XCTF 攻防世界 Reverse 新手题(re1)

re1

首先，可以看到附件是一个exe程序，可以先执行一下看看（一般CTF的题目是不会有什么病毒的，如果有杀毒软件显示有木马的话，允许执行就可以了，因为目前大部分exe文件的特征码都很容易被识别）。执行完之后，若是没发现什么有用的信息，可以尝试用IDA（32）打开
F5键进行反编译找到main函数的主体

反编译后的源代码如下所示：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  __int128 v5; // [esp+0h] [ebp-44h]
  __int64 v6; // [esp+10h] [ebp-34h]
  int v7; // [esp+18h] [ebp-2Ch]
  __int16 v8; // [esp+1Ch] [ebp-28h]
  char v9; // [esp+20h] [ebp-24h]

  _mm_storeu_si128((__m128i *)&v5, _mm_loadu_si128((const __m128i *)&xmmword_413E34));
  v7 = 0;
  v6 = qword_413E44;
  v8 = 0;
  printf(&byte_413E4C);
  printf(&byte_413E60);
  printf(&byte_413E80);
  scanf("%s", &v9);
  v3 = strcmp((const char *)&v5, &v9);
  if ( v3 )
    v3 = -(v3 < 0) | 1;
  if ( v3 )
    printf(aFlag);
  else
    printf((const char *)&unk_413E90);
  system("pause");
  return 0;
}

若暂时没有找到什么突破性的地方，可以尝试F12键查看String Window，看看Strings里有没有跟flag相关的，可以看到有一个flag get的string(大概在最后一部分里面），找到之后双击进入，发现执行到unk_413E90既可以获得flag

继续分析main函数，发现两个函数_mm_storeu_si128，_mm_loadu_si128
这两个函数的意思就是将xmmword_413E34的值赋给V5，再结合下面的代码，可以发现V5即为flag。
因此，可以尝试双击xmmword_413E34进入，发现有两个长的数据

.rdata:00413E34 xmmword_413E34  xmmword 3074656D30633165577B465443545544h
.rdata:00413E34                                         ; DATA XREF: _main+10↑r
.rdata:00413E44 qword_413E44    dq 7D465443545544h      ; DATA XREF: _main+27↑r

按住R键可以将数据转为字符，将两个字符拼接转换一下，即可得到正确的flag