首页
论坛
专栏
课程

[原创] 看雪CTF.TSRC 2018 团队赛 第十题 侠义双雄

2018-12-19 23:05 1704

[原创] 看雪CTF.TSRC 2018 团队赛 第十题 侠义双雄

2018-12-19 23:05
1704

拿到程序,跑起来,是个外观比较奇怪的窗口程序。

 

用PEID检测,说是delphi写的,拖进IDA,strings里没找到wrong、GUID等弹出窗口的字符串。再仔细看了下报错的弹窗,发现是标题是VBScript!
图片描述

 

回头再看下strings,可以发现有html的代码

 

图片描述

 

猜测这是画了个网页出来,然后用vbscript做检测,用OD动态调试,可以发现469060开始在画网页了。
图片描述

 

多跟几步就可以找到写入vbscript代码的地方,
图片描述

 

观察一下可以发现这段代码就是0x468B48开始的字符串。
图片描述

 

不过这段代码显然不全,function后面应该还有内容。继续跟。
跟到467b2b附近,发现有个循环,不断地pushfd和popfd,非常奇怪,尝试在这里打断观察一下函数调用前后的情况。
图片描述

 

然后搞笑的事情来了,循环到不知是第三次还是第四次的的时候,栈上冒出了后续代码。
图片描述

 

然后这个后续代码中的kanxueCTF2018bySimpower91非常的像flag,不妨尝试一下,结果就对了……

 

图片描述



[招聘]欢迎市场人员加入看雪学院团队!

最新回复 (0)
游客
登录 | 注册 方可回帖
返回