【逆向 | CTF】BUUCTF 新年快乐

已于 2024-02-27 11:25:41 修改
阅读量775 收藏 9
点赞数 6
分类专栏: CTF - 逆向 文章标签: javascript 开发语言 ecmascript
于 2024-02-22 23:24:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46301214/article/details/136244830
版权
本文讲述了作者在分析一个包含UPX壳的软件时遇到的各种调试挑战,包括不同工具对调试输出的异常、找到正常入口点的过程,以及修复IAT以恢复函数名称的关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

天命:被各种奇怪的 dbg 教育的一晚

拿到软件,丢进IDA发现有点问题,只有两个函数,发现不对劲

查壳一看,发现是UPX壳

坑点来了:很多OD都是不正常的,还有半正常的OD,只有原版OD是正常的

吾爱破解OD是不正常的,x64dbg半正常,英文原版OD是很正常的

用最先进的x32dbg来搞,居然要按两次F9才能到正常的入口点

神奇,英文原版OD直接就到正常入口点了

来到 pushad 才是真正的入口点

esp定律,手动脱壳

最低0.47元/天 解锁文章
BUUCTF逆向wp 新年快乐
2302_81740139的博客
01-25 1021
本题中str1与str2为字符串,strlen(str2)为字符串2的长度。本题利用strlen函数先获取字符串2的长度,将其作为参数传递给strncmp函数,如果两个字符串前面的strlen。第二步 将目标程序拖入UPX,完成脱壳,之后即可将程序拖入ida(脱完壳后会有一个.bak的文件,那个不是我们的目标程序,删除即可。第一步 将程序拖到exeinfo中,发现为32位的。注意不能直接将程序拖到ida,因为该程序有外壳UPX。或(&str2)数值相等即输出this is true flag!
BUUCTF---新年快乐(reverse)
2201_75556700的博客
04-07 550
6.shift+fn+f12查找flag(如果没有出现搜索框,再试试ctrl+f)看到了几串字符,加上题目提示说要注意留意字符串,将下面几个字符串拿去提交。8.发现flag{HappyNewYear!1.题目描述:下载一个压缩包,里面有个exe文件。2.用PE查壳(有个32位的UPX壳)5.将新的exe文件放在IDA中分析。4.脱壳完后,生成新的exe。
BUUCTF——Reverse——新年快乐
计算机硕士的博客
12-25 862
BUUCTF——Reverse——新年快乐,详细解题步骤。
buuctf-新年快乐 Reverse逆向
weixin_72729190的博客
10-31 501
注意:flag并非是flag{XXX}形式,就是一个字符串,考验眼力的时候到了!注意:得到的 flag 请包上 flag{} 提交。链接:https://pan.baidu.com/s/1uzK7lwExoBsCGBicQwFrfA。去壳软件UPXShell:通过百度网盘分享的文件:UPXShell3.95.2020.zip。我们放进查壳软件中进行分析得到-->是有壳的 (看EP)(这时候 新年快乐.exe 就已经去壳了)把新年快乐.exe拖进去打开点击----执行。我们可以把它放进去壳软件中。
buuctf_reverse:新年快乐
weixin_46133275的博客
09-10 341
本文主要说明新年快乐的解题过程和相关思路。
BUUCTF逆向题】内涵的软件、新年快乐、xor
最新发布
Power的博客
01-16 1413
Exeinfo查得32位无壳1.用32位IDA打开,Shift+F12搜索展示字符串发现可疑尝试成功2.左边函数栏找到main_0函数,打开然后F5反编译根据提示答案在变量里,往上看发现变量v5疑似flag直接尝试flag{}包装解题成功。
BUUCTF 逆向工程(reverse)之新年快乐
weixin_44632787的博客
08-19 843
用IDA打开,发现就只有两个函数。所以猜测加了壳 这里我用的是kali自带的upx进行脱壳 再重新用IDA打开,进入到主函数 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax char Str2; // [esp+12h] [ebp-3Ah] char Str1[2]; // [esp+20h] [ebp-2Ch] char v6; // [esp+22h] [ebp
BUUCTF Reverse(reverse2, 内涵的软件, 新年快乐)
weixin_43456810的博客
12-16 823
BUUCTF Reverse(reverse2, 内涵的软件, 新年快乐) reverse2 这道题本质上其实和reverse1一样,也是字符的替换,将文件用IDA打开后,也是可以直接看到flag信息的,但是同样的,那也不是最终的flag,分析可得是将r和i都换为了1,即可得最终flag。详细的分析过程可以从上一篇reverse1里看,思路可以说是一模一样的 内涵的软件 这道题其实也是一般的思路,先用exeinfoPE看一下文件信息,判断是多少位,然后用相应的IDA打开即可看到flag信息,这道题不要多想,
Buuctf-Reverse-新年快乐 题解&思路总结
m0_62239233的博客
05-03 3141
Buuctf-Reverse-新年快乐 题解&思路总结
BUUCTF,,re新年快乐
weixin_45948183的博客
05-22 517
还是相同的步骤,先到PE里面查一下壳 是一个upx的壳,,,upx有专门的脱壳工具,,然后放到脱壳工具里面脱壳就可以到ida里面运行了,也可以在OD里面手动脱壳,, 1、万能脱壳工具脱壳 然后到ida看一下主函数的伪代码 一个比较的函数,,,输入与V4相等就可以拿到flag 然后上面 ,,,v4是HappyNewYear!,,直接拿到flag就是flag{HappyNewYear!} 最主要的还是脱壳 ...
BUUCTF Reverse 新年快乐 WriteUp
PlumpBoy的博客
09-10 1091
新年快乐-WP 首先放入ExeinfoPE,查出来是UPX的壳 放入kali脱壳 upx -d 1.exe 脱壳后扔入IDA __main(); strcpy(Str2, "HappyNewYear!"); Str1 = 0; memset(v6, 0, sizeof(v6)); printf("please input the true flag:"); scanf("%s", &Str1); if ( !strncmp((const char *)&Str1,
ctf刷题reverse新年快乐!(UPX脱壳)
bbchk的博客
05-29 799
buuctf刷题reverse新年快乐!(UPX脱壳)
BUUCTF(新年快乐)
weixin_56690984的博客
12-07 541
这道题就是基础题上加了一个UPX壳,用软件脱壳后丢IDA,查main函数即可找到flag。丢IDA:把原文件丢到IDA中分析,在左侧的函数框内Ctrl+F搜索main函数。查壳:用ExeinfopeAR查,这里明显有UPX壳。点进main:F5,查看伪代码,找到flag。脱壳:用UPX Unpacker脱壳。
buuctf新年快乐解法(记录向)
jsbbd12的博客
07-24 327
分析该函数,得知此段函数输出正确字符串时的情况是输入字符串与HappyNewYear!相同,则此题的flag应为HappyNewYear!由此可见此文件已经脱壳完成并且要用ida pro32bit打开,打开后详情如下。发现可疑字符串HappyNewYear!第二步,脱壳,直接放入脱壳软件完成自动脱壳,再次查看。在左侧找不到主函数,直接shift+F12查看c代码。Ctrl+x查看此字符串被引用在哪个函数中。
BUUCTF】 reverse 新年快乐
m0_68259687的博客
05-28 451
本题的主要考察了对于ESP定律的应用,如果闲手动脱壳找OEP麻烦,完全可以使用现有的脱壳工具,但是前文也提到了,upx壳的代码是开源的。也就是说,如果想稍微深刻的理解原理而不是当一名脚本小子,那么就要从写题的每一个为什么开始。每一个为什么都有它存在的意义。也是为了我们真正的去掌握一门技术,去保持自己对于技术的热爱。若是只是知道解决什么问题,只知其一,不能举一反三,那我们学习技术的意义在何处?现实不是做题,不是吗?作者小小的表达了一下自己的观点。
加脱壳学习 以新年快乐为例
qq_40942925的博客
03-11 286
随便写写
buuctf 新年快乐 题解
2301_79883204的博客
12-01 387
的作用就是将从 Str1 所指向的内存起始位置开始,往后连续的 32 个字节的内存区域中的每个字节都设置为 0。Str1和str2的前一段相等,所以flag{HappyNewYear!用kali脱壳,upx -d 新年快乐.exe。把HappyNewYear!脱完壳后就可以放进ida。双击,ctrl+x,F5。可以看到加了upx壳,
BUUCTF,Reverse:新年快乐
Pai_Space
11-07 1016
1.解题过程: 下载附件,查壳 发现有UPX的壳,使用UPX进行脱壳 得到无壳的程序 注意:使用UPX脱壳时后缀的 .exe 不要忘了 将无壳的程序拖入IDA中查看分析 结合知识点(文章下方附有知识点)分析: 从输出 “this is true flag!” 处分析,若 strncmp() 返回值为0,则用户输入的v5为flag 所以查看v4,flag即为v4指向的字符串 2.知识点: (1)伪代码中涉及到的函数: ① strcpy(): ...
buuctf 新年快乐+xor
2302_80849965的博客
01-01 642
题解
逆向工程ctf ida
10-12
逆向工程CTF(Capture The Flag)比赛中,参赛者需要通过逆向工程手段来获取隐藏在某个程序或应用中的标志(flag),常以此为目标进行竞赛。而IDA被广泛用作CTF逆向工程比赛的关键工具之一,主要用于分析并理解被逆向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星盾网安

能花钱买到的知识,都不贵

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值