BUUCTF-RE-Youngter-drive

最新推荐文章于 2024-12-07 01:12:40 发布
原创 最新推荐文章于 2024-12-07 01:12:40 发布 · 250 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了BUUCTF-RE-Youngter-drive挑战赛中涉及的技术细节,包括使用PEID查壳、UPX脱壳过程、关键代码审计等步骤,并提供了最终的flag获取方法及代码实现。

BUUCTF-RE-Youngter-drive

PEID查壳

在这里插入图片描述
发现是UPX的壳,脱壳
在这里插入图片描述
脱壳之后再查壳
在这里插入图片描述

关键代码审计

进入main函数
在这里插入图片描述再进入到main_0函数
在这里插入图片描述
代码分析
打印在这里插入图片描述
并将输入的字符串保存在Source变量里面
具体分析如图所示
在这里插入图片描述
sub_411190()函数将Source的值与"TOiZiZtOrYaToUwPnToBsOaOapsyS"对比
在这里插入图片描述
按x查看交叉引用
在这里插入图片描述
来到StartAddress_0()函数里面
在这里插入图片描述在这里插入图片描述
dword_418008的值为29
查看WaitForSingleObject函数的交叉引用
在这里插入图片描述
在这里插入图片描述其实可以知道,当执行量为10时,转向被冻结线程B,也就是说sub_41119F,dw

最低0.47元/天 解锁文章
[BUUCTF]REVERSE——Youngter-drive
mcmuyanga的博客
11-17 632
Youngter-drive 附件 步骤: 例行查壳儿,32位程序,upx壳儿 利用网上找的upx脱壳儿工具脱完壳扔进ida,首先检索程序里的字符串,发现了有关flag的字样,跟进,当source=TOiZiZtOrYaToUwPnToBsOaOapsyS的时候才会输出flag 从main函数开始看程序 函数创建了两个进程,一个startaddress,一个sub_41119F 4. 先看startaddress 到sub_411940这里报错了 转汇编看一下,这边由于堆栈不平衡所以报错了
攻防世界&&BUUCTF逆向练习
sjt670994562的博客
09-02 1679
BUUCTF——Youngter-drive 这是一道多线程的题目,主要理解了一下线程运行的一些问题 首先查壳,有壳,进行脱壳,手动失败了,linux里面upx -d就可以了 发现不能运行,应该需要修复,但这里比较懒,直接ida静态分析 StartAddress开始无法反编译,因为堆栈不平很,这里修改sp value,option-general-Stack-pointer选项可以显示sp值,这...
BUUCTF-Youngter-drive
weixin_50783572的博客
10-25 279
BUUCTF reverse Youngter-drive 用Exeinfo打开发现加了upx壳 用upxshell脱壳后用IDA32打开 找到主函数 sub_4110FF函数控制输入了Source的值 打开StartAddress函数 发现sub_41112C函数,进入查看 是将输入的字符中的大小写字母从下面这个字符串中进行替换 这里我犯了错误,没有继续看main后面的函数,以为每一个都要替换 回去看main函数,发现在sub_41119F函数中也对dword_418008的值进行了减一操作,
buu-Reserve:Youngter-drive
Asteri5m
03-23 371
buu-Reserve :Youngter-drive 平时也经常在buu练题,练到后面收获越发的多。便想着记录下来。 0x00 初步分析 尝试运行的时候发现不可以,好吧,直接查壳: 0x01 查壳脱壳 简单的upx壳,但是由于也不能运行,直接自动脱壳吧: 脱完壳还是不能运行,估计是需要修复,懒人直接上IDA,shift+F12可以看到关键字符: 0x02 代码分析 直接转过去试试能不能反编译,直接进入查看伪代码。那就直接分析它的算法吧: 可以看到我们的输入保存在Source字符串里面;返回上一
BUUCTF--Youngter-drive
Hk_Mayfly的博客
03-26 972
测试文件:https://www.lanzous.com/ianojbc 如果运行程序提示缺少msvcr100d.dll文件,将此dll文件放程序的同一目录。(https://www.lanzous.com/iap3v6f) 准备 获取信息 32位文件 存在upx壳 代码分析 upx脱壳之后,打开主函数代码 int __thiscall main_0(void *thi...
re学习笔记(10)BUUCTF-re-Youngter-drive
逆向随笔
11-18 1640
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:Youngter-drive 直接拖入IDA32,提示警告…… 首先函数就俩,,,在UPX1,伪代码第一句是pusha,保存所有寄存器 而最上面的条也没被读取出来,显示灰色 exe文件,使用官网下载的upx进行脱壳进行脱壳 UPX-3.95-win64 脱壳之后成功加载 然后跳转到_main_0查看 F5伪代码 ...
re题(10)BUUCTF-re Youngter-drive
2301_80907001的博客
05-05 501
虽然得出flag,但是把flag输入题目中是错误的,检查一下发现flag是有30位的,最后一位没进行比较,我们要得到最后一位,唯一的办法就是把字母一个一个代到答案中试一下,发现最后一个字符是E。另一个线程啥也没干,只有dw自减1,根据两个线程我们直到第奇数个字符不变,第偶数个字符进行第一个线程的操作。发现这是一个双线程的,进入sub_41112c看一下。进入sub_411190()函数,分析一下,拖到ida,F5反汇编,分析一下。按x看一下flag的交叉引用。先查一下壳,是upx壳。进入另一个线程看一下。
buuctf-re Youngter-drive 题解
最新发布
weixin_75137273的博客
12-07 489
当一个线程加锁后,另一个线程需要等待解锁才能执行,所以这里可以实现一个交叉执行函数的操作。然后第二个线程中的函数只有递减操作,没有加密操作,由此实现了对。新建两个线程,一个线程startAddress指向startAddress函数,另一个指向sub_41119F,都进去看看。这里对比上一个线程少了加密代码,所以这里函数并没有实际操作,单纯让迭代子dword_618008。工具脱壳后拖入ida反编译,发现很多不认识的api函数,具体作用不讲了,可以自己去查。整体梳理一下,当第一个线程调用函数时,
buuctf-reverse write-ups (1)
CoLin的pwn小屋
07-19 1408
buuctf-reverse 1-37题
BUUCTF-Reverse —— 第一页的题目集合
qq_52193383的博客
07-04 2810
一般来说,先查看一下字符串,简单的题目会有flag或者敏感数据字符等信息,方便我们定位函数查看字符串的方法为shift+F12。ctrl+x(交叉引用)查看是哪段函数调用了该字符串在IDA中,选中数字按"R"键可以将数字转换为字符。
buuctf一道比较经典的多线程题目
weixin_43990313的博客
09-27 290
题目:Younger Driver 这个题目比较经典,包含的内容有UPX加壳、反调试、多线程等。不过除了这几个点以外,还有数组的内容我有卡住。 peid查壳 upx用命令行脱壳没法执行。我用的UPXShell脱壳。 拖到ida尝试静态分析。搜索字符串。我们在warning位置发现有反调试的语句。 直接修改jz语句为jmp过反调试。 同样,warning的函数都可以修改绕过。 定位main函数。 发现函数创建了互斥体。之后创建了两个线程。一开始打算在最后的函数比较字段。提交发现失败。决定分析双线程。
攻防世界-Mary_Morton
Henlenl的博客
11-30 3128
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
BUUCTF-RE-[MRCTF2020]Xor
Henlenl的博客
04-30 1923
[MRCTF2020]Xor查壳IDA分析get flag 查壳 发现是无壳的 IDA分析 查找字符串,找到这个Give Me Your Flag 通过交叉引用 来到sub_401090 然后 F5 发现报错了 不能F5,而且不是sp错误 那我们干脆直接看汇编 首先我们看到 这里压入了byte_4212C0 和 %s 这个我们就知道 flag其实储存在byte_4212C0中 然后我们看到 loc_4010B6 我们可以知道 edx 寄存器不断自增,最后退出循环,然后再与27 进行比较,这个时候我
BUUCTF-RE-2020-羊城杯 login
Henlenl的博客
09-24 1375
wp pyc RE 先用pyinstxtractor.py反编译为pyc文件 看到如下信息 但是注意 要对比login和struct头部的字节差异 将差异补上后 login这个文件加上.pyc后缀 然后就能用uncompyle6 将pyc反编译为python代码 # uncompyle6 version 3.7.4 # Python bytecode 3.6 (3379) # Decompiled from: Python 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018,
BUUCTF-RE-[GUET-CTF2019]re
Henlenl的博客
04-21 1315
BUUCTF-[GUET-CTF2019]rePEID查壳关键代码分析脚本get flag PEID查壳 发现其实是UPX的壳,所以我们要先脱壳 UPX脱壳 关键代码分析 我们将脱壳后的文件,使用ida打开 查找字符串 其实这种情况有两种解法 ①:直接看代码,除就完事了 因为他是 N*a1[n] != M 那么我们就可以转化成 a1[n] = M // N ②:Z3求解器 利用z3求解器来求解各数组的元素 脚本 ①: a1 = [0]*32 a1[0]=chr(166163712//1629056)
BUUCTF-RE-[FlareOn4]IgniteMe
Henlenl的博客
04-30 718
[FlareOn4]IgniteMe查壳IDA (静动)分析静态动调get flag 查壳 发现程序是没有壳的 IDA (静动)分析 静态 然后 我们再F5 查看start的伪代码 然后我们进入 sub_4010F0 看看 读取某个字符串 然后传入全局变量当中 再进入sub_401050 看看 那么我们现在未知v4的值 为了避免麻烦 其实我们可以直接在IDA动态调试该程序来获取v4的值 动调 我们首先在v4的位置下一个断点 然后选择这个 然后我们在Debugger->Stare proce
BUUCTF-RE-[SUCTF2019]SignIn
Henlenl的博客
04-21 455
BUUCTF-RE-[SUCTF2019]SignIn查壳关键代码审计脚本get flag 查壳 发现是没有壳的 关键代码审计 找到main函数 int mpz_init_set_str (mpz_t rop, char *str, int base) mpz_t rop:多精度整数变量 char *str: 字符串 int base: 进制 将str按照base进制转换为rop void mpz_powm (mpz_t rop, const mpz_t base, const mpz_t exp,
BUUCTF-RE-[ACTF新生赛2020]rome
Henlenl的博客
04-19 442
BUUCTF-[ACTF新生赛2020]romePEID查壳关键代码审计编写解密脚本get flag PEID查壳 PEID查壳发现没有壳 关键代码审计 将程序放入IDA pro进行分析 int __cdecl main(int argc, const char **argv, const char **envp) { __main(); func(); return 0; } 进入_main函数为程序初始化函数,我们看到关键代码func int func() { int result;
强网拟态REV-(fastjsoN)wp
Henlenl的博客
10-26 420
fastjsoN 依照这个链接可以知道 跟之前长安杯和看雪KCTF题目差不多 先用脚本恢复一下符号 0x02, 0x3A, 0x10, 0x6C, 0x6F, 0x6E, 0x67, 0x32, 0x73, 0x74, 0x72, 0x10, 0x73, 0x74, 0x72, 0x32, 0x6C, 0x6F, 0x6E, 0x67, 0x10, 0x73, 0x64, 0x66, 0x73, 0x66, 0x73, 0x64, 0x66, 0x0E, 0x73, 0x74, 0x72, 0x32,
Drive-Functional HTML文件技术资料下载
资源摘要信息:"drive-functional.html_files.rar是一个关于drive-functional.html文件的压缩包,其中包含了多个与drive-functional.html相关的文件,用于详细介绍和技术资料的提供。" 标题知识点: 1. "drive-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值