2019安恒杯1月月赛 old-diver
2019-02-19 本文已影响0人
n0va
32位pe文件,无壳
image.png
IDA分析:将v9的类型修改为char[]型,同时可以看到这里到401000处理的代码进行了加密异或,先解密一波:
s = get_bytes(0x401000,0x260)
buf = ''
for i in s:
buf += chr(ord(i)^0xbb)
from idaapi import *
patch_bytes(0x401000,buf)
重新构造解密部分函数,先undefine the current function(快捷键u)再 creat a function(快捷键p),重新F5,可以看到两个函数已经恢复正常
image.png
可以开始分析程序了
第一步验证前5位:"flag{"然后进入sub_4010b0函数
image.png
第三步:base64加密,"c19zbWNf"解码
第四步:走迷宫
-------- 上下左右
g + + 2 a q w
+ + ++ +
+ + #+ +
+ ++++ +
+ ++++ +
+ +
--------
waaaaawwwww22222qqqaaw
最终得到flag:flag{this_is_smc_waaaaawwwww22222qqqaaw}
