-
-
[原创][分享]2019看雪CTF总决赛第丝题--西部乐园
-
发表于: 2019-12-7 19:28
-
拿到题目,果然如题目描述一样,有一个64位驱动
直接运行,起来一个控制台,提示输入pass word。
程序上来让用户输入%d,看架势范围在[90000,96000]之间
然后注册和启动服务,调用其中的IoCtr
整个启动器都没有其他地方提示MessageBox或者Print Ok的地方
我们找到驱动中0x222041的IoCtr的位置
可以看出在这个Routine里对启动器传入的数据进行了变换作为shellcode,如果变换后符合要求会通过Apc注入执行shellcode,否则就会打印wrong并清理驱动
回到IoCtr中传递shellcode的地方1400060B0一开始也是有效代码,直到140006151开始一些随机数据,并在前半段有效代码中call eax执行到这个随机数据区域
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
