ddctf2019 obfuscating macros write up

环境配置 系统 : Windows 10 \ Linux kali 4.6.0-kali1-amd64 程序 : obfuscating_macros.out 要求 : 输入口令 使用工具 :ida 开始分析 静态分析 使用ida载入程序,使用WELL DONE!字符串定位到关键代码: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char v3; // al char v4; // al bool v5; // al __int64 v6; // rax char v8; // [rsp+0h] [rbp-40h] unsigned __int64 v9; // […]

ddctf2019 Confused write up

环境配置 系统 : Windows 10 程序 : confused.app.zip 要求 : 输入口令 使用工具 :ida 开始分析 搜集信息 在linux中使用file命令查看信息: ➜ playground file xia0Crackme xia0Crackme: Mach-O 64-bit x86_64 executable 可知是苹果的64位可执行程序。 静态分析 在ida中载入程序,根据字符串DDCTF{定位到关键代码: void __cdecl -[ViewController checkCode:](ViewController *self, SEL a2, id a3) { void *v3; // rax void *v4; // rax void *v5; // ST18_8 void *v6; // rax char […]

ddctf2019 Windows Reverse2 write up

环境配置 系统 : Windows xp 程序 : reverse2_final.exe 要求 : 输入口令 使用工具 :ida \ Ollydbg52pojie \ peid 开始分析 查壳 使用peid查看文件信息: ASPack 2.12 -> Alexey Solodovnikov 使用了aspack壳。 dump内存 直接使用od加载文件并运行起来,看到窗口有如下输出: input code: 这里,od中选择插件->OllyDump->脱壳在当前调试的进程,在弹出的窗口中选择脱壳,然后选择保存的文件名和位置就可以。 静态分析 ida中,根据字符串定位关键函数如下: int sub_401320() { char v1; // [esp+8h] [ebp-C04h] char v2; // [esp+9h] [ebp-C03h] char my_str; // [esp+408h] [ebp-804h] char v4; // [esp+409h] […]

ddctf2019 Windows Reverse1 write up

环境配置 系统 : Windows xp 程序 : reverse1_final 要求 : 输入口令 使用工具 :ida \ od \ UPX_3.91 \ peid 开始分析 脱壳 将程序直接拖入peid,显示: 什么都没找到 * 但EP段处数据是UPX1,所以可以质疑程序加了upx保护壳,使用upx工具简单脱壳: C:\UPX_3.91_XiaZaiBa\upx391w>upx -d reverse1_final.exe Ultimate Packer for eXecutables Copyright (C) 1996 – 2013 UPX 3.91w Markus Oberhumer, Laszlo Molnar & John Reiser Sep 30th 2013 File size Ratio Format Name ——————– […]

高校运维赛 2018 Hide and Seek

环境配置 系统 : Windows 10 \ Linux kali 4.6.0-kali1-amd64 程序 : 2.2 要求 : 输入口令 使用工具 :ida \ pin 开始分析 使用ida载入程序查看主流程: signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed __int64 result; // rax char *v4; // [rsp+18h] [rbp-18h] if ( mprotect( (void *)((unsigned __int64)sub_400647 & 0xFFFFFFFFFFFFF000LL), (((unsigned __int64)main + 4096) & 0xFFFFFFFFFFFFF000LL) […]

看雪.TSRC 2017CTF秋季赛 第三题 crackMe

环境配置 系统 : Windows xp 程序 : crackMe 要求 : 输入口令 使用工具 :ida \ peid \ od \ CTF在线工具-在线莫尔斯电码 \ CTF在线工具-在线base编码 开始分析 查找密码学常数 使用peid查看exe属性: Microsoft Visual C++ 8.0 [Debug] 再用peid的密码学插件查看信息,点击拓展信息 -> 插件 -> krypto analyzer: BASE64 table :: 0005D8E8 :: 0048B0E8 Referenced at 004347B1 Referenced at 004347EA Referenced at 00434823 Referenced at 00434846 Referenced at […]

看雪.TSRC 2017CTF秋季赛 ctf2017_Fpc

环境配置 系统 : Windows xp 程序 : ctf2017_Fpc 要求 : 输入口令 使用工具 :ida \ od \ sympy 开始分析 进入主流程 使用ida载入程序,直接发现main函数: .text:00401000 ; int __cdecl main(int argc, const char **argv, const char **envp) .text:00401000 _main proc near ; CODE XREF: start+AFp .text:00401000 push offset aCrackmeForCtf2 ; “\n Crackme for CTF2017 @Pediy.\n” .text:00401005 call sub_413D42 .text:0040100A add […]

简单分析南宁杯 SMC.exe

环境配置 系统 : Windows xp 程序 : SMC 要求 : 输入口令 使用工具 :IDA pro \ peid 开始分析 使用peid查看exe属性: Microsoft Visual C++ 6.0 再用peid的密码学插件查看信息,点击拓展信息 -> 插件 -> krypto analyzer: BASE64 table :: 0000805C :: 0040805C Referenced at 004010CC Referenced at 004010ED Referenced at 00401105 Referenced at 0040110F 发现程序很有可能使用了base64编码,这里先用ida载入程序查看main函数: int __cdecl main(int argc, const char **argv, const […]

看雪ctf 解题记录(2017-2019年所有真题)

—————————————- 解题人数 >= 50 —————————————- jiaojcheng 767s,已被 300 人攻破 cm: WannaLOL wp: kctf 2017CTF年中赛 WannaLOL mitype 77s,已被 574 人攻破 cm: Helllo-CTF wp: 看雪.TSRC 2017CTF秋季赛 Helllo-CTF littlewisp 770s,已被 102 人攻破 cm: 第三题 crackMe wp: 看雪.TSRC 2017CTF秋季赛 第三题 crackMe Fpc 11838s,已被 99 人攻破 cm: 第二题 ctf2017_Fpc wp: 看雪.TSRC 2017CTF秋季赛 ctf2017_Fpc Elvina 55s,已被 251 人攻破 cm: 第一题 helloctf […]

看雪.TSRC 2017CTF秋季赛 Helllo-CTF

环境配置 系统 : Windows xp 程序 : Helllo-CTF 要求 : 输入口令 使用工具 :IDA pro 开始分析 使用ida载入程序并查看字符串窗口: .rdata:00403554 0000000C C ����(&A)… .rdata:00403560 00000006 C pass! .rdata:00403568 00000006 C ��ϲ! .rdata:00403570 00000006 C ����! .rdata:00403578 00000006 C ����! .rdata:00403580 00000017 C WelcomeToKanXueCtf2017 .rdata:00403598 0000000C C ������pass! .rdata:0040392C 0000000A C MFC42.DLL .rdata:00403976 0000000B C MSVCRT.dll .rdata:00403A8A 0000000D C […]