pwnable.kr [Toddler's Bottle] - flag
2017-03-13 10:11
239 查看
考查简单的逆向分析能力,主要还是看了不了解套路。
用IDA打开flag文件,发现程序流程异常,检测不到库函数,察觉到有壳。
用任意hex编辑器打开,也可以直接在IDA中观察Hex View,可以看到是加了UPX壳。
![](https://img-blog.csdn.net/20170313101014569?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvcXFfMTk1NTA1MTM=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
这里便可以直接用UPX壳工具解包(https://upx.github.io/),
之后重新用IDA打开,查看main函数
![](https://img-blog.csdn.net/20170313095815345?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvcXFfMTk1NTA1MTM=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
流程已经很清晰了:
1. 使用malloc()开辟了一个堆空间,返回首地址;
2. 将flag的内容通过strcpy复制到该地址处。
这里就不用跟进到开辟的空间处去找答案,call strcpy()之前的rsi寄存器保存了flag内容所在地址,跟进到cs:flag,就能得到最终答案。
![](https://img-blog.csdn.net/20170313100652094?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvcXFfMTk1NTA1MTM=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
用IDA打开flag文件,发现程序流程异常,检测不到库函数,察觉到有壳。
用任意hex编辑器打开,也可以直接在IDA中观察Hex View,可以看到是加了UPX壳。
这里便可以直接用UPX壳工具解包(https://upx.github.io/),
upx -d -o flag_unpack flag
之后重新用IDA打开,查看main函数
流程已经很清晰了:
1. 使用malloc()开辟了一个堆空间,返回首地址;
2. 将flag的内容通过strcpy复制到该地址处。
这里就不用跟进到开辟的空间处去找答案,call strcpy()之前的rsi寄存器保存了flag内容所在地址,跟进到cs:flag,就能得到最终答案。
相关文章推荐
- pwnable.kr [Toddler's Bottle] - blackjack
- pwnable.kr [Toddler's Bottle] - shellshock
- pwnable.kr [Toddler's Bottle] - lotto
- pwnable.kr [Toddler's Bottle] -fd
- pwnable.kr [Toddler's Bottle] - coin1
- pwnable.kr [Toddler's Bottle] - cmd1
- pwnable.kr [Toddler's Bottle] - collision
- pwnable.kr [Toddler's Bottle] - cmd2
- pwnable.kr [Toddler's Bottle] - bof
- pwnable.kr [Toddler's Bottle] - codemap
- pwnable 笔记 Toddler's Bottle - flag
- pwnable.kr [Toddler's Bottle] - random
- pwnable.kr [Toddler's Bottle] - input
- pwnable.kr [Toddler's Bottle] - passcode
- pwnable.kr [Toddler's Bottle] - leg
- pwnable.kr [Toddler's Bottle] - mistake
- pwnable.kr [Toddler's Bottle] - uaf
- pwnable 笔记 Toddler's Bottle - mistake
- pwnable 笔记 Toddler's Bottle - leg
- pwnable.kr之flag