BUUCTF------Overlong

1.老规矩，拿到题目文件，查壳

搜索基本信息，32位文件（用32位ida打开），下面一段我也看不懂。

运行附件

看到这段话后面有个：，猜测后面还有东西。 

2。拖入ida之中

 

发现就3个函数

F5跟进查看伪代码

 

算了，看不懂，退出来

 

发现这个sub_401160函数只处理了unk_402008的前28位，跟进unk_402008

跟进发现不只有28位 ，那么就验证了刚开始的猜想，后面还有东西

接下来就是修改代码，使它输出后面的东西

3.使用OD

要知道push是将元素压入栈中，挨个挨个看push（因为是新手，不知道怎么看），发现push 1C

 

百度进制转换一看是28，就可以大胆猜测这个地方就是元素入栈

所以修改这个地方的汇编

 

修改成一个较大的数，我修改的是7C

修改完后，F8单步运行

果然，flag就是后面的东西

 flag{I_a_M_t_h_e_e_n_C_o_D_i_n_g@flare-on.com}

拿到网站进行验证

正确！！！！！ 

 

标签：BUUCTF,Overlong,修改,32,后面,28,push,------,跟进
来源： https://blog.csdn.net/qq_64558075/article/details/121747329