BUUCTF——Reverse——reverse1_buuctf reverse1

1、题目

2、工具

• Exeinfo PE：查壳工具。
• IDA：是一款功能强大的反汇编工具，用于分析和逆向工程二进制文件。

3、方法

• 下载压缩包并解压，得到一个.exe文件。
  • 
• 打开后需要输入flag。随便输入一个字符串，点击确定后自动退出。
  • 
• 将其拖到Exeinfo PE上查壳。
  • 
  • 可以看到该执行文件为64位，并且没有加壳。
• 将该可执行文件拖到64位的IDA上运行。点击new，选择需要反汇编的文件。点击OK，Yes。
• 找到main函数，按F5进行反汇编。
  • 
  • 
• main函数中返回了main_0的值，双击main_0函数。
  • 
• 通过阅读代码发现，我们输入的字符串为Str1，然后Str1和Str2会进行一个比较。如果Str1和Str2的前v5个字符相等，则是正确的flag。而v5为Str2的长度，也就是说，Str1的前面的字符要是Str2，即Str2就是真正的flag。
• 【注】strncmp函数的作用： int strncmp (const char *s1, const char *s2, size_t size) 函数指定了比较前size个字符。如果字符串s1与s2的前size个字符相同，函数返回值为0。
• 双击Str2，可以看到对Str2值的操作。（开始以为Str2就是{hello_world}，但输入后不对）
  • 
• 重新阅读main_0函数。发现代码中对Str2进行了操作。将其中ASCII值为111的字符改为了48。
  • 
  • 48是0的ASCII值，111是o的ASCII值。所以，该处理是循环遍历了Str2，将其中的o改为了0。
  • 所以Str2的值为：{hell0_w0rld}。
• 最终的flag为：flag{hell0_w0rld}