-
-
[原创] KCTF 2023 第三题 秘密计划
-
2023-9-8 01:54
-
x64dbg 调试运行,发现退出,下断ExitProcess
(此外还有其他反调试,SharpOD绕过)
输入flag,要求长度为32才能验证
查找MessageBoxW,找到验证成功失败字符串
分析条件 a1 + 652
从打开code.dat开始,下硬件断点 a1 + 652 发现赋值
1150 是用于辨识Message,找发出1150 Message
调试中无意发现存在编译unicorn引擎的路径,下载源码,找到uc_emu_start,uc_mem_map等函数
根据初始化参数,确定为ARM 32
下断点分析载入内存的内容,0x43000 ARM代码主要是比较内置的hash值,0x4033 存放比较内容,为输入的sha256
比较的hash值为 6749dae311865d64db83d5ae75bac3c9e36b3aa6f24caba655d9682f7f071023 会有代码赋值内存为 1
(注:ARM代码存在bug,只比较了前60字符是否一致)
https://hashes.com/en/decrypt/hash 解出部分hash
观察规律,都是hash sha256 或者 sha256(sha256)
这里需要脑洞,实际输入为 sha256("yimingqpa")[0:32] 截断hash值
最后输入为 ea96b41c1f9365c2c9e6342f5faaeab2
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
