xctf windows_reverse1

最新推荐文章于 2024-04-07 22:08:20 发布
最新推荐文章于 2024-04-07 22:08:20 发布
阅读量445 收藏 1
点赞数
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45701079/article/details/109257718
版权

xctf windows_reverse1

日常水一波
这道题是有加壳的(upx),用010分析就知道了
脱壳之后找到动态调试不行,经大佬讲解,发现win7之后加入了ALSR,然后这个文件不支持ALSR,所以动态调试不行,只能用ida打开
在这里插入图片描述
乍一看,v4和v6没有任何关系,但是查看汇编在这里插入图片描述

把v4的地址放入了ecx,然后看调用的函数
在这里插入图片描述
v1的保存值就是ecx,所以思路就出来了。v1的值就是main函数的v4的值
然后通过地址相减(仔细看上图会发现是个负数),然后地址的差值作为另一个的索引,这里用了溢出,然后找到这个数据段进行索引就好了。
最后贴上源码

data = [ 0x7E, 0x7D, 0x7C, 0x7B, 0x7A, 0x79, 0x78, 0x77, 0x76, 0x75, 0x74, 0x73, 0x72, 0x71, 
    0x70, 0x6F, 0x6E, 0x6D, 0x6C, 0x6B, 0x6A, 0x69,
最低0.47元/天 解锁文章
XCTF 逆向进阶区Windows_Reverse1——WriteUp
qq_43547885的博客
02-20 1188
题目链接: Windows_Reverse1 答题过程 脱壳 首先将程序拖入 Exeinfo PE 中查看相关信息: 发现程序有upx壳, 使用upx -d将壳脱去: 脱壳显示成功, 但奇怪的是程序一运行就闪退. 先不讨论该问题, 最后再来研究. IDA PRO 分析程序 用 IDA PRO 打开该程序, 直接查看反编译代码, 发现程序逻辑非常清晰:int __cdecl main(int...
XCTF Windows_Reverse1
weixin_44164182的博客
02-11 259
主函数中接收输入后,调用sub_401000后进行判断,即sub_401000执行了关键逻辑,根据用户输入生成待判断的字符串。调用时分别使用堆栈和寄存器传入了两个main函数堆栈的地址,分别是输入字符串地址(堆栈)和执行sub_401000后生成的字符串的保存地址(寄存器ecx)。 生成的字符串来自template_string,并以某种方式按照用户输入进行索引生成,其中template_string如下 生成字符串的索引为 template_string[ptr_output[v4]] v4=raw.
XCTF-Windows_Reverse1
qq_52974719的博客
06-23 310
XCTF-Windows_Reverse11、查壳2、ida静态分析3、提取索引字符串 1、查壳 查出upx壳,老套路了,本想直接一波esp把壳子脱掉,结果出现内存访问失败的错误,呜呜,爬去upx -d 2、ida静态分析 比较简洁,输入v6,调用函数sub_401000处理v6,最后判断v4的结果,芜湖,看似v4和v6毫无关系,其实细看调用401000函数前的汇编便能找到v4与v6间的联系。 注意到初始时v4和v6在栈内的位置便可以知道,eax中存放的是v6,ecx中存放的是v4,借助寄存器来实现参数传
攻防世界逆向高手题之Windows_Reverse1
沐一 · 林 的博客
08-26 1179
攻防世界逆向高手题之Windows_Reverse1 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的Windows_Reverse1 下载附件,照例扔入exeinfope中查看信息: UPX壳,32位windows中,扔入我的kali中先用命令upx -d 文件名 脱壳先: 双击运行不了,查看不了起始信息,看了资料说: UPX的壳,手动脱壳或者脱壳机脱壳,但发现脱完壳的程序在win7下打不开,即使是显示没壳(这里后来查到win7包括以上版本开启了ASLR(地址随机化),winxp就没有,如
Windows_Reverse1
Tigger.run 独立开发者 热爱逆向工程
05-19 793
目录0x0 题目涉及知识点0x1 查壳脱壳0x2 反汇编分析0x3写脚本 0x0 题目涉及知识点 简单脱壳 指针运算 位移量 字符串查询 0x1 查壳脱壳 使用 UPX 工具脱壳 0x2 反汇编分析 初步了解程序执行流程,sub_401000(&v6) 为加密过程,&v4中存放了flag。 char v4; // [esp+4h] [ebp-804h] char v5; // [esp+5h] [ebp-803h] char v6; // [esp+404h] [ebp
CTF Reverse Corroded_Alien_Artifact.exe解题思路
ACGeny的博客
09-22 562
CTF Reverse Corroded Alien Artifact.exe解题思路一、文件描述二、解题思路 一、文件描述 运行程序发现直接退出; 无壳的64位程序; 静态和动态都试试的。 二、解题思路 用IDA Pro打开,找到main函数,发现sub_140014420子函数打不开, 提示不能分析,应该是遇到异常情况。 进入到sub_1400012FF中,首行提示output wrong!意思是该函数没法正常显示。ps:题主的IDA Pro是7.5版本的。 在第14行Tap到汇编窗口中,
Xctf Reverse菜鸟题解之csaw2013reversing2
weixin_44007261的博客
10-20 348
Xctf Reverse菜鸟题解之csaw2013reversing2IDA Pro静态分析x32dbg动态调试分析绕过反调试机制 IDA Pro静态分析 x32dbg动态调试分析 绕过反调试机制 做了Xctf上的一道新手题,感觉坑不少,遂把自己的思路和步骤发上来分享一波,本人逆向菜鸟一只,大佬轻喷。 首先进入题目界面,看到简介上说,直接运行就可以拿到flag 我们先看一下文件的一些信息: 可以看到是windows下32位pe文件,我这里用wine先跑了一下,结果是一堆乱码: 这里可以看到这个mess
idapython_攻防世界no-strings-attached_逆向之旅007
weixin_43281394的博客
01-07 798
提示:这篇文章里涉及到:idapython,gdb,idapython中文手册.pdf百度云链接 攻防世界no-strings-attached_逆向之旅007前言一、攻防世界no-strings-attached二、writeup1.用exeinfo看一下2.在linux下运行3.分析三、总结 前言 本题的摘要: 文件是linux下的elf文件,但是运行报错。有两个解题思路,第一种是用gdb在linux虚拟机下动态调试,第二种是使用ida静态分析,然后构建脚本计算出flag。 今天距离写上一篇博客有
XCTF Windows_Reverse2
lhk124的博客
07-24 564
1.查壳,脱壳。 壳:aspack 可以手工脱壳或者用工具 1.取值范围和长度的判断(如图) 2.sub_401240:可以通过减去的值判断出:最后的值的取值范围是0-15,所以判定为转换为16进制 3.sub_401240里的sub_401000函数:base64的加解密的魔改 所以,程序的正向逻辑是: 输入,判断长度是否为偶数,是否在'0'->'9' 'A'->'F'之间 在sub_401240转换为16进制 在sub_401000里进行base64魔改加密,最终结果为...
XCTF reverse maze
YenKoc的博客
02-05 488
一.查壳 二.拖入ida64,静态调试,找到主函数F5反编译 二.1 思路分析(逆向是真的费时间,每个函数都要分析过去): 1.发现每个if最终都会进入LABEL-15 点进去,看看这个函数是干啥的。 这里基本可以推理出a3是行,a2是列了。 那么我们的迷宫一定是一个8列的矩阵。 得知这点,退出去,再分析。 v9是行,SHIDWORD函数是指的下一个字节,得知这点,从上面分析可知: 就将...
CTF逆向(reverse)入门脑图
10-25
CTF逆向(reverse)入门脑图,xmind格式文件。Reverse即逆向工程,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。 仅供CTF竞赛参考使用,请不要做违法乱纪的事情
XCTF-Reverse:python-trade
_Co1a
11-24 189
测试文件:https://adworld.xctf.org.cn/media/task/attachments/69c8f29912ae4f679d92a6cd36c33196.pyc pyc反编译在线:https://tool.lu/pyc/ #!/usr/bin/env python # visit http://tool.lu/pyc/ for more information import base64 def encode(message): s = '' for i in
xctf攻防世界 REVERSE 高手进阶区 re4-unvm-me
l8947943的博客
04-02 9711
0x01. 进入环境,下载附件 题目给出的是一个pyc文件,我们对其进行反编译 uncompyle6 c2eebf52980f444684130672c821d789.pyc > test1.py 在对应目录下找到反编译的python文件test1.py。我们将其打开,内容如下: # uncompyle6 version 3.8.0 # Python bytecode 2.7 (62211) # Decompiled from: Python 3.8.8 (default, Apr 13 2021,
xctf(ddctf) Windows_Reverse2 脱壳
JackBoy的博客
01-12 925
1.星期天闲着没事做做这个 od直接开trace 然后写个脚本化简下文件 import re def isdigit(a): try: int(a,10) return 1 except Exception as e: try: int(a,16) return 1 except Exception as e1: return 0 f1=open(...
xctf攻防世界 REVERSE 高手进阶区 Reversing-x64Elf-100
l8947943的博客
04-08 2201
0x01. 进入环境,下载附件 题目给出了后缀为re的文件,尝试用exeinfo PE打开查看,如图: 64位文件,无套壳! 0x02. 问题分析 使用IDA64位软件打开该文件,老规矩,找main函数,F5反编译,得到反编译代码如下: signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed __int64 result; // rax char s; // [rsp+0h] [rbp-110h] un
攻防世界XCTF逆向Reverse,Reversing-x64Elf-100动态调试flag
最新发布
qq_45200829的博客
04-07 679
不能动态调试?
XCTF-REVERSE-指南
煮酒闲谈
10-17 657
CTF-REVERSE-指南首先介绍一下 linux和windows下一些常用命令和工具  ELF反调试初探[http://www.freebuf.com/sectool/83509.html] readelf 该命令是Linux下的分析ELF文件的命令,这个命令在分析ELF文件格式时非常有用 命令格式:readelf elf文件名 strings  可以打印出文件中所有列出的可打印字符串 格式
两道CTF Reverse题目(windows平台)
蚁景网安学院
07-16 583
两道CTFReverse题目(windows平台)需要用到的工具:PEiD(查壳),IDA,OllyDbg第一道题(ISCC2018线下赛河南赛区的一道题)0x01先运行一下 发现G...
[XCTF-Reverse] 入门7-12
weixin_52640415的博客
03-15 502
7,ZSCTF_game ida打开,main_0是主程序,向下找到检查程序,是两个串异或 //main_0 主要部分 sub_458054(); if ( byte_532E28[0] == 1 && byte_532E28[1] == 1 && byte_532E28[2] == 1 && byte_532E28[3] == 1 && byte_532E28[4] ==
华为云xctf_2020资格赛CTF解题指南
资源摘要信息:"xctf_huaweicloud-qualifier-2020" 1. 概述 "xctf_huaweicloud-qualifier-2020" 是一场信息安全竞赛,通常称为CTF(Capture The Flag)比赛,其目的在于检验和提高参赛者的信息安全技能。这类比赛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值