首页
社区
课程
招聘
[原创] 看雪CTF.TSRC 2018 团队赛 第十题 侠义双雄
发表于: 2018-12-19 23:05 4291

[原创] 看雪CTF.TSRC 2018 团队赛 第十题 侠义双雄

2018-12-19 23:05
4291

拿到程序,跑起来,是个外观比较奇怪的窗口程序。

用PEID检测,说是delphi写的,拖进IDA,strings里没找到wrong、GUID等弹出窗口的字符串。再仔细看了下报错的弹窗,发现是标题是VBScript!
图片描述

回头再看下strings,可以发现有html的代码

图片描述

猜测这是画了个网页出来,然后用vbscript做检测,用OD动态调试,可以发现469060开始在画网页了。
图片描述

多跟几步就可以找到写入vbscript代码的地方,
图片描述

观察一下可以发现这段代码就是0x468B48开始的字符串。
图片描述

不过这段代码显然不全,function后面应该还有内容。继续跟。
跟到467b2b附近,发现有个循环,不断地pushfd和popfd,非常奇怪,尝试在这里打断观察一下函数调用前后的情况。
图片描述

然后搞笑的事情来了,循环到不知是第三次还是第四次的的时候,栈上冒出了后续代码。
图片描述

然后这个后续代码中的kanxueCTF2018bySimpower91非常的像flag,不妨尝试一下,结果就对了……

图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//