[CTF/Reverse] [FlareOn8]MyAquaticlife
侧边栏壁纸
  • 累计撰写 65 篇文章
  • 累计收到 3 条评论

[CTF/Reverse] [FlareOn8]MyAquaticlife

x1n
x1n
2022-04-06 / 0 评论 / 12 阅读 / 正在检测是否收录...

本来这题都分析差不多了... WP都在学校, 但是总不能直接跳了, 所以干脆再来一遍

upx壳, 直接脱就行

image-20220406174102917.png

最下面可以看到Multimedia Builder, 这东西是个巨古老的所见即所得编程器.

image-20220406174859120.png

一顿乱点之后可以发现这个... 另外也可以发现这好像是个.. 网页? 测试发现是点到中间文字的时候会出现, 基本上可以猜测是正确顺序点鱼, 然后点完了按文字check

image-20220406180627209.png

文件监控发现这东西在Temp下搞了好多东西, Html和dll让我比较感兴趣, 去看看

image-20220406180740715.png

Html里这样的, 就是这里的这些图片, 这些a标签指向了不同的Script, 也不知道是怎么调用的..

看了看fathom.dll, 好像没什么用

image-20220406181825123.png

回到Exe, 我本来是在IDA里查的Script, 奈何这种封装程序字符串实在是太多了, IDA非常不方便, 所以Vscode查, 果然发现了Script15/Script3什么的,

image-20220406182020832.png

每一个Script几乎都对应了一个PartX, 以及它们可能的字符串值, 大概就是parti$="word:nonce"的形式, 稍微整理一下:, 后面跟着的像Base64

Script15 p4 = derelict:RTYXAc
Script3 p2 = flotsam:DFWEyEW
Script5 p2 = derelict:LDNCVYU
Script11 p1 = jetsam:SLdkv
Script 1 p1 = derelict :MZZWP
Script 9 p1 = lagan:rOPFG
S7 - p2 = jetsam
S8 - p3 = lagan
s2 - p2 = lagan
s10 - p3 = jetsam
s6 - p3 = derelict
s12 - p2 = derelict
s17 - "PluginFunc19, PlugIn var1$"
s14 - p4 = lagan
s4 - p1=flotsam
s16 - p2 = lagan
s13 - p3 = flotsam

额, 这怎么这么多p2但是p4不够呢... 管他呢, 随便点一个) 当我随便选了一个单词顺序点完之后就过了), 我感觉有点非预期

image-20220406184055459.png


以下是读完官方WP后的复盘

  1. 确实非预期了, 正常还要反那个dll, 发现只有jetsam和flotsam用到了, 只要点它们两个就可以了, 但是反正我点对了)逆向嘛, 半猜半调
  2. 还好我觉得麻烦用的vscode, 这东西只是缀在文件后面了, IDA不会解析, 自然也就查不到了
  3. 找到Script的常规方法是文件监视器发现它打开了自己, 进而发现读了文件尾, 虽然我意识到了它打开了自己, 但是真的没想到那是读数据, 学到了
  4. 这题写成WP简单.. 是因为是分析差不多了回头做的, 实际当时做的时候浪费的时间很多很多, 第一步就没想到用文件监视器监控, 还是别的师傅建议试试
  5. Flare-on的第4题就这么难了...第10题真的能做么..
0

评论 (0)

取消