Writeup of NJUPT CTF platform's some easy Reverse
2nd-ReadAsm2
本題主要考查基礎的彙編閱讀能力
順利拿到flag
4th-WxyVM
這題目,賊雞兒煩~
話不多說,IDA pro打開WxyVM1,發現是ELF文件,找到main函數,發現調用了sub_4005B6函數,F5調出僞代碼
發現byte_6010C0數組的15000個元素按順序三個一組分成5000組子序列,記子序列爲An[3],n={1,2,3,……,5000},An中的三個元素主導着該函數運行
不妨認爲byte_604B80數組有24個元素,
且發現dword_601060 = [C4,34,22,B1,D3,11,97,7,DB,37,C4,6,1D,FC,5B,ED,98,DF,94,D8,B3,84,CC,8,]
(注意數組各元素的地址逐個間隔4位,因爲dword爲4字節型,所以不要把多餘的FF,00讀入)
但是正當我打算寫python腳本時,不知道該怎麼把byte_6010C0給dump下來……於是瘋狂百度,求助IDC(IDA pro自帶的腳本)
Shift+F2召喚Execute script懟腳本,借鑑了無數例子(甚至某個巨佬CSDN上的wp)之後終於成功
運行得結果nctf{Embr4ce_Vm_j0in_R3}
(默默說一句……IDC腳本真的是懶人福利,有些時候就是抄一抄函數~~~)
(emmmmmmmIDApython也是不錯的腳本)