buuoj reverse 新年快乐 xor

最新推荐文章于 2024-08-09 10:49:32 发布
原创 最新推荐文章于 2024-08-09 10:49:32 发布 · 760 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#反汇编
本文介绍了一个简单的逆向工程挑战,通过分析一个加壳程序来找到隐藏的Flag。首先使用PEID识别并脱壳UPX壳,然后利用IDA查找关键字符串。接着通过分析XOR异或运算来解密另一个Flag。

新年快乐

得到exe文件,查看函数,发现只有两个函数,上网搜索了解到,这种情况可能是被加了壳,加了壳的程序可以正常运行,一般作用有压缩文件大小或者加密程序。

把程序拖到PEID了解到这是一个加了UPX壳的应用程序。

用OB手动脱壳

单步法轻松找到popad,下面有一个大跳转到401280,这大概就是真实的OEP

脱壳后把程序拖入IDA。

轻松找到flag{HappyNewYear!}

XOR

上网了解到XOR意为异或运算。

先把文件拖入到IDA

大概是说用户输入一个长度为33的字符串,字符串中的字符分别和前一个字符异或(对应得ASCII码)后和global比对。

先找找global吧。

 global很好找,直接将其导出数据,导成十进制。

 用C语言写一个程序,将其进行异或运算。

代码如下:

#include<stdio.h>
#include<stdlib.h>
int main()
{
	int a[34]={102,10,107,12,119,38,79,46,64,17,120,13,90,59,85,17,112,25,70,31,118,34,77,35,68,14,103,6,104,15,71,50,79,0};
	int i=0;
	for(i=0;i<=32;i++)
	{
		printf("%c",a[i+1]^a[i]);
	}
	system("pause");
	return 0;
}

 运行:

再加上前面的f,就是flag{QianQiuWanDai_YiTongJiangHu}

 正确。

kevinhezhuzhu
关注
buuoj xor writeup
m0_73605862的博客
05-18 324
Step5:将数据导出为c无符号字符数组(十六进制),选取出需要导出的数据然后shift加e,再选择c unsigned char array (hex)选项,然后导出(如果是编写脚本的话,直接复制也是可以的,这里我直接复制了,就不导出了)Step3:查看伪代码,发现当b与global相等时成功,然后点进去global查看再点进去查看数据,查看所代表的字符串,但是在主函数中对这串字符串做了处理。Step1:直接用IDApro这个逆向分析文件打开这个程序,我打开的是在文件夹之外的这个,我发现这个的内存更大。
buu-[MRCTF2020]Xor
qaq517384的博客
03-06 593
32位无壳 执行 ida查看字符串
buuoj xor解题记录
f_zhangwuji的博客
10-05 198
Ida展开可以看到对输入字符串_b进行了从1、2、3、4、5到11xor2、1xor2xor3、1xor2xor3xor4、1xor2xor3xor4xor5。shift+e导出16进制字符串,根据异或自反定律:a xor b xor a=b编写如下C可以得出flag。这样的异或操作和global字符串对比,等于的话则成功。buuoj xor解题记录。
buuoj 新年快乐 writeup
m0_73605862的博客
05-18 348
分析伪代码发现,当str1与str2相等时是flag,所以flag是str2,查看发现str2是被复制成了HappyNewYear,所以flag,就是这个。【来源】(buuoj)https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90。Step2:将程序放在exeinfope下查看是否加壳了,真不可思议,做到的第一道加壳的题,发现加了一层upx的壳。【思路】先用Exeinfo PE查壳,再用upx脱壳,再用IDA Pro进行逆向分析。
re题(31)BUUCTF-[MRCTF2020]Xor
最新发布
2301_80907001的博客
08-09 592
然后是一个循环,把edx处存的数据给al,让edx自增,让al自己逻辑与运算,当al是零的时候ZF标志位为1,不进行跳转,不是零继续自增。因为edx处存的是flag,当flag字符取完后,al就是零,往下执行,让edx减去ecx剩下的就是flag的长度,再做一个比较,可以知道flag长度是27。然后让flag[eax]与eax异或,再与已知字符串比较,相等的话,让eax加一,重复异或和比较,直到eax等于edx,继续往下执行,打印right。是27往下执行,这时候eax是0,异或完是0。
Buuoj re [easyre|reverse1|reverse2|内涵的软件|新年快乐|xor]
m0_49746935的博客
10-28 581
这是我的第一次博客,是关于一些逆向题Buuoj re [easyre|reverse1|reverse2|内涵的软件|新年快乐|xor],话不多说直接开搞。
buu Reverse学习记录(8) xor
EMsheep的博客
11-24 377
题目链接:https://buuoj.cn/challenges#xor 直接拖进IDA64里,找到main函数,按F5得到伪代码 简单分析下,就是,输入的字符串要有33位。然后从第二位开始,是与前一位的异或的结果。 看看这个global是什么字符串 写个脚本就出flag str=[0x66,0x0A,0x6B,0x0C,0x77,0x26,0x4F,0x2E,0x40,0x11,0x78,0x0D,0x5A,0x3B,0x55,0x11,0x70,0x19,0x46,0x1F,0x76,0x22,0x
buuoj-RE-xor
hjj1871984569的博客
03-18 680
Title xor Link https://buuoj.cn/challenges#xor WP 用file看一下,这是一个 Mach-O,用ida64打开,然后F5看一下 printf("Input your flag:\n", 0LL); get_line(v6, 0x100u); if ( strlen(v6) != 33 ) goto FAIL; for ( i = 1; i < ...
buuoj - RE - 新年快乐
hjj1871984569的博客
04-02 660
Title 新年快乐 Link https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90 WP 用file看一下,这是一个32位的exe,upx壳 用upx -d命令去壳 用ida32打开,然后F5看一下,发现strncmp, 找到了字符HappyNewYear! 获得flag # flag{HappyNewYear!} ...
[BUUCTF 刷题] Reverse解题方法总结(一)
Y1seco的博客
04-12 7012
这里写目录标题一 动态调试gdb IDA view: 定位要修改的代码段在哪里。 Hex view: 用来修改我们的数据 exports window: 导出窗口 import window: 导入窗口 names window: 函数和参数的命名列表 functions window: 样本的所有函数窗口 strings window: 字符串显示窗口,会列出程序中的所有字符串 1.写脚本,得到最后的flag 2.GDB动态调试 一 动态调试 gdb 例: b +函数名 :下断点
刷题 - BUUCTF(BUUOJ) - REVERSE - DAY3
qq_36902977的博客
07-27 747
buuctf/buuoj reverse 刷题
buu re 新年快乐
Todog的博客
11-18 1109
简单的有壳处理
buuoj reverse3 writeup
m0_73605862的博客
05-18 268
Step7:又因为Destination是由v4来的,所以我们进入sub_4110BE函数,查看发现函数是base64加密,所以我们需要进行base64解密。点击str2,看到str2的字符串。Step4:先找到main_0函数,然后按下F5查看伪代码(如果键被占用,用Ctrl+F5)。Step5:观察伪代码发现当Destination与str2相等时,得到flag。Step2:用exeinfoPE先查看是否带壳,not packed,没有加壳。【思路】先检查是否带壳,然后进行逆向分析。
BUUCTF-Reversexor(涉及异或脚本编写)
_Co1a
11-21 9335
xor一般指异或。异或,英文为exclusive OR,缩写成xor异或(eor)是一个数学运算符。 题目地址:https://buuoj.cn/challenges#xor 用IDA载入,寻找main函数,F5打开伪C代码: int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rsi int result; // eax signed int i; // [rsp+2Ch] [rb.
BUUCTF,,re新年快乐
weixin_45948183的博客
05-22 566
还是相同的步骤,先到PE里面查一下壳 是一个upx的壳,,,upx有专门的脱壳工具,,然后放到脱壳工具里面脱壳就可以到ida里面运行了,也可以在OD里面手动脱壳,, 1、万能脱壳工具脱壳 然后到ida看一下主函数的伪代码 一个比较的函数,,,输入与V4相等就可以拿到flag 然后上面 ,,,v4是HappyNewYear!,,直接拿到flag就是flag{HappyNewYear!} 最主要的还是脱壳 ...
re学习笔记(2)BUUCTF-re-新年快乐
逆向随笔
10-29 1320
题目网址https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90 打开IDA查看发现其被加密或者压缩 pusha更表明了此程序加壳 用PEID查壳发现是UPX壳,exe32位可执行程序,打开OD,使用ESP定律脱壳 脱壳后直接来到main函数 F5查看伪代码 提交界面输入HappyNewYear! 错误 看题目要求包上...
BUU逆向-新年快乐-Reverse3
weixin_51555115的博客
04-26 540
新年快乐 Source : BUU File : Click here Using the exeinfo to check the shell: As we see , it’s an UPX shell , Using the UPXshell to dump it. Open the dump file with IDA32. Then Shift+F12 to check the string. F5 to find the critical(关键) code . Very simple,
buuctf 新年快乐
qq_66455531的博客
03-15 346
buuctf 新年快乐
buuctf之新年快乐
weixin_47158947的博客
07-12 588
buuctf之新年快乐 #先脱壳 shift+f12 得到flag flag{HappyNewYear!} 看都看完了,点个赞再走呗!
buuctf——新年快乐
yhfgs的博客
05-22 1339
1.下载得到一个exe文件,丢到DIE查壳,发现是upx加壳。 2.去壳。 3.将去壳后的文件丢到IDA中,找到main函数,无敌f5。 4.代码的意思大概是输入flag,判断flag和str2中的字符串是否相同,相同flag正确,否则不对,而str2前面直接就有“HappyNewYear!“。 5.get flag flag{HappyNewYear!} ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值