题文件:
链接:https://pan.baidu.com/s/1D553EQbBDuLSQXGYtPLOZw&shfl=sharepset 密码:9t8w
第一步:直接拖进IDA,发现和正常的逆向程序不一样。
试一下是否有壳
工具:010editor查看
文件后缀.ELF,说明了是在linux系统下的文件,拖进虚拟机执行,得到提示,但是我们之前打开IDA是没有这个text提示的。
第二步:
查壳工具:DIE
明显的解压缩UPX壳
第三步:
脱壳
在ubuntu虚拟机上执行如下命令,请根据自己的虚拟机版本安装upx的相应版本
sudo apt-get install upx-uc1
upx -d simple2
执行完会得到一个脱壳后的simple2,
直接拖进IDA即可。
会直接看到我们上述所看到的提示:
直接选中函数F5看伪代码:
分析:
第四步:
脚本:
脚本运行结果:
这就是flag答案。