BUUCTF ------findkey

1.拿到文件,老规矩,进行查壳

BUUCTF ------findkey

收集信息,无壳,32位程序

2.拖入ida中

 先查找main函数

BUUCTF ------findkey

并没有什么实质性的收获

那么我们就查找字符串

BUUCTF ------findkey 

发现flag字符串

跟进

BUUCTF ------findkey 

发现右边的数据是红色的,ida不能正常反编译

我们就看汇编代码,寻找原因

BUUCTF ------findkey 

发现两个一样的代码,所以这个地方就可以推测是花指令

我们nop(跳过)这个花指令就可以了

首先我们将鼠标的光标放到第二个push

BUUCTF ------findkey 

BUUCTF ------findkey 

然后修改为90(nop)

BUUCTF ------findkey 

然后发现已经修改为nop了

接下来就是按“p”键

BUUCTF ------findkey

然后就可以使用F5了

BUUCTF ------findkey 

对这个程序的主体进行简单的分析

 发现主要的函数就是sub_401005 函数和sub_40101E函数

那我们就先跟进第一个函数

BUUCTF ------findkey

发现就是一个异或

好了,我们写脚本

BUUCTF ------findkey 

得到这个字符串,我们带回网站进行验证,发现是错误

发现下面还有一个sub_40101E函数

我们进行跟进

BUUCTF ------findkey

知道了标识符,进行查表,发现是md5加密

也就是说,对string1进行了md5加密

那么我们就把我们得到的字符串进行MD5解密

BUUCTF ------findkey 

解密的结果是123321

带回网站进行验证,还是错误

那么这个时候我们发现下面还有一个异或函数

继续跟进

BUUCTF ------findkey 

跟上一个异或函数一样,只是参数发生了变化

v5从2变成了6

instring变成了

BUUCTF ------findkey 

好了,接下来就是写脚本

BUUCTF ------findkey 

最后得到flag为flag{n0_Zu0_n0_die}(不作就不会死)

有趣!!!!!

带回网站进行验证

BUUCTF ------findkey 

正确!!!!!! 

 

 

 

 

上一篇:大家来找茬


下一篇:buuctf-[网鼎杯 2020 朱雀组]phpweb