BugKuCTF-入门逆向-baby

BugKuCTF-入门逆向-baby

入门逆向 (https://ctf.bugku.com/challenges)

下载baby.zip,解压是一个.exe应用程序,打开闪退

先直接拖到Exeinfope分析, 32位 没有加壳(如果加壳的话要先脱壳才能继续操作)
BugKuCTF-入门逆向-baby_第1张图片

Exeinfope软件截图
BugKuCTF-入门逆向-baby_第2张图片

软件简介及下载地址
https://www.cr173.com/soft/251956.html

然后直接拖入IDA开始反汇编,或者在IDA里面打开baby.exe,可以看到
BugKuCTF-入门逆向-baby_第3张图片

按shift和f12,得到 (shift+f12:可以打开string窗口,一键找出所有的字符串,右击setup,还能对窗口的属性进行设置)
BugKuCTF-入门逆向-baby_第4张图片
发现了一行可疑字符
然后双击这串字符,按Ctrl+x(或者List cross references to…)查看交叉引用的地址(x:对着某个函数、变量按该快捷键,可以查看它的交叉引用)
BugKuCTF-入门逆向-baby_第5张图片
BugKuCTF-入门逆向-baby_第6张图片
然后F5查看伪代码(可以直接按F5也可以View-Open subviews-Generate pseudocde)
BugKuCTF-入门逆向-baby_第7张图片
双击main进入_main函数
BugKuCTF-入门逆向-baby_第8张图片
双击_do_global_ctors进入_do_global_ctors函数
BugKuCTF-入门逆向-baby_第9张图片
双击atexit进入atexit函数
BugKuCTF-入门逆向-baby_第10张图片
双击_atexit进入atexi函数
BugKuCTF-入门逆向-baby_第11张图片
返回了最初的main汇编代码,直接按r把每一个16进制转换为字符,就可以得到flag了

BugKuCTF-入门逆向-baby_第12张图片
Flag:flag{Re_1s_S0_COOL}

你可能感兴趣的:(BugKuCTF-入门逆向-baby)