BUUCTF--Reverse--easyre，reverse1，新年快乐(面向新手，超详细)

目录

1.easyre

 2.reverse1

 3.新年快乐

---

1.easyre

把附件下载下来，放到ExeinfoPe中看一下

这里主要是看一下是几位的，以及有没有壳

64位的，无壳

至于有壳长什么样，可以看第三题--新年快乐

放到IDA中

 看到很多人可能感觉很复杂，不慌，咱们先shift+f12查找所有的字符串

一般flag肯定都会在字符串里有提示

 直接找到了flag

flag{this_Is_a_EaSyRe}

 2.reverse1

 老规矩，还是先把附件下载下来，放到ExeinfoPe中看看

 无壳，64位

放到IDA中

依旧是先shift+f12查找所有字符串

仔细观察一下 

this is the right flag 这里肯定有flag的相关提示

{hello word}看起来很像是flag，提交一下，发现不是

那让我们双击this is the right flag看一下这个二字符串

继续ctrl+x（交叉引用）查看是哪段函数调用了该字符串

 ok

 肯定很多人看不懂这些乱七八糟的，咱们可以f5进入伪代码观察一下

ok

这样就可以看到咱们比较熟悉的代码了

分析一下

 咱们先找到this is the right flag"代码段，从这里开始看

sub_1400111D1应该是类似于print的输出函数

这串代码的意思简单来说

检查字符串 Str2 是否与 Str1 相同。如果是，输出 "this is the right flag!"，否则输出 "wrong flag"

 咱们继续往上看，找一找str1和str2都是什么内容

根据字符串的提示，不难猜出，str1应该是我们输入的内容

那str2是什么呢，咱们找一个str2双击，看一下str2是什么

 str2是咱们一开始猜测的flag：{hello word}

继续回到咱们的代码，继续分析

这里明显对str的内容进行了替换

111和48很明显是ascii编码

IDA可以直接把鼠标 放到ascii编码上按“R”键就可以转换成字符

原来是将o替换成了0

所以flag为 flag{hell0_w0rld}

 3.新年快乐

 下载附件，放到ExeinfoPe中

32位的，并且有壳

这里要用到脱壳机了

https://github.com/upx/upx/releases/tag/v3.96

下载下来之后

在文件目录输入cmd

成功脱壳

IDA打开 

 后面就很简单了

shift+f12查看所有字符串

这个HappyNewYear！看着就很像flag

咱还是一步一步来

双击this is true flag！

ctrl＋x 查看是哪段函数调用了该字符串

F5伪代码分析代码 

flag{HappyNewYear!}

写的比较详细，主要是面对新手的，我做的时候找了很多wp都不是特别详细，那干脆我就自己写一篇吧，不过写这么详细确实挺费时间的，以后应该是随缘更新了。