香山杯RE-URL从哪儿来(生成临时文件+动态调试)

二木 王者

香山杯RE-URL从哪儿来

把题放入IDA,我们可以分析到大致逻辑就是将对某些字符串进行加密,然后在内存中找到字符串的地址然后运行ou.exe这个程序

Untitled

由于没有输入,我们直接进行动态调试即可

Untitled

进入buffer

Untitled

可以看到,这是将程序临时储存到了C盘。

我们直接进入这个文件目录

将其后缀修改为exe

Untitled

放入IDA分析

Untitled

直接动态调试

v13这里有一个可疑数组,我们跟进去

Untitled

将数据转换一下,转换为地址

Untitled

可以看到到lflag的地址

Untitled

可以发现flag

Untitled

flag{6469616e-6369-626f-7169-746170617761}

 评论