Flare-on 8咕了好久了啊.... 本来是因为二进制在宿舍打算回去再继续, 但是看长春这疫情遥遥无期, 还是不要拖了. 本篇文章是FlareOn8 的4和5两道题
01-CredChecker & 02-known
03-Antioch
04 - MyAquaticlife
本来这题都分析差不多了... WP都在学校, 但是总不能直接跳了, 所以干脆再来一遍
upx壳, 直接脱就行
最下面可以看到Multimedia Builder, 这东西是个巨古老的所见即所得编程器.
一顿乱点之后可以发现这个... 另外也可以发现这好像是个.. 网页? 测试发现是点到中间文字的时候会出现, 基本上可以猜测是正确顺序点鱼, 然后点完了按文字check
文件监控发现这东西在Temp下搞了好多东西, Html和dll让我比较感兴趣, 去看看
Html里这样的, 就是这里的这些图片, 这些a标签指向了不同的Script, 也不知道是怎么调用的..
看了看fathom.dll, 好像没什么用
回到Exe, 我本来是在IDA里查的Script, 奈何这种封装程序字符串实在是太多了, IDA非常不方便, 所以Vscode查, 果然发现了Script15/Script3什么的,
每一个Script几乎都对应了一个PartX, 以及它们可能的字符串值, 大概就是parti$="word:nonce"的形式, 稍微整理一下:, 后面跟着的像Base64
Script15 p4 = derelict:RTYXAc
Script3 p2 = flotsam:DFWEyEW
Script5 p2 = derelict:LDNCVYU
Script11 p1 = jetsam:SLdkv
Script 1 p1 = derelict :MZZWP
Script 9 p1 = lagan:rOPFG
S7 - p2 = jetsam
S8 - p3 = lagan
s2 - p2 = lagan
s10 - p3 = jetsam
s6 - p3 = derelict
s12 - p2 = derelict
s17 - "PluginFunc19, PlugIn var1$"
s14 - p4 = lagan
s4 - p1=flotsam
s16 - p2 = lagan
s13 - p3 = flotsam
额, 这怎么这么多p2但是p4不够呢... 管他呢, 随便点一个) 当我随便选了一个单词顺序点完之后就过了), 我感觉有点非预期
以下是读完官方WP后的复盘
-
确实非预期了, 正常还要反那个dll, 发现只有jetsam和flotsam用到了, 只要点它们两个就可以了, 但是反正我点对了)逆向嘛, 半猜半调
-
还好我觉得麻烦用的vscode, 这东西只是缀在文件后面了, IDA不会解析, 自然也就查不到了
-
找到Script的常规方法是文件监视器发现它打开了自己, 进而发现读了文件尾, 虽然我意识到了它打开了自己, 但是真的没想到那是读数据, 学到了
-
这题写成WP简单.. 是因为是分析差不多了回头做的, 实际当时做的时候浪费的时间很多很多, 第一步就没想到用文件监视器监控, 还是别的师傅建议试试
-
Flare-on的第4题就这么难了...第10题真的能做么..
05 做ing
发表于 2022-4-6 19:08
