吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1305|回复: 3
收起左侧

[求助] PCTF某逆向题目求助

[复制链接]
Y1rannn 发表于 2022-4-13 12:21
200吾爱币

bin地址
题目来源ichunqiu_pctf, 本身应该不会是恶意程序,但是本人不对此作出任何保证.(本比赛已于4.10结束, 现在不是赛时)
题目名字: Seeing_is_believing
题目描述: 眼见为实?
悬赏需求: 详细给出文件得到flag的分析报告, 并能适当的解答我的一些关于该文件的问题

注意:flag格式为flag{}, FL4g开头为假flag!


分析了一下午始终不知道怎么找到真flag, 最离谱的是假flag能过文件检测, 但是赛方赛时明确说了FL4g是假flag

提示: 在0x422FDC处有一字符串"li zai gan sen m?" 整个程序流均未使用

请求各位师傅指点, 如果有任何疑问请直接跟帖, 我看到就会回

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Y1rannn 发表于 2022-4-13 12:30
题目应该不算求脱求破吧..., 但是发完才看到版规, 我还是补一下我自己的分析过程:
main_0下有大量花指令, 但是注意到esp显然大于0x1000, ja条件必成立, 直接跳转到410145处即可
首先运行一个401005生成表
字符串经过一次位运算和一次与固定表的异或, 再转16进制和定值对比进而输出Winner
401005很奇怪, 首先它给定表赋值并做了一点变换, 但是在401005的末尾没有leave指令, 直接返回esp会来到函数4010B0, 4010B0完全抛弃了401005的运算而重新给这个表赋值了, 结果就是主程序中最后用的表
这样分析出来的结果是FL4g{N1NJAC0NNOR}, 但是这个flag是假flag
小朋友呢 发表于 2022-4-30 11:29
楼主这个题目我也分析过,猜测作者可能在程序的运行过程中将密文进行了替换,但自动态调试后发现和静态分析的一样,又猜测它会不会是Hook了某个函数,核心验证算法在那个Hook的函数里,但也没发现被Hook的痕迹
 楼主| Y1rannn 发表于 2022-5-17 09:51
小朋友呢 发表于 2022-4-30 11:29
楼主这个题目我也分析过,猜测作者可能在程序的运行过程中将密文进行了替换,但自动态调试后发现和静态分析 ...

是的, 我甚至把这道题的非动态链接的所有库函数都跟了一遍, 但是仍然没能发现hook点.... 我的硬件断点打给密文, 然后在程序start就断下来, 也没能找到替换的地方
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 04:14

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表