首页 > TAG信息列表 > HDCTF2019
BUUCTF:[HDCTF2019]你能发现什么蛛丝马迹吗
题目来源:https://buuoj.cn/challenges#[HDCTF2019]%E4%BD%A0%E8%83%BD%E5%8F%91%E7%8E%B0%E4%BB%80%E4%B9%88%E8%9B%9B%E4%B8%9D%E9%A9%AC%E8%BF%B9%E5%90%97 内存取证 题给了img文件 先看镜像信息 profile选Win2003SP0x86好像不对 应该是Win2003SP1x86 看一下cmd进程 Dumbuu-re-[HDCTF2019]Maze(花指令)
exeinfope查看信息 脱壳 ida分析 首先jnz跳到下一条指令,相当于没跳转,先nop掉(选中前面的地址,然后Edit-Patch program-Assemble,输入no) 下面call了一个错误的地址。先按d转化为数据(不能直接全nop掉,因为里面可能有有用的数据) 然后逐个nop,Edit-Patch program-Change Byte,BUUCTF RE [HDCTF2019]Maze
1.查壳 UPX 2.脱壳 UPX -d int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ecx int v5; // [esp-4h] [ebp-28h] int i; // [esp+10h] [ebp-14h] char v7[16]; // [esp+14h] [ebp-10h] BYREF sub_401140(aGoThroughTheMa); v5re -04 buuctf [HDCTF2019]Maze
Maze 拿到后发现upx壳,脱壳后扔进ida 然后发现这个跳转,跳转到下一行,调用了一个不存在的函数,可以判断其为花指令,jnz可以直接nop掉,call调用的数据中可能存在有效代码。 按d将其转换为字节数据 删掉第一个字节,将数据转换为代码 但此时左侧text还是红色的,要把它封装为函数,选[HDCTF2019]bbbbbbrsa
[HDCTF2019]bbbbbbrsa p = 177077389675257695042507998165006460849 n = 37421829509887796274897162249367329400988647145613325367337968063341372726061 c = ==gMzYDNzIjMxUTNyIzNzIjMyYTM4MDM0gTMwEjNzgTM2UTN4cjNwIjN2QzM5ADMwIDNyMTO4UzM2cTM5kDN2MTOyUTO5YDM0czM3Mj