攻击自己做的网站吗,网站建设的盈利性和非盈利性,专用主机网站建设,互联网品牌是什么意思BUUCTF在线评测 (buuoj.cn) 查一下壳#xff0c;32位upx壳 脱完壳放到ida#xff0c;shiftF12看一下字符串#xff0c;是个迷宫#xff0c;maze#xff08;迷宫#xff09; 这里有一个经典的花指令 (导致找不到main函数)
下方有个奇怪的jnz指令#xff0c;它跳转到了下…BUUCTF在线评测 (buuoj.cn) 查一下壳32位upx壳 脱完壳放到idashiftF12看一下字符串是个迷宫maze迷宫 这里有一个经典的花指令 (导致找不到main函数)
下方有个奇怪的jnz指令它跳转到了下一行相当于没跳
我们可以发现 call的这个地址根本不存在这里两种方法
第一种用ollydbg nop掉 找到这条call指令对应的地址是0040102E这个位置 由于 0040102C执行了jump 所以也要跟着一起patch掉 ctrlE
这个call指令不能全部nop因为后面那个东西可能是有效代码 修改为 90(nop) 选择复制到可执行文件(所有修改) 然后保存文件 然后再IDA打开 花指令就被去除了 第二种是ida nop掉 这个call指令不能全部nop因为后面那个东西可能是有效代码我先全部nop掉了没法f5。
注nop40102E是不要全部nop防止关键信息也被nop掉先用d键转化为字节数据在一个一个试先nop第一个在nop前两个。。。。
按d将其先转换为字节数据。 在花指令的链接中那篇博主总结了花指令的常见情况知道了db 0E8h是添加花指令继续nop掉
nop掉之后IDA自动的将后面的数据转换为代码数据 此时数据地址是红色的仍然没法f5反汇编将关键代码全部选中按p键将其声明为函数 然后就可以F5伪代码了 flag的长度为14分析代码可知开始dword_4080787,40807c0坐标是70然后要让dword_4080785,40807c-4意思是结束的位置是5-4然后w表示上s表示下a表示左d表示右这是一道迷宫题先打印一下字符 *********
******* **
**** **
** *****
** **F****
** ****
**********flag{ssaaasaassdddw}
