「 RE WP 」 February 14, 2020
Words count 26k Reading time 23 mins. Read count 1000000
放入detectit查看发现是64位elf文件,peid什么都没发现。
看看ida中的伪代码:
int __cdecl main(int argc, const char **argv, const...
「 RE WP 」 February 07, 2020
Words count 5.7k Reading time 5 mins. Read count 1000000
本来出于个人原因是不想做hgame的,但是做了发现出题很有水品,害,真香。
这道题有两种思路都要学会,官方给的那种方法(第一种方法)更好一些,直接给这两个链接。
第一种方法:
第二种方法:
flag脚本在第二种方法里有给
放入detectit...
Read article「 RE WP 」 February 05, 2020
Words count 4.1k Reading time 4 mins. Read count 1000000
放到detectit中查看文件的类型,发现是MFC微软的win32编程,建议od动态调试,放到peid中查询,没有加密函数。
放到ida中只能看到有一堆的函数,winmain也没有足够的信息。字符串中也没有找到有关flag的字符。只能转战od动态调试。
在od中右键中文搜索引擎中的智能搜索有意外的发现。
发现了可能有关flag的地方,在这里下一个断点,然后向上寻找线索。
这时候需要运行然后顺着断点的地方向上找到输入的地方,在这里
解读下上面的汇编,输入的地址放入了ebx中,...
Read article「 RE WP 」 November 29, 2019
Words count 1.7k Reading time 2 mins. Read count 1000000
动态调试即可,发现函数最后要和s比较,s经过多次加密。
上图cmp dl,al就是比较过程.
动态调试看寄存中的值就可以得到flag。
本道题有一个值得学习的算法在rc4上
使用z3求解器
from z3 import *
a = [12, 83, 78, 39, 23, 27, 4, 53, 85, 53, 78, 6, 85, 6, 6, 12, 24, 52,...「 RE WP 」 November 13, 2019
Words count 4.1k Reading time 4 mins. Read count 1000000
放到detectit看一下文件
MFC类型
微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。其中包含大量Windows句柄封装类和很多Windows的内建控件和组件的封装类。
直接查看字符串
看到一个 flag正确
可以选择直接过去查看函数
F5直接看伪代码
上图是该段代码最重要的部分
在这里,...
「 RE WP 」 November 12, 2019
Words count 1.7k Reading time 2 mins. Read count 1000000
打开字符串的话很难找到我们想要的函数的位置,所以不采取这个方法。
我们可以通过找api函数的办法来找到我们加密的位置。
这个时候需要打开输入函数,找到defwindowproc,这个api的功能是:
调用重定向的窗口过程来为应用程序没有处理的任何窗口消息提供转换的处理。该函数确保每一个消息得到处理。
这样我们双击来到这里
右键查看外部引用
一个一个查看,发现我们所需要的加密函数是在第一个交叉引用里面
进入函数
可以看到加密的函数有两个do{*(&chText + v12) ^ ...
「 RE WP 」 November 11, 2019
Words count 6.8k Reading time 6 mins. Read count 1000000
放入ida中,shift+f12查看字符串,就可以看到flag
放入ida当中,查看主函数,看到base函数,函数中是对你输入的字符串进行base16加密,base16你可以理解为将字符串转换为16进制数字。main函数最后,将你输入的字符加密后和字符串比较,如果相同则输出正确。输入的字符为flag。可以用网上的base16进行解密,我当时做的时候用的爆破(主要是当时不知道base16。 解密代码先咕咕掉吧。等我会了在补上去
放入detectit
.net文件...
「 RE WP 」 November 06, 2019
Words count 2.3k Reading time 2 mins. Read count 1000000
官方wp
https://www.yuque.com/docs/share/e6c5d1fd-8d27-456a-88ab-823226503f56#helloRE
放在od中
放在ida中,反编译
main函数:输入字符串,长度不能超过25,通过一个if语句即可获得success
查看sub_401080
sub_401080是对输入a1进行了处理
sub_401080的返回值是一个判断,函数sub_401000如果不等于0,则返回True
并且调用sub_401000时,传入...
「 RE WP 」 October 28, 2019
Words count 12k Reading time 11 mins. Read count 1000000
https://hx1997.github.io/2018/07/22/anheng-july-re-youngter-drive/
https://www.52pojie.cn/thread-994588-1-1.html
补充一些知识点:
有个PDB文件的类型
Read articlePDB(Program Database File,程序数据库文件)文件物理结构在我们目前使用的掌上电脑中,Palm操作系统由于其功能强大、应用软件多等特点,占有很大的比例。PDB文件是Palm...