1、拿到exe文件,扔到exeinfo里面看一下,发现是32位无壳
2、扔到IDA里面,通过[shift+F12]找字符串
发现"right",双击跟过去
发现sub_401080调用了这个字符串,跟过去,F5反编译
对于23行到30行的代码我们猜测是将输入串赋值到byte_40336C里面来,但是不是很确定,我们可以去OD里面确认一下
把文件扔进OD,根据sub_401080函数在IDA中相对位置(汇编代码textview可看见)可以在OD中找到其位置,然后该循环之后打断点
从图中发现byte_40336C的地址就是0x39336C
F9键开始运行程序,然后输入24个字符,我这里输入了123456789123456789123456,继续F9运行至断点处
使用db 0x39336C查看内存地址的内容,发现就是进行了赋值操作
那么这道题其实就是将输入串进行了异或后减6的操作,所以解码一下就OK了
s = "xIrCj~<r|2tWsv3PtI\x7fzndka"
flag = ""
for i in range(len(s)):
flag += chr((ord(s[i]) ^ 6) - 1)
print(flag[::-1])