香山杯RE-URL从哪儿来(生成临时文件+动态调试)
香山杯RE-URL从哪儿来
把题放入IDA,我们可以分析到大致逻辑就是将对某些字符串进行加密,然后在内存中找到字符串的地址然后运行ou.exe这个程序
由于没有输入,我们直接进行动态调试即可
进入buffer
可以看到,这是将程序临时储存到了C盘。
我们直接进入这个文件目录
将其后缀修改为exe
放入IDA分析
直接动态调试
v13这里有一个可疑数组,我们跟进去
将数据转换一下,转换为地址
可以看到到lflag的地址
可以发现flag
flag{6469616e-6369-626f-7169-746170617761}
评论