-
-
[原创] KCTF2021秋季赛 声名远扬 WP
-
发表于:
2021-12-3 20:09
18192
-
FindCrypto插件发现程序有CRC操作,main函数里那一堆花指令都没敢动。然后按钮点击函数不太好找,断GetWindowsText和SetWindowsText都不太好使,最后玄学通过代码段上一堆不知道什么东西的东西交叉引用定位到按钮点击函数Sub_41D2D0
点击函数里面先对输入做了变表base64操作,填充位换成了"!" 可以直接写IDAPython脚本把表爆出来
然后会通过call fword天堂之门跳到前面那段shellcode上去跑x64代码。
然后就是挂windbg对着IDA一步步调,最后发现直接就是比较,扣出正确的密文解就行了
box
=
""
cpu.eip
=
0xD4E7AE
for
dl
in
range
(
64
):
cpu.edx
=
dl
run_to(
0xD4E7BD
)
wait_for_next_event(WFNE_SUSP,
-
1
)
print
(dl, get_wide_byte(cpu.eax))
box
+
=
chr
(get_wide_byte(cpu.eax))
cpu.eip
=
0xD4E7AE
print
(box)
box
=
""
cpu.eip
=
0xD4E7AE
for
dl
in
range
(
64
):
cpu.edx
=
dl
run_to(
0xD4E7BD
)
wait_for_next_event(WFNE_SUSP,
-
1
)
print
(dl, get_wide_byte(cpu.eax))
box
+
=
chr
(get_wide_byte(cpu.eax))
cpu.eip
=
0xD4E7AE
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课