easyre-xctf

运行代码，主动告诉你要upx脱壳

然后我们一顿操作脱壳（不会的我博客里面有）

进入IDA界面

习惯性打开string界面

第一行长得就像flag（可能经过加密什么的，但是总有关）

我们在下面也没找到其他的

查看调用

好像也没其他思绪了

（然后我就去看题解）

觉得也有道理，既然有是part2，那么还有其他part，而且这个flag一看也是后面那部分

我先是在文本里面寻找part

诸如这种，你可以发现你搜完了也没啥消息

然后再去函数名字里面看看吧

第一个就是这个part1

都是基本汇编，这一段都是

我们转换一下

好家伙，这不就出来了吗

至于这个是为什么是反的，大端小端问题，因为这个字符是汇编在入栈的时候，我们提取到的，所以出栈应该是反着出的（就是汇编不是给人看的，机器懂，我们看的界面和机器反了一下）

然后组合得到flag

flag{UPX_n4d_0n3_4nd_tw0}

OK

下班了，兄弟们！