 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
shapely-2.0.5-cp312-cp312-manylinux_2_17_x86_64.whl
最新发布
08-04
shapely-2.0.5-cp312-cp312-manylinux_2_17_x86_64.whl
burn_drive_info跟burn_drive_info_t 的区别
09-19
### 回答1: `burn_drive_info` 和 `burn_drive_info_t` 实际上是同一个类型,都是用来表示刻录驱动器的信息的结构体。其中,`burn_drive_info` 是 `burn_drive_get_list` 函数的返回类型,而 `burn_drive_info_t` 是 `burn_drive_info` 结构体的定义。 当你调用 `burn_drive_get_list` 函数时,会返回一个 `burn_drive_info` 结构体数组,用于表示可用的刻录驱动器列表。这个结构体数组中的每个元素都是一个 `burn_drive_info_t` 类型的结构体,表示一个可用的刻录驱动器的信息。 因此,你需要在程序中包含 `<libburn/libburn.h>` 头文件,并使用 `burn_drive_info_t` 结构体来声明一个变量,以便在程序中访问 `burn_drive_info` 结构体数组中的每个元素的信息。例如: ```c #include <stdio.h> #include <libburn/libburn.h> int main() { burn_drive_info_t *drives = NULL; unsigned int count = 0; unsigned int i; /* 初始化 libburn 库 */ if (burn_initialize() != 0) { fprintf(stderr, "初始化 libburn 库失败\n"); return 1; } /* 获取可用的刻录设备列表 */ if (burn_drive_get_list(&drives, &count) != 0) { fprintf(stderr, "获取刻录设备列表失败\n"); return 1; } /* 打印刻录设备列表 */ printf("可用的刻录设备列表:\n"); for (i = 0; i < count; i++) { printf("%d. %s\n", i + 1, drives[i].devpath); } /* 释放刻录设备列表 */ burn_drive_release_list(drives); /* 关闭 libburn 库 */ burn_finish(); return 0; } ``` 在这个程序中,我们使用 `burn_drive_info_t` 来声明 `drives` 变量,以便在循环中访问 `burn_drive_info` 结构体数组中的每个元素的信息。 ### 回答2: burn_drive_info和burn_drive_info_t是两种不同的数据类型。 burn_drive_info是一个结构体类型,用于存储有关烧录驱动器的信息。它可能包含有关烧录驱动器的属性、状态、支持的烧录格式等各种数据。 而burn_drive_info_t可能是一个指针类型或变量类型,用于引用或保存burn_drive_info结构体的对象。当我们需要使用burn_drive_info结构体的实例时,可以声明一个burn_drive_info_t变量或指针,将其指向具体的burn_drive_info对象,以便访问和操作该对象的各个属性和方法。 因此,burn_drive_info可以看作是一个数据结构,而burn_drive_info_t是一个用于引用或保存该数据结构对象的类型。 总之,burn_drive_info是一个具体的结构体数据类型,用于存储烧录驱动器的信息,而burn_drive_info_t是一个类型,用于引用或保存burn_drive_info结构体对象。 ### 回答3: burn_drive_info指的是一个变量或对象的名称,表示烧录驱动器的信息。它可能用于存储关于烧录驱动器的各种属性和状态信息,例如驱动器名称、型号、序列号、烧录速度、可用容量等等。这个变量或对象可以用于在程序中操作烧录驱动器,获取驱动器的相关信息或执行烧录操作。 而burn_drive_info_t则表示一个类型或结构体。它是一个自定义的数据类型,用于封装和组织烧录驱动器的信息。这个类型可能包含多个成员变量,分别表示烧录驱动器的不同属性或状态。通过使用该类型,可以方便地创建、传递和操作烧录驱动器的信息。 简单来说,burn_drive_info是一个具体的变量或对象,而burn_drive_info_t是一个抽象的数据类型。burn_drive_info可以是指向burn_drive_info_t类型的指针,也可以是直接存储burn_drive_info_t类型的实例。 在程序中,可以使用burn_drive_info变量来引用和操作对应的burn_drive_info_t类型的实例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值