BUUCTF—Reverse—[ACTF新生赛2020]easyre（12）

1.下载得到easy.exe文件，丢到DIE中查壳，发现是upx壳。 2.脱壳。 3.丢到IDA中，找到main函数，F5。 4.分析代码，flag应该是v6+v5+v10（其中v5占12个字节），由if语句可知flag==ACTF{12个字符}， 之后就是最主要的for循环，其主要意思是查找字符，从_data_start字符串中查找v4（第一句给值了），其中_data_start的下标就是flag的ascll码-1. 查看_data_start（其中7Eh，27h要转化为字符）（~}

[ACTF新生赛2020]easyre 附件 步骤 查壳，32位程序，upx壳儿 脱完壳儿，扔进ida 分析 一开始给我们定义了一个数组， v4=[42,70,39,34,78,44,34,40,73, 63, 43, 64] 之后让我们输入一个字符串，根据43行的if判断可以知道我们输入的字符串的开头是ACT{}，就是flag 根据48行的if判断可知。ACT{}括号里的值长度为12，v4=byte_402000[输入的数组的每一位值-1] 在ida里可以看到byte_402000数组的值

BUUCTF平台刷题过程中做的一些逆向题解的总结归类

BUUCTF Reverse/[ACTF新生赛2020]easyre 发现UPX壳 进行脱壳 用IDA32位打开，找到main函数进行分析 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[12]; // [esp+12h] [ebp-2Eh] BYREF _DWORD v5[3]; // [esp+1Eh] [ebp-22h] _BYTE v6[5]; // [esp+2A

和之前一样，打开main函数，看到了程序对我们输入的字符串进行了三次加密，分别是encode_one，encode_two，encode_three，然后加密后端密文为str2=EmBmP5Pmn7QcPU4gLYKv5QcMmB3PWHcP5YkPq3=cT6QckkPckoRG，思路很清晰，我们从encode_three开始解密！没有看到对传入参数的修改，但是从-1，16，1，-16看出这就是一个迷宫题了，并且迷宫有16行（刚开始我也没看出来。从尾部开始看，因此我们先看看sub_401030()。