【攻防世界】reverse | tt3441810 详细题解 WP

【攻防世界】reverse | tt3441810 详细题解 WP

下载附件

放进 exeinfope 进行基本信息分析，不是32或者64位程序，也不是有壳无壳程序，不按常理出牌，有点没有思路，先看看十六进制源码，是一道杂项的题

可以看到 flag{}字段，被中间的H和特殊符号等字符给隔开了，手动拼接flag{poppopret}，发现不对，把flag{}去掉，成功

flag:poppopret(只有中间字符)

【攻防世界】reverse | tt3441810 详细题解 WP 原来深度解析：

攻防世界 Reverse tt3441810 详细题解：从静态字符陷阱到指令级 Flag 还原

本次解析的tt3441810是攻防世界 Reverse 赛道的入门级题目，核心考察硬编码字符串的提取逻辑与CTF 题目常见的提交格式陷阱。题目看似是简单的静态字符拼接，实则隐藏了 x86_64 机器码的执行逻辑，本文将从工具分析→静态排查→误区拆解→指令级逆向的完整流程，还原解题全过程。

一、题目概述

题目提供一个未知格式的附件文件，要求通过逆向分析提取隐藏的 Flag。从题目分类（Reverse）可预判核心考点为硬编码字符串提取，但题目设计了 “静态字符干扰” 和 “提交格式陷阱” 两个小坑，需要结合逆向原理逐一破解。

二、初步分析：Exeinfo PE 的异常识别

拿到附件后，首先使用Exeinfo PE（PE/ELF 文件信息分析工具）进行基础识别，结果显示：

• 无法识别为常规的 32 位 / 64 位 ELF/PE 可执行程序；
• 无壳特征（如 UPX、ASPack 等）；
• 文件格式显示为 “未知”。

原因分析：该附件并非完整的可执行文件，而是x86_64 架构的 ELF 程序机器码片段（仅包含.text段的核心执行指令），因此 Exeinfo PE 无法按完整文件格式识别，这也是题目 “不按常理出牌” 的关键。

三、静态排查：十六进制视图的字符发现

由于工具识别失败，转而用十六进制编辑器（如 010 Editor、HxD）打开文件，查看原始字节数据：

• 能清晰看到f、l、a、g、{、p、o、r、e、t、}等字符；
• 这些字符被H、.、$、00等特殊符号 / 空字节隔开（如用户截图中显示的 “flag {} 字段被中间的 H 和特殊符号隔开”）。

此时第一反应是手动拼接可见字符，得到flag{poppopret}，但直接提交该内容会提示错误；而仅提交花括号内的poppopret则成功，这一现象需要结合机器码执行逻辑和题目提交规则双方面分析。

四、手动拼接的误区：静态字符≠执行顺序

4.1 误区表现

手动从十六进制视图拼接的flag{poppopret}提交失败，仅提交poppopret成功，核心原因有两个：

1. CTF 题目提交格式陷阱：部分 Reverse 题目要求仅提交 Flag 的 “核心内容”（即花括号内的字符串），而非完整的flag{xxx}格式；
2. 静态字符的无序性：十六进制视图中的字符是机器码指令的一部分，而非直接的字符串常量，其在文件中的物理顺序≠程序执行时的打印顺序。

4.2 机器码层面的本质：push 指令的小端序字符串

要理解字符的真实顺序，需从x86_64 机器码指令的角度分析（这是题目作为 Reverse 题的核心考点）：

文件中的字符实际是push imm32指令的立即数参数，x86 架构采用小端序存储，例如：

• 机器码68 66 6C 00 00对应指令push 0x00006C66，小端序解析为字符串"fl"；
• 机器码68 61 67 00 00对应指令push 0x00006761，小端序解析为字符串"ag"；
• 机器码68 7B 70 00 00对应指令push 0x0000707B，小端序解析为字符串"{p}"。

这些push指令后紧跟write系统调用（syscall），程序按指令执行顺序逐段打印字符串，最终输出的完整内容为flag{poppopret}，而题目仅要求提交花括号内的核心部分，因此poppopret是正确答案。

五、指令级逆向：还原程序的打印逻辑

为彻底验证字符顺序的合理性，我们对机器码进行反汇编分析，还原程序的核心执行流程（x86_64 架构）：

5.1 x86_64 的 write 系统调用规则

Linux 64 位程序通过syscall触发系统调用，write（标准输出）的参数约定为：

5.2 核心指令反汇编与执行逻辑

程序机器码的核心逻辑是“push 字符串片段→配置 write 参数→syscall 打印”的循环，关键指令段如下：

; 打印"fl" 00400080: 68 66 6C 00 00 push 0x00006C66 ; 小端序→"fl" 00400085: 48 BF 01 00 00 00 mov rdi, 1 ; stdout 00400090: 48 8D 34 24 lea rsi, [rsp] ; 栈上字符串地址 00400094: 48 BA 02 00 00 00 mov rdx, 2 ; 打印长度2 0040009E: 48 B8 01 00 00 00 mov rax, 1 ; write调用号 004000A8: 0F 05 syscall ; 输出"fl" ; 打印"ag" 004000A9: 68 61 67 00 00 push 0x00006761 ; 小端序→"ag" ...（后续write参数配置与上述一致） syscall ; 输出"ag" ; 打印"{p" 004000D1: 68 7B 70 00 00 push 0x0000707B ; 小端序→"{p" ... syscall ; 输出"{p" ; 依次打印"op"、"po"、"pr"、"et"、"}" ...

按指令执行顺序拼接所有打印片段，最终输出为：

"fl" + "ag" + "{p" + "op" + "po" + "pr" + "et" + "}" = "flag{poppopret}"

六、正确 Flag 的提取与提交

6.1 核心 Flag 内容

从程序执行的完整输出中，提取花括号内的核心内容为：poppopret。

6.2 提交格式说明

• 若题目要求提交完整 Flag 格式，答案为flag{poppopret}；
• 若题目仅要求提交核心内容（本题的情况），答案为poppopret。

这是 CTF 题目中常见的 “格式陷阱”，需根据平台的提交提示灵活调整。

七、题目总结与举一反三

7.1 本题核心考点

1. 工具的局限性：Exeinfo PE 无法识别机器码片段，需结合十六进制和反汇编分析；
2. 小端序存储：x86 架构的字符串需按小端序解析，而非直接按字节顺序拼接；
3. CTF 提交格式陷阱：部分题目要求仅提交花括号内的核心内容，而非完整 Flag 格式。

7.2 同类题目解题思路

对于 “硬编码字符串提取” 类 Reverse 题目，通用解题步骤为：

1. 工具初筛：用 Exeinfo PE/File 命令识别文件架构和壳状态；
2. 静态排查：用 strings 命令 / 十六进制编辑器查看可见字符串；
3. 反汇编分析：用 IDA/Ghidra 反编译，追踪打印函数（如 write/printf）的参数来源；
4. 动态验证：用 GDB/x64dbg 调试，在打印函数处下断点，捕获实际输出的字符串；
5. 格式适配：根据题目要求调整提交格式（完整 Flag / 核心内容）。

八、总结：逆向的核心是 “理解动态执行流程”

tt3441810 题的解题过程，本质是从 “静态无序拼接” 到 “动态指令级还原” 的思维转变：

• 静态分析（字符过滤）的误区，在于忽略了程序的 “动态执行顺序”；
• 正确的逆向思路，是通过指令解析还原程序的执行流程，按流程提取数据。

在 CTF Reverse 中，工具是辅助，“理解代码的动态执行逻辑”才是破解的核心 —— 无论题目如何混淆字符串，只要抓住 “程序如何执行、数据如何流转”，就能精准还原 Flag。

通过本次解题可发现，CTF Reverse 入门题并非单纯考察 “工具使用”，更注重对程序执行逻辑和题目设计陷阱的理解，这也是逆向分析的核心思维。