当前位置：首页 > news >正文

re学习（35）攻防世界-no-strings-attached(动调)

news 2025/12/23 1:59:37

参考文章：
re学习笔记（28）攻防世界-re-no-strings-attached_Forgo7ten的博客-CSDN博客

攻防世界逆向入门题之no-strings-attached_攻防世界 no-strings-attached_沐一 · 林的博客-CSDN博客本人题解：
扔入Exepeinfo中查壳和其他信息：

如图所示，32位ELF的linux文件，照例扔如IDA32位中查看代码信息，跟进Main函数：

跟进authenticate()函数

这里有个decrypt函数，中文名是加密，不在导入表中说明不是系统函数，后面的if判断条件是输入，还有个比较的wcscmp函数，后面两个wprintf分别是success 和access这些成功和拒绝的字符串地址。
fgetws函数是从输入流stdin中获取0x2000个字符给ws，也就是说s2是关键了，s2由decrypt函数得出，decrypt是用户自定义函数，在这里学到了非系统函数的英文名会是题目给的暗示，所以这里是加密操作后与输入的比较，只要输入后与加密后的s2一样就会打印success或access这些字符串，那flag自然也在加密函数中了。

然后开始动调：

这里有一个问题卡了我许久，就是在Ubuntu中无法打开32位调试文件，需要安装一些配置才可以

参考文章：

【BUG】Linux目录下明明有可执行文件却提示找不到，“No such file or directory”，解决：为64位Ubuntu安装32位程序的运行架构_linux文件存在但报错说找不到_shandianchengzi的博客-CSDN博客

可以解决

程序在08048720执行完call，并将返回值存储在eax里。
然后通过eax赋值给[ebp+s2]，也就是字符串s2，
F8单步执行到08048725
然后跳转到eax存储的地址上

其实在这里也是可以看到flag的，一个一个写出来就可以了，但是也可以提取数据，一块弄出来

参考别人写的脚本：
数据提取：

unsigned int data[38] = {0x00000039, 0x00000034, 0x00000034, 0x00000037, 0x0000007B, 0x00000079, 0x0000006F, 0x00000075,0x0000005F, 0x00000061, 0x00000072, 0x00000065, 0x0000005F, 0x00000061, 0x0000006E, 0x0000005F,0x00000069, 0x0000006E, 0x00000074, 0x00000065, 0x00000072, 0x0000006E, 0x00000061, 0x00000074,0x00000069, 0x0000006F, 0x0000006E, 0x00000061, 0x0000006C, 0x0000005F, 0x0000006D, 0x00000079,0x00000073, 0x00000074, 0x00000065, 0x00000072, 0x00000079, 0x0000007D};

然后将其转换为字符即为flag

#include <stdio.h>
int main()
{unsigned int data[38] = {0x00000039, 0x00000034, 0x00000034, 0x00000037, 0x0000007B, 0x00000079, 0x0000006F, 0x00000075,0x0000005F, 0x00000061, 0x00000072, 0x00000065, 0x0000005F, 0x00000061, 0x0000006E, 0x0000005F,0x00000069, 0x0000006E, 0x00000074, 0x00000065, 0x00000072, 0x0000006E, 0x00000061, 0x00000074,0x00000069, 0x0000006F, 0x0000006E, 0x00000061, 0x0000006C, 0x0000005F, 0x0000006D, 0x00000079,0x00000073, 0x00000074, 0x00000065, 0x00000072, 0x00000079, 0x0000007D};for(int i=0;i<38;i++)printf("%c",data[i]);return 0;
}

flag为9447{you_are_an_international_mystery}

总结： 1.不在导入表(import)中说明不是系统函数,非系统函数的英文名会是题目给的暗示

2.动态调试类似内存调试，在内存中找数据，寻找中间变量

3.IDA是根据自己的规则给无法解析变量名赋值的，也就是说在IDA里变量是s2这个名字，但是实际上程序里并没有s2这个变量名,所以只能查看寄存器了，毕竟函数是先返回到eax寄存器中再移动到变量中的。

re学习（35）攻防世界-no-strings-attached(动调)

相关文章：

re学习（35）攻防世界-no-strings-attached(动调)

STM32 F103C8T6学习笔记8：0.96寸单色OLED显示屏显示字符

vscode的配置和使用

SpringBoot统⼀功能处理

LeetCode 每日一题 2023/8/14-2023/8/20

进入微服务阶段后的学习方法

C/C++中const关键字详解

【2023新教程】树莓派4B开机启动-树莓派第一次启动-树莓派不使用显示器启动-树莓派从购买到启动一步一步完全版！

LA@2@1@线性方程组和简单矩阵方程有解判定定理

如何使用ChatGPT创作一个小说式的虚构的世界

用于量子通信和互联网的光量子芯片

11. Vuepress2.x 关闭夜间模式

netty实现websocket通信

两个list如何根据一个list中的属性去过滤掉另一个list中不包含这部分的属性，用流实现

Blender 混合现实3D模型制作指南【XR】

kubeasz在线安装K8S集群单master集群（kubeasz安装之二）

『C语言』数据在内存中的存储规则

基于ssm+vue的新能源汽车在线租赁管理系统源码和论文PPT

深入解析IDS/IPS与SSL/TLS和网络安全

在Visual Studio上，使用OpenCV实现人脸识别

React 第五十五节 Router 中 useAsyncError的使用详解

linux之kylin系统nginx的安装

SkyWalking 10.2.0 SWCK 配置过程

springboot 百货中心供应链管理系统小程序

FFmpeg 低延迟同屏方案

Redis相关知识总结（缓存雪崩，缓存穿透，缓存击穿，Redis实现分布式锁，如何保持数据库和缓存一致）

python如何将word的doc另存为docx

Java多线程实现之Thread类深度解析

管理学院权限管理系统开发总结

处理vxe-table 表尾数据是单独一个接口，表格tableData数据更新后，需要点击两下，表尾才是正确的