攻防世界-难度1
easyre-xctf.zip
Upx壳
这里先直接用工具脱壳,后面学会手动脱壳再回来补充。工具下载地址:https://down.52pojie.cn/?query=upx
upx.exe -d easyre.exe
再查一次,避免多重壳。
逆向分析
ida搜索字符串,shift+F12
是flag的第2部分,现在查找第一部分。
打开反汇编子窗口,拖到右边
Functions窗口中搜索part
数据放在栈上,16进制转字符串,按R。恢复数据,两个注意点
- 小端字节序存储(高位字节坊高地址,低位字节放低地址)
- 栈的先进后出
例如,存储flag,入栈顺序为galf,输出即出栈就变回了flag。依据这两点,还原flag的part1
flag{UPX_4n
拼接part2:flag{UPX_4nd_0n3_4nd_tw0}
总结:
- 工具脱UPX壳
- 搜索字符串shift+f12 、搜索函数ctrl+f