首页
论坛
专栏
课程

[原创]看雪CTF.TSRC 2018 团队赛-第十题 侠义双雄

2018-12-19 17:13 2362

[原创]看雪CTF.TSRC 2018 团队赛-第十题 侠义双雄

2018-12-19 17:13
2362

1.思路

    刚开始拿着题根本没什么思路,不知不觉中就做完了,到现在还一脸懵逼望,云里雾里的,所以请版主手下留情(别删 0.0)。

2.正文

拿着题目先运行一下

看着像个对话框程序,
拖进IDA里面

string里面看到是Delphi的程序,完全没逆过,一堆函数,点都看不懂!
.......开始找获取文本的系统函数GetWindowTextA
用OD调的时候半天都没断下来,
然后又下来了msgbox的系统断点,发现还是没断下来。
又开始下SendMessage 获取文本的断点,还是没断下来。
然后下bp TranslateMessage MSG==WM_LBUTTONUP的断点,到是断下来了,但是奈何太菜,好像并没有什么卵用!


仔细看了一下弹窗!发现VBScript,卧槽,太迷了!
因此猜测作者用脚本实现的验证程序。
然后找了下script


找了到个类似html开头的东西把一场串的的东西dump出来放到浏览器里面!

可以看到按钮就是刚才对话框的按钮
上面还有个vb的脚本
不知怎么的没加载上,上网查了下好像html支持vbscript
然后点击没反应

看了下单击事件应该在ckpswd中,接着在IDA中搜ckpswd。
结果只找到这么一处,看来是加密了!找了半天也没找到。
最后想了办法,窗口一直在,那么它应该就在内存中
直接在整个内存中搜“ ckpswd ”



果不其然,找到了




接着在整个堆区翻了翻!发现不少好东西!



看的头皮发麻!不想看,只知道php中也有个eval 函数可以执行其中字符的命令!一句话木马就是类似原理实现的!
接着又向上面的堆区翻了翻

把它转成UNICODE


答案如图所示,我发誓我真的只是偶然翻了一下!

(补充)今天抽空搜了下内存找到了完整的脚本程序




在ida搜索 63 00 6b 00 70 00 73 00 77 00 64 00 (16进制)也能搜出来部分图就不贴了!太多了看着头晕

3.总结

   说实话,到现在都是云里雾里的!不知道作者怎么实现的。说了这么多,一句话。。。。还是太菜!!!!有空还是多看看po叔的writeup吧!
唉... 横看成岭侧成峰,远近高低各不同。


[招聘]欢迎市场人员加入看雪学院团队!

最后于 2019-1-18 12:54 被大帅锅编辑 ,原因: 补充一下内容
上传的附件:
最新回复 (1)
新月之铭 2018-12-21 13:03
2
0
写的不错
游客
登录 | 注册 方可回帖
返回