新年快乐 1(upx脱壳)

已于 2025-04-18 17:54:41 修改
阅读量288 收藏 5
点赞数 4
CC 4.0 BY-SA版权
分类专栏: BUUCTF Re篇 文章标签: 网络安全
于 2025-04-17 13:03:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86598628/article/details/147303877

题目

在这里插入图片描述

做法

下载压缩包,解压,把解压后的文件拖进Exeinfo PE进行分析
在这里插入图片描述
32位,有upx壳,需脱壳(自行下载upx脱壳工具)
返回桌面搜索cmd,以管理员身份运行命令提示符
在这里插入图片描述
cd命令切换到你下载的upx脱壳工具(总的,不是某一个文件)存放地址
然后输入代码

upx -d 要脱壳的文件地址

在这里插入图片描述
脱壳成功
再把文件拖入Exeinfo PE
在这里插入图片描述
已经没有壳了
这时再扔进IDA(32位),找到main,F5反编译(注:这里有俩main,对比一下就很清楚地知道该分析哪个)
在这里插入图片描述
在这里插入图片描述
那么好,现在我们开始从关键点从上往下进行分析

if ( !strncmp((const char *)&v5, &v4, strlen(&v4)) )
    result = puts("this is true flag!");

如果v5 的前 strlen(&v4) 个字符和 v4 相同,就会输出 “this is true flag!”
然后再往上看

scanf("%s", &v5);

v5是用户的输入内容储存地址
因此,我们需要找到v4的内容是什么

strcpy(&v4, "HappyNewYear!");
  v5 = 0;
  memset(&v6, 0, 0x1Eu);

继续往上看,关键内容就这些了
复制HappyNewYear!到v4…
诶,v4这不找到了嘛
结合上面的分析,我们把v4的内容打包一下就是这题的flag啦
在这里插入图片描述

更新

于2025.4.17

upx脱壳日记
fa1lr4in的小博客
09-19 823
一、静态方法 upx -d 有时候可能会失败,需要切换使用正确的UPX版本。Windows下内置对各UPX版本的第三方图形化界面UPXShell工具,可以方便的切换版本,通过go按钮,可以切换upx加壳版本与脱壳版本 二、动态方法(手脱) 虽然UPX本身可以脱壳,但是UPX是基于加壳后可执行文件内存储的标识来查找并操作的,由于UPX是开源的,软件保护者可以随意修改这些标识,从而导致官方标准版本的UPX脱壳失败。因为UPX中可以改动的地方太多,所以人们在这种情况下一般采用动态脱壳 x86的..
upx脱壳教程(buuctf逆向题新年快乐
逆向萌新的博客
07-18 3261
逆向常见的upx壳,如何手脱壳,怎么去手脱upx
【CTF 反编译】简单的UPX脱壳
最新发布
进击的小小白
07-01 339
(2)对于访问不了外网的用户可以关注公众号【澜代码QWQ计算机的那些事】回复【upx】下载。使用高于UPX3.95的版本进行脱壳[下载方式在最后]下载附件,使用DIE查壳,可以看到是upx加壳。发现是32位程序,我们使用ida 32位打开。再次查看脱壳后的可执行程序。
upx-脱壳
bygwys的博客
12-26 599
发现是有壳的 先虚拟机脱壳 upx -d+文件名 后分析代码如下 只要相等直接输出即为flag
upx脱壳
m0_62280492的博客
07-09 6731
介绍CTF比赛中常见的upx壳类型
逆向:UPX脱壳
围城
05-18 2164
2020/05/18 - 引言 本身对加壳这种东西只是知道,只知道可以使用软件进行自动化脱壳,没有具体了解过原理。然后,最近部署的蜜罐经常下载UPX加壳的样本。这次就来分析一下。 学习到的东西 利用vim修改十六进制内容 upx脱壳 样本 首先,蜜罐中经常下载的一个文件名称为i。 i样本 文件已经stripped,然后通过string命令查看,大部分字符串没有什么意义,但可以看到有...
UPX脱壳逐一跟踪分析
qq_50536062的博客
03-07 941
UPX脱壳逐一跟踪分析写在前面OD跟踪命令先结合PE知识分析分析“新年快乐.exe” 写在前面 之前看到的UPX脱壳文章都只是教了方法,对UPX的原理少有提及。看了《逆核》的UPX脱壳一章后,俺尝试把UPX脱壳与PE文件结构的知识结合起来整理了一些(也可联系压缩器Paker的知识)。 分析样本来自BUUCTF:Reverse题目“新年快乐”(本文将寻找样本的OEP) OD跟踪命令 可能会用到的几个跟踪命令命令 快捷键 作用 Animate Into Ctrl+F7 反复执行Step In
【逆向 | CTF】BUUCTF 新年快乐
weixin_46301214的博客
02-22 789
重点来了:四个步骤,先dump下来,然后修复IAT,再获取函数,再转存到脱壳的程序上,那么函数名称就被修复了。看代码就知道输入的是Str1变量比较Str2变量,那flag就是第9行了,过于简单,完事。坑点:如果只是dump下来,你会发现扔进IDA没法玩,没有函数名称,你都不知道是干嘛的。坑点来了:很多OD都是不正常的,还有半正常的OD,只有原版OD是正常的。吾爱破解OD是不正常的,x64dbg半正常,英文原版OD是很正常的。拿到软件,丢进IDA发现有点问题,只有两个函数,发现不对劲。esp定律,手动脱壳
ctf upx改特征值例题新年快乐
01-14
1. 使用工具如 `upx -d challenge.exe` 尝试直接脱壳(仅作测试),观察是否有自保护机制阻止简单脱壳[^4]。 2. 利用十六进制编辑器或IDA Pro等调试软件打开原始未解包版本,在内存加载状态下查找与序列号比较有关...
BUUCTF-re-新年快乐1
Ccai的博客
04-04 2000
在re中迷路的菜鸟,从入门到放弃。 题目:下载地址 拖入ExeinfoPE或PEID中查看,发现有UPX壳。 upx脱壳 拖入ida中查看。 找到关键函数,输入Str1与Str2比较。 输入Str1即为:HappyNewYear! flag{HappyNewYear!} ...
upx命令行版本脱壳全过程
guobingk的博客
03-28 8570
这是一个需要脱壳的文件,可以看到是加了upx壳的。 首先打开cmd命令行。 然后进入upx.exe所在的目录。 代码如下: dir查看upx文件夹 可以看到upx.exe,启动它。 出现这样的界面就可以开始脱壳了。 将需要脱壳的文件也放在upx文件夹内,我这里的样例是ceshi.exe 使用代码upx -d 文件名 这时候就脱壳成功了,把它再放进exeinfope看一下 可以看到已经 提示Not packed。 ...
UPX脱壳
qq_53008544的博客
11-11 4438
upx脱壳以“buu re 新年快乐”题目为例。 首先将题目解压后拖进Exeinfope 可发现题目文件为32位,且加了upx壳,其实upx脱壳比较简单,但是我总是忘记步骤,因而记录一下。 我们再cmd打开控制台,由于题目文件和upx脱壳工具保存在D盘中,故先输入“D:”进入D盘,再输入“cd upx脱壳工具的地址”。此时已经进入了upx脱壳工具的文件夹,文件夹里有upx.exe文件,故可输入“upx -d 目标文件所在位置”。 完成脱壳后下方显示“Unpacked 1 file.”,表..
upx手动脱壳
qq_36963214的博客
10-26 7341
upx upx是一个开源的工具,可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
upx命令脱壳
m0_74148881的博客
07-28 3237
try upx.exe -d
upx脱壳(最简单方法之一)
2301_80820096的博客
04-13 4709
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
upx手动脱壳学习笔记
sirrior的博客
11-24 3215
2. 加壳的程序在开始时,需要对寄存器进行push操作,在加密程序结束后(可以将壳看作一个加密程序) pop回寄存器的值。(任何的壳都有一个目的,让程序认为操作系统的环境是透明的,没有受到壳的阻挡。1(最简单)对rsp下断点,直接追踪到pop(原理:push将四个寄存器中的值进行压栈,rsp指向栈顶,故rsp寄存器的值会发生变化。而脱壳结束时的pop指令会使将四个寄存器中的值出栈,即复原了RSP。oep:orignal entry point:未加壳的程序的真正的入口点,是手动脱壳的目标。
对于UPX脱壳的解决
qq_54894802的博客
01-01 3715
因此根据这个原理,我们可以在堆栈处,设置访问断点,让程序运行,当程序暂停的时候,就是壳程序即将执行完的时候,然后在其附近单步跟踪就可以找到原始OEP了。通过这两到题,我们大致可以发现,upx脱壳,就是去寻找可疑点,jmp,或者ret,因为壳是一个程序,因此我们脱壳就是要其运行完成的结果,所以我们在脱壳过程中总是要跳到ret,也就是这个原因。对于脱一般的程序壳的时候,我主要用的是ida来脱壳,一般ida实在脱不了了再想到用od来脱,od,,所以我记录的大多都是用的ida来脱的。然后运行,寻找可疑点。
UPX脱壳工具:最新测试版本功能解析
描述:“UPX脱壳工具 UPX脱壳工具UPX脱壳工具UPX脱壳工具UPX脱壳工具UPX脱壳工具UPX脱壳工具” 描述部分的内容较为重复,它强化了“UPX脱壳工具”的关键词,意味着这个工具是专注于处理UPX压缩格式的可执行文件。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值