layout: pagetitle: “BugkuCTF-Reverse-WriteUp”
date: 2019-08-24 01:01

BugkuCTF-Reverse-WriteUp

入门逆向

下载解压得baby.exe cmd打开输出Hi~ this is a babyre

  • 先丢进PEID查查壳unknown
  • 丢进ida看看 查看main函数 发现输出上述语句后 一个个将mov的hex代码转化为字符(R键)
  1. mov     byte ptr [esp+2Fh], 'f'
  2. mov     byte ptr [esp+2Eh], 'l'
  3. mov     byte ptr [esp+2Dh], 'a'
  4. mov     byte ptr [esp+2Ch], 'g'
  5. mov     byte ptr [esp+2Bh], '{'
  6. mov     byte ptr [esp+2Ah], 'R'
  7. mov     byte ptr [esp+29h], 'e'
  8. mov     byte ptr [esp+28h], '_'
  9. mov     byte ptr [esp+27h], '1'
  10. mov     byte ptr [esp+26h], 's'
  11. mov     byte ptr [esp+25h], '_'
  12. mov     byte ptr [esp+24h], 'S'
  13. mov     byte ptr [esp+23h], '0'
  14. mov     byte ptr [esp+22h], '_'
  15. mov     byte ptr [esp+21h], 'C'
  16. mov     byte ptr [esp+20h], '0'
  17. mov     byte ptr [esp+1Fh], 'O'
  18. mov     byte ptr [esp+1Eh], 'L'
  19. mov     byte ptr [esp+1Dh], '}'
  • 得flag

Easy_vb

打开 可以调整八个数字 确定没反应

  • 查壳 无

  • 丢进OD 在反汇编界面右键-中文搜索-智能搜索

    • 004023A9 看见MCTF
  • 或者丢进ida 也能看见
  • 或者专门的vb反汇编VB Decompiler Pro 在click的code中藏有key
  • MCTF{N3t_Rev_1s_E4ay}

Easy_re

hint: IDA OD 跟没提示
打开

欢迎来到DUTCTF呦
这是一道很可爱很简单的逆向题呦
输入flag吧:1515
flag不太对呦,再试试呗,加油呦
请按任意键继续. . .
  • 查壳 无 c++

  • 先丢进OD吧 右键-中文搜索-ASCII 能看到flag字符串 点击跳转

    • flag get 上一条命令含有jnz 0032108F可见是判断 f2在此设置断点
    • 网上找 在输入flah添加flag对应的add的命令0032105F设置断点
    • debug-run 输入数据 有回显在add断点出 f8调试运行可以在reg看到DUTCTF
    • 实际上第二部如果智能搜索直接能查看flag

  • 丢进ida 字符串查找 找出flag出现位置-f5反编译

    • rdata:00413E34发现长数字串 f5转换是flag的倒序
  • DUTCTF{We1c0met0DUTCTF}