buuctf————[WMCTF2020]easy_re

最新推荐文章于 2024-09-18 21:38:28 发布

re3sry

最新推荐文章于 2024-09-18 21:38:28 发布

阅读量517

点赞数 1

文章标签： perl buuctf reverse

本文链接：https://blog.youkuaiyun.com/yhfgs/article/details/120678774

版权

博客讲述了通过ida反编译和x64dbg调试来分析无壳64位程序的过程。作者在找不到运行时提示性字符串后，搜索了perl的相关信息，并从看雪论坛获得线索。通过调试，发现程序自动解压并在输入后进行字符串比较，最终成功获取到flag：flag{I_WAnt_dynam1c_F1ag}

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.查壳。

64位，无壳。

2.用IDA反编译查找字符串，发现没有运行时提示性字符串。可能是保护起来了。

上网搜了一下perl。

（没看到神么有用的，只知道perl是一种脚本语言。）

3.看了一下大佬的wp。知道他们是从看雪的帖子找到的。

既然运行就自动解压，用x64dbg调试。

f8单步调试。

到输入后换f7,一直跑就看到了flag。（防止是个假的，分析一下汇编代码，可知是字符串比较。）

4.get flag

flag{I_WAnt_dynam1c_F1ag}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

re3sry

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CTF逆向-[WMCTF2020]easy_re-WP_虚机-perl加载器截取

serfend's blog

03-24

672

CTF逆向-[WMCTF2020]easy_re-WP_虚机-perl加载器截取来源：BUUCTF在线评测/ 内容：无附件：百度网盘请输入提取码提取码：jua5 答案：WMCTF{I_WAnt_dynam1c_F1ag} 总体思路面对perl脚本加载的题，可以是从Shift+F12中搜索script找到其引用位置，则该引用位置为脚本加载的位置，按F8让脚本载入完成，则在下一个eax中就能看到脚本原文，根据原文分析perl代码得到flag。详细步骤检查文件信息

buuctf——[V&N2020 公开赛]strangeCpp && buuctf——[BJDCTF2020]easy && buuctf——[ACTF新生赛2020]usualCrypt

Dicked的博客

12-06

351

[V&N2020 公开赛]strangeCpp 交叉引用，看伪c，应该是mian函数 24-31输出了字符串 welcome，应该就是这里了。。多了byte_140021008 就这个函数，看到putchar函数里面有刚刚看见的字符串，有flag那味儿了。从尾开始搞，打印的肯定是flag了，就是dword_140021190这一段和刚刚找到的字符串逐个异或，然后就是找dword_140021190这一段是啥了这里应该是对dword_140021190进行了操作的，进去看看sub_1

参与评论您还未登录，请先登录后发表或查看评论

buu-[WMCTF2020]easy_re

qaq517384的博客

04-13

504

64位exe文件查看字符串交叉引用找函数

BUU——WMCTF2020 - easy_re

weixin_52369224的博客

01-16

436

无壳，64位PE程序，放入IDA64 静态分析一波，看不出个所以然，IDA动调，没有找到相应的字符串。去查询题目名 perl 一个比较小众的语言，我们这里应该是不带参数的情况。看雪文章解压call有字符串script x64dbg搜索 script 直接点前三个 SCRIPTname就出来flag。。。 flag{I_WAnt_dynam1c_F1ag} 总结：注意题目的名称以及一切有用信息。动调多尝试od 参考：https://blog.csdn...

[WMCTF2020]easy_re

m0_46296905的博客

04-22

961

题目：[WMCTF2020]easy_re 64位无壳程序。先在ida64里打开，发现找不到“please input the flag:”字符串，别的提示字符串也找不到，再看文件名perl，选择网上搜索这个名词，但只了解到perl是个脚本语言，推测是在程序运行过程中这些字符串才会显现出来，我目前所见过的能实现这样操作的也就SMC，但这题应该不是，可能是新的反静态分析的技术。本能想到用X64dbg动态调试。一键F9看它跑到哪里。它停在了entrypoint处，看不出什么。为了找到那个字符串但

buuctf——re题目练习

m0_63606191的博客

01-22

1010

1.easyre 方法一：ida打开，shift+F12找到flag。方法二：找到main函数，F5进入，找到伪代码，可以直接看到flag。 2.reverse 先用exeinfoPE看一下是64位的，用IDA64打开，用F12进入String window，看到了.rdata:0000000140019C90 00000019 C this is the right flag!\n，直接双击进入。出现了： .rdata:0000000140019C90 aThisIsTheRi...

CTF——PWN——栈溢出（3.Easy_ShellCode）

最新发布

qq_45215609的博客

09-18

803

CTF——PWN——栈溢出（3.Easy_ShellCode），bss段上的ret2shellcode

[MRCTF2020]Easy_RSA

weixin_44110537的博客

07-20

1476

encrypt import sympy from gmpy2 import gcd, invert from random import randint from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes import base64 from zlib import * flag = b"MRCTF{XXXX}" base = 65537 def gen

re学习笔记（69）WMCTF2020 - easy_re

逆向随笔

08-03

2517

IDA打开搜索字符串搜索不到，有个perl，，搜了搜这是又考验快速学习能力了，，搜了半天的百度谷歌。（搜了半天没搜到啥有用的，，最后在看雪论坛找到了这篇帖子https://bbs.pediy.com/thread-67651.htm 既然说会解压，，那我就x64dbg单步调试了，，一直F8单步走，，跑飞就F7，，，，然后一直单步到这里，瞅见代码了。 $flag = "WMCTF{I_WAnt_dynam1c_F1ag}"; print "please input the flag:"; $

WMCTF2020 easy_re

lhk124的博客

08-10

645

[WMCTF2020]easy_re 题解

于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡。

05-19

380

[WMCTF2020]easy_re 题解

BUUCTF [WMCTF2020]easy_re

liulala987的博客

09-10

260

perl是解释语言，perlapp只是把你的perl程序压缩后放在资源里面，执行的时候会解压的。能力而闻名，特别是在处理报告生成、文件转换、系统管理任务等方面。shift+F12查看可疑字符串并没有发现任何有用的东西。Perl 以其强大的。根据文件名perl 去查找相关的资料。Perl 是一种高级、解释型、动态。等语言的特性，并加入了大量的创新。把文件拖入x64dbg。文件无壳拖入ida。

[WMCTF2020]easy_re writeup

HLi1219的博客

12-30

601

每天一道re ExeinfoPE查壳后没有发现有任何壳但是当我用ida打开的时候发现找不到相关语句，根据题目名perl查看有什么提示动态？感觉没有想到什么，动态调试？他的动态指的是什么？无果，看师傅的writeup (43条消息) re学习笔记（69）WMCTF2020 - easy_re_逆向随笔-优快云博客原来是将代码压缩，执行的时候解压出来，应该说是一种反静态分析的方式，利用x64dbg打开，根据帖子，call函数解压有字符串script 利用x64dbg打开，不断F8,查

WMCTF之easy re

weixin_47158947的博客

08-04

538

1.又是一个零输出的比赛，又是动态调试的题，第二次做动态调试的题。。。。 2.第一次使用x64dbg。我才知道人家调试用的是步过（出），我调试的时候用的是步进。解题：用ida打开之后什么都没有，现在大的比赛难道都不需要使用ida进行字符串变换吗？害。 64位不能使用OD，询问了大佬发现是使用x64dbg。输入flag的题要么是字符串变换，要么就是这个类型的题，输入进去之后和内存里的字符串进行比较。这道题只有调试看内存了。然后我就是用我的步进方法设置断点，因为是步进所以就费一些时间，然后我就点运行，然后

[BUUCTF]REVERSE——[ACTF新生赛2020]easyre

mcmuyanga的博客

11-18

1476

[ACTF新生赛2020]easyre 附件步骤查壳，32位程序，upx壳儿脱完壳儿，扔进ida 分析一开始给我们定义了一个数组， v4=[42,70,39,34,78,44,34,40,73, 63, 43, 64] 之后让我们输入一个字符串，根据43行的if判断可以知道我们输入的字符串的开头是ACT{}，就是flag 根据48行的if判断可知。ACT{}括号里的值长度为12，v4=byte_402000[输入的数组的每一位值-1] 在ida里可以看到byte_402000数组的值

学习练手——wmctf2020-reverse-easy_apk

WuYu_AS的博客

07-24

1297

目录一环境二.分析过程2.1 JAVA层2.2 SO层2.2.1 init_array段2.2.2 .init段2.2.3 算法分析三结果一环境手机：Pixel 1 系统：Android 8.1 软件：IDA 7.5、JADX 难度：中等 apk资源(0积分下载) https://download.youkuaiyun.com/download/WuYu_AS/20450561 二.分析过程在ROOT过的手机中打开APP，会发现App会崩溃，只有在非ROOT手机中打开，.

BUUCTF[羊城杯 2020]easyre

yidalipao1的博客

05-10

954

64位无壳程序 IDA64打开 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax char Str[48]; // [rsp+20h] [rbp-60h] BYREF char Str1[64]; // [rsp+50h] [rbp-30h] BYREF char v9[64]; //...

[WMCTF2020]行为艺术

wangjin7356的博客

03-21

1323

目录题目链接解题过程小结题目链接 https://buuoj.cn/challenges#[WMCTF2020]%E8%A1%8C%E4%B8%BA%E8%89%BA%E6%9C%AF 解题过程附件是张png图片和txt文件： hint.txt: 计算flag.zip的MD5值，好像没有什么用。png图片是zip数据，用010Editor修改高度显示全部内容：手动输入吧： 504B0304140000000800DB93C55086A...