将文件下载下来,用file命令查看一下,是一个64位可执行文件
用64位的IDA打开,发现里面的函数少的可怜,疑似加壳了
放到查壳工具里看一下,发现是UPX的壳,这里用linux下的命令xxd flag | tail(xxd的作用就是将一个文件以十六进制的形式显示出来,tail命令用途是依照要求将指定的文件的最后部分输出到标准设备,通常是终端,通俗讲来,就是把某个档案文件的最后几行显示到终端上,假设该档案有更新,tail会自己主动刷新,确保你看到最新的档案内容,Linux所提供的管道符“|”将两个命令隔开,管道符左边命令的输出就会作为管道符右边命令的输入)可以发现有UPX的字样。
用upx -d 命令进行脱壳(如果没安装upx命令的可以用sudo apt-get install upx 进行安装)
这时会生一个flag的文件覆盖原文件,用file查看一下,发现和之前的信息有一些区别
并且这文件从300多KB变成了800多KB,将这个文件用IDA打开
这次显得比较正常了,在main()函数F5查看一下伪代码
有一段字符串,他提示会用到malloc()和strcpy,下面出现了两个函数,一个就是malloc()用于申请一块连续的指定大小的内存块区域,还有一个没有名称的函数(这里和DeeLMind视频中的有点不一样,他是直接显示的是strcpy(test, flag),至于为什么不一样我也不太清楚),既然提示里有malloc()和strcpy,malloc()已经出现了,那么那个没有名字的函数,即使不是strcpy也是和字符串复制有关的函数,在查看反汇编代码时,发现鼠标放在flag上会显示类似于flag格式的字符串,跟进去看一看,就发现了flag。最后的图是我用dgb调试时,一步一步执行时在寄存器的值中发现了可疑的字符串。
