bunner_的博客

1. 分析文件类型，是否加壳将文件扔进exeinfope中查看，发现是无壳的32位可执行程序2. 使用IDA对文件进行分析此处的main函数代码较为简单，其逻辑为接收输入，用 sub_401080 函数对其进行处理，处理后的结果若与byte_40E0E4 处字符串相同，则该输出即为flag。所以我们的重点应该放在 sub_401080 函数上。分析 sub_401080 函数的逻辑从上面两幅图的分析中可以得到，函数sub_401080的作用就是进行base64编码，**只是它还将原本的编

拿到一份exe可执行程序，按照下面步骤进行解题分析文件是否加壳等将文件扔进exeinfope，发现为32位无壳的exe文件[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-owAZcvk3-1614067093793)(https://ae01.alicdn.com/kf/Uaf68ad7a08b04919b35674d2274b19bbq.jpg)]...

1. 加载目标文件，选择调试器使用IDA打开目标文件。使用菜单项上的"Debugger"，单击"Select Debugger"，再根据当前的文件类型选择合适的调试器。我这里调试exe文件时一般使用 Local Windows debugger 或 Remote Windows Debugger。...

拿buuoj中 GUET-CTF2019-re 来举例首先我们已经知道了该题的flag为flag{e$x$65421110ba03099a1c039337}其中 x 就是我们需要爆破的点，所以我们需要先生成爆破用的payload"flag{e065421110ba03099a1c039337}""flag{e165421110ba03099a1c039337}""flag{e265421110ba03099a1c039337}""flag{e365421110ba03099a1c03933

安装1、首先去下面给出的网站下载jeb-2.2.7.201608151620_crack_qtfreet00.ziphttps://down.52pojie.cn/Tools/Android_Tools/2、安装jdk1.8.0_121，亲测高版本不行3、启动jebwindows系统上使用jeb_wincon.bat来启动使用查看源码打开Bytecode，选中任意文件后通过q键可以查看源码，例如下面可以单击A2再按q来查看源码查看函数的引用若想查看某个函数的调用，右键该函数，点

解题拿到手解压后是一个apk文件，扔到 jeb 中根据题目提示，拿到完整邮箱即可，以及查看cn包下的文件名，用字符串搜索mail 【ctrl+F】从上图中可以发现一个名为sendMailByJavaMail的函数，用快捷键q来看看源码从上图发现v1.set_to(new String[](arg6))，该代码意为将arg6设置为邮件接收者，所以我们需要寻找调用该函数的代码【右键该函数，单击Cross references】进入MainTask查看发现第一个参数为C2.MAILSE

拿到一个文件，打开查看一下是这样子的。#!/usr/bin/env python# -*- coding: utf-8 -*-import marshal, zlib, base64exec(marshal.loads(zlib.decompress(base64.b64decode('eJyNVktv00AQXm/eL0igiaFA01IO4cIVCUGFBBJwqRAckLhEIQmtRfPwI0QIeio/hRO/hJ/CiStH2M/prj07diGRP43Hs9+MZ2fWMxbnP6

1、拿到exe文件，扔到exeinfo里面看一下，发现是32位无壳2、扔到IDA里面，通过[shift+F12]找字符串发现"right"，双击跟过去发现sub_401080调用了这个字符串，跟过去，F5反编译对于23行到30行的代码我们猜测是将输入串赋值到byte_40336C里面来，但是不是很确定，我们可以去OD里面确认一下把文件扔进OD，根据sub_401080函数在IDA中相对位置(汇编代码textview可看见)可以在OD中找到其位置，然后该循环之后打断点从图中发现byte_