2020春节红包第二题WP

深天深天 · 发表于 2020-2-9 01:10

本帖最后由深天深天于 2020-2-9 01:10 编辑

1.丢入PEID中，发现存在upx壳（可以不脱壳直接玩），用kali下upx -d 1.exe脱壳失败，于是用OD打开进行动态调试
图片1.png

2.OD打开后，经过多次F4不过后，在处发现大跳：0068e654 jmp -> 00621b3c

发现00621b3c 处位OEP，于是直接用插件OllyDump对程序进行脱壳
（建议在XP系统下进行,win7和win10虽然可以脱壳，但不能运行，需要手动修正导入表地址）
图片2.png

3.脱壳后的程序再用PEID可以发现是Delphi程序，到这里先不忙着用IDA，可以用IDR查看下有些什么函数
图片4.png

4.在IDR中发现存在一个TForm1的窗体，可以发现一个OnChange事件引向edtPwdChange函数
图片5.png

5.接下来在打开ida通过查找就可以轻松定位关键的edtPwdChange函数，接下来看代码就很轻松，图片6.png

6.分析代码：可以发现把输入的内容分为三个字符串，MD5加密后进行比对，
“52pojie”和“game”轻松就可以获得获得，
对于中间的“2019”，可以在OD动态调试里在00617DA7下断点（这里用的是52破解的xp环境，根据系统环境有所不同）获得。

最后输入flag为：52pojie2019game
无标题1.png

PS：第一次发帖，各位大佬轻喷~

aass132ssaa · 发表于 2020-2-9 01:52

6666666666666666666666

细露仔 · 发表于 2020-2-9 01:59

感觉很厉害的样子，只能喊666

jeff_127 · 发表于 2020-2-9 04:31

只能说我生不逢时，，已经过了那段青葱岁月了，未来是你们的啦，，我只能静静的做个伸手党了，努力！

lipss · 发表于 2020-2-9 05:23

66666666666666666666666666666666666

lx680521 · 发表于 2020-2-9 09:10

感觉很厉害的样子

lgx20010609 · 发表于 2020-2-9 09:16

太深奥了，原谅我的无知问一下，这个什么用

_小白 · 发表于 2020-2-9 09:51

还是不太懂

魂斗饼 · 发表于 2020-2-9 13:25

我只能静静的做个伸手党了，努力！

GDKVIP · 发表于 2020-2-9 16:47

原谅我无知又懵懂

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 2020春节红包第二题WP

免费评分