首页
社区
课程
招聘
[原创] KCTF 2023 第三题 秘密计划
2023-9-8 01:54 2005

[原创] KCTF 2023 第三题 秘密计划

2023-9-8 01:54
2005

x64dbg 调试运行,发现退出,下断ExitProcess

(此外还有其他反调试,SharpOD绕过)

输入flag,要求长度为32才能验证

查找MessageBoxW,找到验证成功失败字符串

分析条件 a1 + 652

从打开code.dat开始,下硬件断点 a1 + 652 发现赋值

1150 是用于辨识Message,找发出1150 Message

调试中无意发现存在编译unicorn引擎的路径,下载源码,找到uc_emu_start,uc_mem_map等函数

根据初始化参数,确定为ARM 32

下断点分析载入内存的内容,0x43000 ARM代码主要是比较内置的hash值,0x4033 存放比较内容,为输入的sha256

比较的hash值为 6749dae311865d64db83d5ae75bac3c9e36b3aa6f24caba655d9682f7f071023 会有代码赋值内存为 1

(注:ARM代码存在bug,只比较了前60字符是否一致)

https://hashes.com/en/decrypt/hash 解出部分hash

观察规律,都是hash sha256 或者 sha256(sha256)

这里需要脑洞,实际输入为 sha256("yimingqpa")[0:32] 截断hash值

最后输入为 ea96b41c1f9365c2c9e6342f5faaeab2


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回