re学习笔记（2）BUUCTF-re-新年快乐

所以这一段加密就是把A换成N，把N换成A,把B换成O，把O换成B······。fopen函数是打开文件，fread是读取文件后存放数据到ptr数组里，fclose是关闭文件，所以flag就在ptr数组里面，后面是一堆加密和输出，其中i&1是判断奇偶数：1换为二进制是0000 0001，进行与运算无论最后一位前面是1还是零，与运算后一定是0，所以只需要看最后一位，如果最后一位是0，那么i&1就是0，如果最后一位是1，那么i&1结果是1.如果是奇数，那么最后一位一定是1，而偶数则是0.所以它可以判断奇偶性。

Title 新年快乐 Link https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90 WP 用file看一下，这是一个32位的exe，upx壳 用upx -d命令去壳 用ida32打开，然后F5看一下，发现strncmp, 找到了字符HappyNewYear! 获得flag # flag{HappyNewYear!} ...

放到ida，F5反汇编，str2是用来比较的字符串，str1是flag，memset（）函数的作用是将str1数组清空，，然后也没有加密，得出flag=str2。用ida打开，弹出warning，显然文件被加壳了，不是被压缩就是被加密了。pusha更表明此程序被加壳了。用查壳工具查一下，加的upx壳。memset可以用来初始化数组。再查一下，壳已经没了。

意思是如果v5=v4，就puts("this is true flag!")，否则就puts("wrong!根据上一行scanf("%s", &v5);结果很明显了，flag就是flag{HappyNewYear!用kali脱壳，输入upx -d，然后把文件拖进去就能脱壳了。把文件再拖进exeinfope PE，发现已经没有壳了。这个意思是把"HappyNewYear!把文件拖进ida，直接进入main函数，F5反编译。拖进exeinfope PE，32位，有upx壳。下载，得到一个.exe文件。

分析伪代码发现，当str1与str2相等时是flag，所以flag是str2，查看发现str2是被复制成了HappyNewYear，所以flag，就是这个。【来源】（buuoj）https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90。Step2：将程序放在exeinfope下查看是否加壳了，真不可思议，做到的第一道加壳的题，发现加了一层upx的壳。【思路】先用Exeinfo PE查壳，再用upx脱壳，再用IDA Pro进行逆向分析。

1.下载得到一个exe文件，丢到DIE查壳，发现是upx加壳。 2.去壳。 3.将去壳后的文件丢到IDA中，找到main函数，无敌f5。 4.代码的意思大概是输入flag，判断flag和str2中的字符串是否相同，相同flag正确，否则不对，而str2前面直接就有“HappyNewYear!“。 5.get flag flag{HappyNewYear!} ...

新手一枚，如有错误（不足）请指正，谢谢！！ 题目链接：BUUCTF-re-CrackRTF 参考资料: 1. BUUCTF reverse：CrackRTF 2. BUUCTF Reverse CrackRTF 3. 内容hash，签名 （Windows Crypt API） 4. python hashlib模块 IDA打开，进入main函数，分析代码 int main_0() { D...

进行对比如果两个值相同时就会输出Success（即该flag正确），因此global的值即为flag，双击global，会发现一串数据aFKWOXZUPFVMDGH,再shift+F12查找字符串发现一串明显不同的字符串，先怀疑这就是flag。根据异或运算特性经过两次异或运算后的值与其本身相同，也就是说将该数据再次进行异或运算即可得到flag，shift+e提取该数据csii码的值。双击最上方的字符串，发现该字符串很明显是通过运算获得的结果（其实这就是aFKWOXZUPFVMDGH的异或运算后的值）

新手一枚，如有错误（不足）请指正，谢谢！！ 题目链接：BUUCTF-re-SimpleRev 载入IDA_64 进入main函数查看 发现没关键代码，进入Decry()函数查看 unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp...

今天看了一下日期，距过年还有28天，正好今天做的题目也叫新年快乐，就提前给大家拜个早年，祝大家早年幸福。

buuctf 新年快乐

Buuctf-Reverse-新年快乐 题解&思路总结

还是相同的步骤，先到PE里面查一下壳 是一个upx的壳，，，upx有专门的脱壳工具，，然后放到脱壳工具里面脱壳就可以到ida里面运行了，也可以在OD里面手动脱壳，， 1、万能脱壳工具脱壳 然后到ida看一下主函数的伪代码 一个比较的函数，，，输入与V4相等就可以拿到flag 然后上面 ，，，v4是HappyNewYear!，，直接拿到flag就是flag{HappyNewYear!} 最主要的还是脱壳 ...

新年快乐 得到exe文件，查看函数，发现只有两个函数，上网搜索了解到，这种情况可能是被加了壳，加了壳的程序可以正常运行，一般作用有压缩文件大小或者加密程序。 把程序拖到PEID了解到这是一个加了UPX壳的应用程序。 用OB手动脱壳 单步法轻松找到popad，下面有一个大跳转到401280，这大概就是真实的OEP 脱壳后把程序拖入IDA。 轻松找到flag{HappyNewYear!} XOR 上网了解到XOR意为异或运算。 先把文件拖入到IDA 大概是说用户输入一个长度为33的字

常规操作，下载，解压，查壳32位exe程序 UPX壳 用UPX专用脱壳工具脱壳 脱壳后 用再用exeinfo观察文件脱壳后的信息 用IDA32打开 用shift+F5 查找字符串 看到flag字样 双击 进入引用它的函数 稍微观察 发现flag为 flag{HappyNewYear!} ...

buuctf之新年快乐 #先脱壳 shift+f12 得到flag flag{HappyNewYear!} 看都看完了，点个赞再走呗!

BUUCTF Reverse/新年快乐 依旧是先看一下有没有加壳 看到这个加了一个UPX壳，用脱壳工具来脱壳 脱壳后的程序 找到main函数查看伪代码，看到flag就是这个HappyNewYear！

新年快乐 Source : BUU File : Click here Using the exeinfo to check the shell: As we see , it’s an UPX shell , Using the UPXshell to dump it. Open the dump file with IDA32. Then Shift+F12 to check the string. F5 to find the critical(关键) code . Very simple,

exe可执行文件 32位 upx壳 脱壳 跟进main函数 v4就是flag