首页 > 其他分享 >BUUCTF 新年快乐 脱壳工具与手动脱壳

BUUCTF 新年快乐 脱壳工具与手动脱壳

时间:2022-12-14 15:13:32浏览次数:48  
标签:新年快乐 脱壳 BUUCTF 点击 指令 upx 工具 ida

BUUCTF 新年快乐 脱壳工具与手动脱壳

用ida打开,发现函数很少:

 

 

 

推测可能被加了壳.

用查壳软件发现是upx壳:

 

 

 

这里可以使用upx脱壳工具进行脱壳:

 

 

 

用ida打开这个文件即可

 

 

 

已经完成脱壳了.

 

 

 

发现flag.

flag{HappyNewYear!}

这是另一个upx脱壳工具:

 

 

 

将文件直接拖进去,然后再用ida打开即可.

 

 

 

 

 

 

两个工具都是一样的结果.

 

下面介绍下手动脱壳的方法:

 

 

 

用x32dbg打开

个人认为脱壳主要找pushad指令和popad指令.

Pushad指令会将寄存器的值都压入栈中,而popad指令将寄存器的值进行还原.

我们只需要把pushad的外壳代码运行完后找到oep(程序的原始入口点)就行了.

 

首先点击上方的断点,进入这样的界面:

 

 

 

发现pushad,双击

 

 

 

鼠标右键点击转到的地址(最顶上的红框)

选择设置新的运行点.

 

 

 

 

之后在右边找到esp的位置,鼠标右击,选择在内存窗口中转到.

 

 

 

 

在下面可以看见我们转到的内存地址,右击选择添加断点

 

 

 

然后在上面点击运行

 

 

 

 

结果如下:

 

 

 

可以看见上面出现了popad指令,说明外壳程序已经运行完毕.

 

 

 

Popad指令下面的第一个jmp指令跳转的位置就是程序的oep.

即oep为00401280

 

 

 

 

接下来进行dump

 

 

 

点击打开

 

 

 

 

 

点击右下角Dump框中的Dump

 

 

 

 

点击保存.

然后点击左上角的misc检查配置

 

 

 

 

 

 

完成后首先点击IAT info框中的IAT Autosearch,然后点击Get Imports

 

 

 

之后点击右侧的Fix Dump

 

 

 

选择后缀为dump的文件

 

 

 

这样去壳就成功了

回到文件夹会发现这样一个文件

 

 

 

用ida打开

 

 

 

和上文用工具去壳结果一样.

 

总结:这道题考了upx壳加密,如果直接用工具去壳的话确实十分简单,但是作为CTFer,我认为不要太依赖工具,于是去学习了upx手动去壳的方法,并分享出来.

标签:新年快乐,脱壳,BUUCTF,点击,指令,upx,工具,ida
From: https://www.cnblogs.com/i6288/p/16982223.html

相关文章

  • BUUCTF子[网鼎杯 2020 青龙组]singal(angr快速嗦哈解法)
    先查壳,发现是32位程序丢ida继续分析,发现存在vm_opread函数,根据以往做题经验来看,这个题像是虚拟机保护的题目。这里首先是将opcode_table(我自己命的名字)复制前456个字......
  • [BUUCTF][WEB][极客大挑战 2019]PHP 1
    打开靶机URL看到字面提示因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!!说明该网站有备份,说不定放在了Http服务器的某个目录下那么这里我们......
  • [BUUCTF][WEB][极客大挑战 2019]BabySQL 1
    靶机打开url界面上显示,它做了更严格的过滤。看来后台是加了什么过滤逻辑老规矩先尝试时候有sql注入的可能,密码框输入123'爆出sql错误信息,说明有注入点构造万能密码注......
  • [BUUCtF][WEB][ACTF2020 新生赛]Upload 1
    打开靶机url,右键查看网页源代码其中有一段代码<divclass="light"><spanclass="glow"> <formenctype="multipart/form-data"method="post"onsubmit="returncheck......
  • [BUUCTF][WEB][极客大挑战 2019]Upload 1
    打开靶机url,看到一个页面可以上传文件上传一个图片试一下,发现上传的路径是http://a7661b03-4852-41de-9ea4-d48c47cb50f0.node4.buuoj.cn:81/upload_file.php试一下获......
  • [BUUCTF][WEB][极客大挑战 2019]Http 1
    打开靶机提供的url右键查看网页源代码发现一个链接(Secret.php),访问看看返回:Itdoesn'tcomefrom'https://Sycsecret.buuoj.cn'这是个题眼通过burpsuite拦截请求......
  • [BUUCTF][WEB][极客大挑战 2019]Knife 1
    这题几乎是送分题目不断暗示,后台存在一句话木马拿个蚁剑连上去就完事了这里用curl连上去,演示一下,理解一下其中的原理#注意phpinfo()后面的分号不能省curl-d"Syc......
  • [BUUCTF][Web][极客大挑战 2019]LoveSQL 1
    打开靶机url,页面显示有两个输入框,框中输入123',发现两个框都有sql注入问题爆出一下错误YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoy......
  • [BUUCTF][Web][极客大挑战 2019]Secret File 1
    打开靶机对应的url右键查看网页源代码,查看到一个访问路径/Archive_room.php构造url访问一下http://3bfaebad-fdfa-4226-ae0a-551f0228becb.node4.buuoj.cn:81/Archive_......
  • BUUCTF之[BJDCTF2020]BJD hamburger competition (复现)
    一个老八把我整不会了,看其他师傅的wp才知道,这个是C#和unity开发的游戏,所以我们用dnspy进行反编译下面是复现过程看到是unity程序,上网查了相关参考,一般是用js或者c#进行......