buu Youngter-drive

最新推荐文章于 2024-03-28 10:06:16 发布
最新推荐文章于 2024-03-28 10:06:16 发布
阅读量532 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: buu re
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YenKoc/article/details/105282916
本文详细记录了一次UPX壳的脱壳过程,包括使用自解压方式脱壳、修复堆栈不平衡、IDA反编译、分析加密算法及解密脚本的编写。通过实际操作,揭示了加密循环机制,并分享了解决问题的小技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.查壳,发现是upx的壳,用自解压方式,脱下壳
在这里插入图片描述
二.之后发现打不开了,应该是要修复,不想修复了,直接拖入ida
找到关键函数,中间发生一点小插曲,发现堆栈不平衡,然后导致F5反编译失败,百度了下是ALT+k快捷键来修改栈顶指针,维持栈顶平衡,修改之后发现可以反编译了
在这里插入图片描述
发现是创建进程,再进入
在这里插入图片描述
这块发现是加密,而且外面还创建了一个进程,说明是一次不加,一次加,这种循环来加密的。
然后看看,输出flag需要哪种条件。
在这里插入图片描述

用个脚本来解密

off="QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm"
flag="TOiZiZtOrYaToUwPnToBsOaOapsyS"
w=""
for i in range(len(flag)):
    j=off.index(flag[i])
    if i %2!=0:
        if j<=26:
            w+=chr(j+96)
        else:
            w+=chr(j+38)
    else:
        w+=flag[i]
print(w)

在这里插入图片描述

这里看了其他师傅的wp,才知道少了一个字符,必须要填E,才能过,我也不知道为什么2333

buuctf Youngter-drive
weixin_45701079的博客
10-31 2808
buuctf Youngter-drive 拿到题目,查壳(upx),首先脱壳,(不会脱壳自行百度,很多教程),脱壳之后是不能运行的,好像是因为文件重定向,但是不影响ida静态分析,ida打开 分析,多线程,最近刚好在学多线程,第一个线程h0bject会执行StartAddress函数,第二个线程v2执行sub_41119f函数,然后挨个分析打开StartAddress函数 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好, 在红色部分用alt+k,打开![在这里插入图片描述] 把原来的0x-4改成
buu-Youngter-drive
qaq517384的博客
03-02 229
32位upx壳 脱一下 字符串没啥 查看main函数 int main_0() { HANDLE v1; // [esp+D0h] [ebp-14h] HANDLE hObject; // [esp+DCh] [ebp-8h] sub_4110FF(); ::hObject = CreateMutexW(0, 0, 0); j_strcpy(Dest, Source); hObject = CreateThread(0, 0, StartAddress, 0, 0, 0);
buu:Youngter-drive
weixin_60553183的博客
12-30 1520
查壳发现有壳,UPX脱壳放IDA进入MAIN函数 学到新的知识点,多线程。CreateThread是创造一个线程,CloseHandle是关闭该线程。 先点进第一个线程的第一个函数 发现打不开,放百度。 这里又是一个新的知识点:堆栈不平衡。这里需要修改栈顶。 这里勾选Stack pointer再去汇编指令那里,就会发现有标红,在对应的地址那里按ALT+K进行修改后。即可打开函数 这里就很简单了小写改大写。 ...
BUUCTF--Youngter-drive
Hk_Mayfly的博客
03-26 956
测试文件:https://www.lanzous.com/ianojbc 如果运行程序提示缺少msvcr100d.dll文件,将此dll文件放程序的同一目录。(https://www.lanzous.com/iap3v6f) 准备 获取信息 32位文件 存在upx壳 代码分析 upx脱壳之后,打开主函数代码 int __thiscall main_0(void *thi...
buu Reverse学习记录(25) Youngter-drive
EMsheep的博客
03-14 394
题目链接:https://buuoj.cn/challenges#Youngter-drive
初探反调试&Youngter-drive
2301_81223471的博客
03-28 1650
链接链接进程的每个线程共享其虚拟地址,函数的局部变量对于每个线程都是唯一的。但是全局变量和静态变量我们都知道,它们可以随时随地访问,也就是说被进程的所有线程共享。所以,在多线程程序中,这些全局变量和静态变量可能会被一个线程修改和访问,这可能会给其他程序带来麻烦,为了避免这种问题,几乎所有的多线程操作系统都提供一种可以在每个线程的基础上有效存储状态的机制,通过TLS,我们可以为每个线程提供只能访问的唯一数据所以TLS就是为每个线程创建一个私密的空间供其访问与修改。
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUU-REVERSE-rsa
Nobug_的博客
05-23 499
BUU REVERSE rsa 1. 打开后发现了这两个文件 不用多说flag.enc 文件应该是加密后的东西 那么我们就直接先看pub.key里面的东西 -----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+ /AvKr1rzQczdAgMBAAE= -----END PUBLIC KEY----- 2 猜测应该是RSA算法的一个公钥 RSA公私钥分解 公钥指数及模数信
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUU Youngter-drive wp
__ys的博客
04-22 325
Youngter-drive 拿到题目,发现有upx壳,先去壳,然后丢入IDA 分析 看到这里我们应该先了解一下关于Windows多线程的知识 CreateThread是一种微软在Windows API中提供了建立新的线程的函数,该函数在主线程的基础上创建一个新线程。线程终止运行后,线程对象仍然在系统中,必须通过CloseHandle函数来关闭该线程对象。 可以看出主函数中创建了2个子线程,我们分别进行分析 StartAddress: 这里我们回到main函数中打开sub_411190()函数可以找
BUUCTF Youngter-drive
zgwz123456的博客
06-21 411
首先查壳发现是upx壳,直接上工具脱壳 upx -d E:\桌面\7289daa8-a5d5-430e-87a0-92ce805d8f15\Youngter-drive.exe 打开是这样的程序 拉入IDA进行分析 找到主函数,发现创建了两个线程,一个StartAddress,一个sub_41119F,进去看看 这里是对我们的flag进行操作,主要函数是sub_41112C 会出现这种情况,原因是堆栈不平衡利用ida调堆栈就好 找到411A04处,在pop ebp上按alt+k 将0x4改为.
BUUCTF-Youngter-drive
weixin_50783572的博客
10-25 268
BUUCTF reverse Youngter-drive 用Exeinfo打开发现加了upx壳 用upxshell脱壳后用IDA32打开 找到主函数 sub_4110FF函数控制输入了Source的值 打开StartAddress函数 发现sub_41112C函数,进入查看 是将输入的字符中的大小写字母从下面这个字符串中进行替换 这里我犯了错误,没有继续看main后面的函数,以为每一个都要替换 回去看main函数,发现在sub_41119F函数中也对dword_418008的值进行了减一操作,
BUUCTF_Youngter-drive
weixin_46009088的博客
10-30 1756
BUUCTF_Youngter-drive 学到一些多线程和IDA平衡堆栈的知识!同样也是尽量写的详细! 解压后拖进IDA,发现UPX的壳,如图: 用upx -d 把它给脱壳了,如图: 接下来就可以用IDA载入了,如图: 找到main_0函数就可以用F5大法了 一个函数一个函数来看,先看到sub_4110FF,点进去看看: 没啥东西,往下看,CreateThread创建了两个线程,MSDN文档1如下: 点进StartAddress查看线程,如图: 发现一个函数,点进去看,如图: 但是弹出了下面的错误.
Youngter-drive
weixin_52034946的博客
01-25 812
有壳,upx的,先脱壳,教程自己上网搜 从main函数开始 创造俩个进程,StartAddress和sub_41119F StartAddress 里面含有一个加密处理和一个减一 看加密函数,在进 sub_411940 时会有一个报错,我这边用的IDA7.5,提示错误了,但是还是可以看到伪代码 加密函数就是大写字母-38,小写字母-96, 是off_418000 减d的. off_418000:QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasd 下一个线程里面只有减一 最后一
BUUCTF RE Youngter-drive by YuSec
YuSec
08-12 371
Youngter-drive Start 打开发现加了个UPX壳 想手脱,发现 好吧,直接脱壳机脱吧,脱完重新载入IDA 搜索字符串,将flag放在Source中,后面就没了 看看谁用了Source 发现四处引用的地方,除了当前的,还有三处 看到sub_411880 对Source和off_418004常量字符串进行比较,这里应该就是最终加密后进行比较的 看到StartAddress_0 发现调用了sub_41112C进行处理Source 这里有个细节需要注意,dword_418008是临界资源
re学习笔记(10)BUUCTF-re-Youngter-drive
逆向随笔
11-18 1595
新手一枚,如有错误(不足)请指正,谢谢!! 题目链接:Youngter-drive 直接拖入IDA32,提示警告…… 首先函数就俩,,,在UPX1,伪代码第一句是pusha,保存所有寄存器 而最上面的条也没被读取出来,显示灰色 exe文件,使用官网下载的upx进行脱壳进行脱壳 UPX-3.95-win64 脱壳之后成功加载 然后跳转到_main_0查看 F5伪代码 ...
[BUUCTF]REVERSE——Youngter-drive
mcmuyanga的博客
11-17 578
Youngter-drive 附件 步骤: 例行查壳儿,32位程序,upx壳儿 利用网上找的upx脱壳儿工具脱完壳扔进ida,首先检索程序里的字符串,发现了有关flag的字样,跟进,当source=TOiZiZtOrYaToUwPnToBsOaOapsyS的时候才会输出flag 从main函数开始看程序 函数创建了两个进程,一个startaddress,一个sub_41119F 4. 先看startaddress 到sub_411940这里报错了 转汇编看一下,这边由于堆栈不平衡所以报错了
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值