-
-
[原创]看雪.深信服 2021 KCTF 春季赛 第八题 众叛亲离 WP
-
发表于: 2021-5-23 23:27
-
一个VM题,上题看了太多代码,脱了壳,搞到了部分解码后的代码,最后实在没精力跟了,所以这题也不想看代码了。
上来大致静态看了下代码,发现是个vm,代码主要集中在一个函数中,很长,还带有VM调试功能,只是默认关闭了。开了自带调试,运行了下,能打印出执行过程。从日志中可以看出这是个16位的VM,打印日志有记录执行地址和寄存器等数据。其中寄存器数据中,可以找出输入的SN。在VM的opcode对其handler分发的地方以VM执行地址为条件下条件断点,断下后跟踪,发现最后竟然是name运算后与sn校验,校验的操作通过异或进行。
于是在41A9A5处上断,运行,输入KCTF,直接可以获得SN。
校验的时候是按16bit校验的,输入的SN是16进制大写字串。最终结果为:85A4A5E45B3B9227E3FD715E80BC999B
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
