攻防世界逆向-难度1- easyre-xctf

攻防世界-难度1
easyre-xctf.zip

Upx壳

这里先直接用工具脱壳，后面学会手动脱壳再回来补充。工具下载地址：https://down.52pojie.cn/?query=upx

upx.exe -d easyre.exe

再查一次，避免多重壳。

逆向分析

ida搜索字符串，shift+F12


是flag的第2部分，现在查找第一部分。
打开反汇编子窗口，拖到右边

Functions窗口中搜索part

数据放在栈上，16进制转字符串，按R。恢复数据，两个注意点

1. 小端字节序存储（高位字节坊高地址，低位字节放低地址）
2. 栈的先进后出

例如，存储flag，入栈顺序为galf，输出即出栈就变回了flag。依据这两点，还原flag的part1
flag{UPX_4n
拼接part2：flag{UPX_4nd_0n3_4nd_tw0}
总结:

1. 工具脱UPX壳
2. 搜索字符串shift+f12 、搜索函数ctrl+f