Flare-on-2016: challenge 1 逆向分析
本帖最后由 煮酒fu 于 2016-12-22 21:07 编辑1.看下有没有壳子,:loveliness:,没有~~。
2.再来尝试下,输入任何字符,发现统统闪退。{:1_915:}
3.OD 附件,~~,ctrl + N ,发现了这个API,下个断点看看撒。{:1_927:}
4.断下来了,跟进去分析。{:1_912:}
5.输入 123456
6.在这里套路就是跟进呗,看看看,悄悄那,然后,我发现了一些秘密~~{:1_914:}。
仔细看我的图中标志的数据。
大框架清晰了,深入分析。。。。。{:1_912:},
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
7. 我在IDA里面先看下刚才注释的函数的整体框架,然后一目了然的发现了字符串比较。
8.所以重点要分析的是 call 00401260,字符串是怎么来的。
00401473|.FF15 08D04000 call dword ptr [<&KERNEL32.ReadFile>] ; \ReadFile
00401479|.8B55 FC mov edx, dword ptr
0040147C|.83EA 02 sub edx, 2
0040147F|.52 push edx
00401480|.8D85 6CFFFFFF lea eax, dword ptr
00401486|.50 push eax
00401487|.E8 D4FDFFFF call 00401260 ;
9. 这能难倒我么,呵呵,都是套路,
I) 打开IDA
II) 找到这个call,然后F5
III)但是当我看到函数的时候,我的心情是这样的,啥,啥,啥,这TM都是啥!!!!{:1_906:}
10.等我一会,我去分析下这个函数{:1_911:}{:1_906:}。
11. 当我看到这个数组,然后跟进的时候,发现了这个不是base64的数组么。。。。{:1_912:},所以我猜测这个是base64的变形。。
其实,我是看了官方的solution的,他说是base64,我这里也是验证下撒。{:1_918:}
12. 接下来就是把这个c研究下了。 challenge 1 编码数组是"ZYXABCDEFGHIJKLMNOPQRSTUVWzyxabcdefghijklmnopqrstuvw0123456789+/";
正确的password转换后为, "x2dtJEOmyjacxDemx2eczT5cVS9fVUGvWTuZWjuexjRqy24rV29q";
所以,逆推下password,
13.好了, challenge1 分析完毕。:loveliness:
@煮酒fu 怎么权限设置255?这样大家都无法阅读的。 Hmily 发表于 2016-12-21 17:34
@煮酒fu 怎么权限设置255?这样大家都无法阅读的。
多谢提醒,因为当时帖子还没写完,所以权限设置的225,现在改回来了。 为了积分不懂也要水一下 Flare-on-2016前一段时间 组团去玩了下 后来没什么时间就没进行了.
页:
[1]