-
-
[原创] 看雪CTF.TSRC 2018 团队赛 第十题 侠义双雄
-
发表于: 2018-12-19 23:05 4313
-
拿到程序,跑起来,是个外观比较奇怪的窗口程序。
用PEID检测,说是delphi写的,拖进IDA,strings里没找到wrong、GUID等弹出窗口的字符串。再仔细看了下报错的弹窗,发现是标题是VBScript!
回头再看下strings,可以发现有html的代码
猜测这是画了个网页出来,然后用vbscript做检测,用OD动态调试,可以发现469060开始在画网页了。
多跟几步就可以找到写入vbscript代码的地方,
观察一下可以发现这段代码就是0x468B48开始的字符串。
不过这段代码显然不全,function后面应该还有内容。继续跟。
跟到467b2b附近,发现有个循环,不断地pushfd和popfd,非常奇怪,尝试在这里打断观察一下函数调用前后的情况。
然后搞笑的事情来了,循环到不知是第三次还是第四次的的时候,栈上冒出了后续代码。
然后这个后续代码中的kanxueCTF2018bySimpower91
非常的像flag,不妨尝试一下,结果就对了……
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
他的文章
看原图
赞赏
雪币:
留言: