攻防世界——echo-server（花指令）

查壳 elf Ubuntu系统写的，用kali运行会报错

找到主函数，双击进入loc_80487C1

不是很懂，看了大佬的说是花指令

常见的花指令机器码
9A,E8,E9,EB 把垃圾数据用nop(0x90h)填充

切换到汇编试图

将loc_80487C1右键转换成未定义的数据

对loc_80487C4进行c重新汇编，这时是main函数变成loc_80487C4了

loc_80487c1-c3的汇编代码，ida把它识别到sub_804875D函数结尾处，设计该函数的sp堆栈平衡

08487C1 E8 根据上面常见的花指令可知它就是插入的花指令，用来混淆ida反编译，将text：08487C2右键转换为代码

08487C2 的c9转换成代码leave 08487C2 的c3转换成代码retn

然后再把E8改为90（nop）

选中 08487C1 E8 ，编辑->补丁程序->补丁字节

将E8改成90

把修补的程序应到输入文件，才能把修改保存到原文件

第二个花指令混淆080487F3

发现明显的花指令特征（jmp 函数名+1），这个时候080487F3 E8是无意义的

右键.text:080487F3 EB FF，将他们转换成未定义的数据从而将他们分开：

同上把它改成0x90

右键.text:080487F4这行，从这开始转化为代码（快捷键C）

数据被识别成了正确的汇编代码，且出现了开始我们看到的字符串“You are very close! Now patch me~”，

但是fl@g没有出现

第三个花指令混淆08048816：

看汇编区域这两个标红的代码

.text:08048816 E9 46 31 40 67 jmp near ptr 6F44B961h;
.text:08048859 E8 C7 04 24 01 call near ptr 9288D25h;
其实是IDA自动识别异常的代码，将它转换成未定义的数据

按U未定义就可以看到fl@g，ida把它识别成了代码

接下来注意这两行代码，这里xor eax eax ，jz是必定执行的，会跳转到loc_804881C+1

而下面代码是loc_804881C

将04048816 E9 改为0x90，再把fl@g转化成字符串（快捷键A）

然后点击.text:0804881D转换为代码：

这样IDA就会从.text:0804881D开始识别代码，下面的代码都变成了正确的可读性更好的汇编代码

下面的strncmp比较fl@g和我们输入的函数，正确的话输出“You are very close! Now patch me~”

从别人那里拿过来的(嘿嘿)：

现在离得到flag很近了，接着看第四个花指令08048859

这里主要看这三个函数：看数据段的常量dword_8048A088的值，ZF(ZeroFlag零标志位)

在test函数里面test的结果=1，ZF=0（test eax，eax 只有eax=0时ZF=1，其他不为0时ZF=0）

按ctrl+x交叉引用发现这个数据只用了一次

main函数里为1，eax=1这里ZF=0，下面jz short loc_8048866函数不执行

接着看loc_8048851后面的汇编

这三个代码有问题：

.text:08048851 loc_8048851:
.text:08048851 ; CODE XREF: .text:08048857↓j
.text:08048851 66 B8 EB 05 mov ax, 5EBh
.text:08048855 31 C0 xor eax, eax; Logical Exclusive OR
.text:08048857 74 F9 jz short near ptr loc_8048851+1;

mov ax, 5EBh后ax=5EBh，之后xor eax, eax结果eax=0置ZF=1，最后jz short near ptr loc_8048851+1跳转到loc_8048852，一直重复这个过程。
就是开始我们在运行程序输入正确的字符串后"F1@gA"看到的程序一直在运行。
这里也有一句标红IDA识别异常的代码：

将0848859 E8改成90

现在代码正常了，接下来修改这里的跳转

将jz换成jmp或者把74换成EB

没有Ubuntu系统，从大佬那里弄过来的：

得到flag：F8C60EB40BF66919A77C4BD88D45DEF4