-
-
[原创]看雪CTF.TSRC 2018 团队赛-第十题 侠义双雄
-
2018-12-19 17:13
-
1.思路
刚开始拿着题根本没什么思路,不知不觉中就做完了,到现在还一脸懵逼望,云里雾里的,所以请版主手下留情(别删 0.0)。
2.正文
拿着题目先运行一下
看着像个对话框程序,
拖进IDA里面
string里面看到是Delphi的程序,完全没逆过,一堆函数,点都看不懂!
.......开始找获取文本的系统函数GetWindowTextA
用OD调的时候半天都没断下来,
然后又下来了msgbox的系统断点,发现还是没断下来。
又开始下SendMessage 获取文本的断点,还是没断下来。
然后下bp TranslateMessage MSG==WM_LBUTTONUP的断点,到是断下来了,但是奈何太菜,好像并没有什么卵用!
仔细看了一下弹窗!发现VBScript,卧槽,太迷了!
因此猜测作者用脚本实现的验证程序。
然后找了下script
找了到个类似html开头的东西把一场串的的东西dump出来放到浏览器里面!
可以看到按钮就是刚才对话框的按钮
上面还有个vb的脚本
不知怎么的没加载上,上网查了下好像html支持vbscript
然后点击没反应
看了下单击事件应该在ckpswd中,接着在IDA中搜ckpswd。
结果只找到这么一处,看来是加密了!找了半天也没找到。
最后想了办法,窗口一直在,那么它应该就在内存中
直接在整个内存中搜“
ckpswd
”
果不其然,找到了
接着在整个堆区翻了翻!发现不少好东西!
看的头皮发麻!不想看,只知道php中也有个eval 函数可以执行其中字符的命令!一句话木马就是类似原理实现的!
接着又向上面的堆区翻了翻
把它转成UNICODE
答案如图所示,我发誓我真的只是偶然翻了一下!
(补充)今天抽空搜了下内存找到了完整的脚本程序
在ida搜索 63 00 6b 00 70 00 73 00 77 00 64 00 (16进制)也能搜出来部分图就不贴了!太多了看着头晕
3.总结
说实话,到现在都是云里雾里的!不知道作者怎么实现的。说了这么多,一句话。。。。还是太菜!!!!有空还是多看看po叔的writeup吧!
唉...
横看成岭侧成峰,远近高低各不同。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2019-1-18 12:54
被大帅锅编辑
,原因: 补充一下内容
