FlareOn8-04MyAquaticlife & 05Linux_vm (更新中)
Flare-on 8咕了好久了啊.... 本来是因为二进制在宿舍打算回去再继续, 但是看长春这疫情遥遥无期, 还是不要拖了. 本篇文章是FlareOn8 的4和5两道题(https://www.52pojie.cn/thread-1589787-1-1.html)
(https://www.52pojie.cn/thread-1597569-1-1.html)
## 04 - MyAquaticlife
本来这题都分析差不多了... WP都在学校, 但是总不能直接跳了, 所以干脆再来一遍
upx壳, 直接脱就行
!(https://tianyu.xin/usr/uploads/2022/04/2734255054.png)
最下面可以看到Multimedia Builder, 这东西是个巨古老的所见即所得编程器.
!(https://tianyu.xin/usr/uploads/2022/04/3704229297.png)
一顿乱点之后可以发现这个... 另外也可以发现这好像是个.. 网页? 测试发现是点到中间文字的时候会出现, 基本上可以猜测是正确顺序点鱼, 然后点完了按文字check
!(https://tianyu.xin/usr/uploads/2022/04/415519474.png)
文件监控发现这东西在Temp下搞了好多东西, Html和dll让我比较感兴趣, 去看看
!(https://tianyu.xin/usr/uploads/2022/04/106787056.png)
Html里这样的, 就是这里的这些图片, 这些a标签指向了不同的Script, 也不知道是怎么调用的..
看了看fathom.dll, 好像没什么用
!(https://tianyu.xin/usr/uploads/2022/04/1993634368.png)
回到Exe, 我本来是在IDA里查的Script, 奈何这种封装程序字符串实在是太多了, IDA非常不方便, 所以Vscode查, 果然发现了Script15/Script3什么的,
!(https://tianyu.xin/usr/uploads/2022/04/2888094227.png)
每一个Script几乎都对应了一个PartX, 以及它们可能的字符串值, 大概就是parti$="word:nonce"的形式, 稍微整理一下:, 后面跟着的像Base64
```
Script15 p4 = derelict:RTYXAc
Script3 p2 = flotsam:DFWEyEW
Script5 p2 = derelict:LDNCVYU
Script11 p1 = jetsam:SLdkv
Script 1 p1 = derelict :MZZWP
Script 9 p1 = lagan:rOPFG
S7 - p2 = jetsam
S8 - p3 = lagan
s2 - p2 = lagan
s10 - p3 = jetsam
s6 - p3 = derelict
s12 - p2 = derelict
s17 - "PluginFunc19, PlugIn var1$"
s14 - p4 = lagan
s4 - p1=flotsam
s16 - p2 = lagan
s13 - p3 = flotsam
```
额, 这怎么这么多p2但是p4不够呢... 管他呢, 随便点一个) 当我随便选了一个单词顺序点完之后就过了), 我感觉有点非预期
!(https://tianyu.xin/usr/uploads/2022/04/556441527.png)
---
以下是读完官方WP后的复盘
1. 确实非预期了, 正常还要反那个dll, 发现只有jetsam和flotsam用到了, 只要点它们两个就可以了, 但是反正我点对了)逆向嘛, 半猜半调
2. 还好我觉得麻烦用的vscode, 这东西只是缀在文件后面了, IDA不会解析, 自然也就查不到了
3. 找到Script的常规方法是文件监视器发现它打开了自己, 进而发现读了文件尾, 虽然我意识到了它打开了自己, 但是真的没想到那是读数据, 学到了
4. 这题写成WP简单.. 是因为是分析差不多了回头做的, 实际当时做的时候浪费的时间很多很多, 第一步就没想到用文件监视器监控, 还是别的师傅建议试试
5. Flare-on的第4题就这么难了...第10题真的能做么..
---
05 做ing 感谢楼主的分享~ 怒赞,大神 有时运气看来还真的很重要,但不调试怎么会有运气。感谢分享。
页:
[1]