一个CTFCM的追码

ollydebug · 发表于 2015-7-4 22:17

本帖最后由 ollydebug 于 2015-7-4 22:25 编辑

以前都是爆破，这次弄个追码。由于本人菜鸟，有错误还请大家多多包涵。废话少说，这个是CM截图。
QQ截图20150704171508.png

丢到OD里，ESP定律脱壳。字符串搜索定位到关键处。输入ollydebug，F8到这里后，发现输入的Flag长度必须小于30大于0。
QQ截图20150704171830.png

继续向下F8，其中还有一些花指令，没有大碍，只要不用IDAF5的话。到这里发现循环检测Flag开头是否为TSCTF{，如图。
QQ截图20150704172135.png

所以Flag改为TSCTF{ollydebug，继续F8。结果发现有判断右括号在不在指定位置，如图。
QQ截图20150704172620.png

所以Flag再次调整为TSCTF{ollydebugollydebugolly}，然后继续向下跟踪。这时发现这段反汇编代码反复检测在指定位置有没有下划线。而下划线明显是分割程序呀。
QQ截图20150704172933.png

于是改成TSCTF{ol_ydebu_ol_yde_ugolly}，然后又是跟踪，到这里发现他获取第一段。
QQ截图20150704173550.png

然后计算MD5。

然后与真码的MD5作比较。
QQ截图20150704173742.png

真码的MD5为dcfed125d6507dc8c473c49fd8ad891d，在CMD5里查到了，是YQ。
QQ截图20150704173933.png

所以应改为TSCTF{YQ_ydebu_ol_yde_ugolly}，继续向下跟。到了这里，发现一堆常量赋值。
QQ截图20150704174435.png

这段数据现在看起来没什么用，但其实非常重要，一会再说。下面反汇编代码显示了第二段内容。
QQ截图20150704213746.png

继续向下跟，这两个call分别弄出了第一段和第二段的MD5。
QQ截图20150704213941.png

然后在这个call里，进行关键运算。
QQ截图20150704214204.png

F7进去，F8跟到这里，发现先取两组MD5对应的字符，一个一个取，假如两组MD5是12345，67890，那么取的就是1和6,2和7，以此类推。然后相减，然后与刚才那组数据进行对比(早知这样直接下硬件访问断点了

)。

这样我们可以你退到正确内容的MD5，为cda99cf90480d165fdd7119d76ce6aa6，在CMD5里查找到了，是w4nts。
QQ截图20150704214801.png

那我们吧Flag改为TSCTF{YQ_w4nts_ol_yde_ugolly}，然后继续向下跟。然后在这里又以相同的形式出现了第四段数据。
QQ截图20150704214921.png

然后又push进去第四段数据进行运算。
QQ截图20150704215037.png

跟进这个call里，发现了base64算法。
QQ截图20150704215127.png

是用来计算计算第四段内容的base64码，也是通过push。
QQ截图20150704215248.png

然后就是对比啦。

其实对比的base64码在前面就能看到了：MzR0。
QQ截图20150704215431.png

然后逆运算得到正确数据：34t。
QQ截图20150704215621.png

所以将Flag再次改为TSCTF{YQ_w4nts_ol_34t_ugolly}，然后又是无脑的跟踪，来到了这个地方。
QQ截图20150704215822.png

先进去第一个call，然后发现他是拿第三段内容进行xor循环解密xor文件，然后通过第二个call放出BMP文件，因为BMP文件的开头为BM，所以第三段的内容为T0。所以将Flag改为TSCTF{YQ_w4nts_T0_34t_ugolly}。然后咱们来看看弄出的BMP文件。
QQ截图20150704220334.png