侧边栏壁纸
  • 累计撰写 65 篇文章
  • 累计收到 3 条评论

[CTF/Reverse] Simplestuff

x1n
x1n
2022-04-13 / 0 评论 / 11 阅读 / 正在检测是否收录...

simplestuff

最近抓到了一段简单恶意代码和其发出的流量,你能破解他吗?

image-20220413101346479.png

流量包全是TCP流量, 看不出来什么, 从二进制开始分析
image-20220413101434199.png

字符串里的crontab和flag引起了我的注意, 跟一跟

image-20220413102754686.png

在引用了flag的函数里发现了这个东西, 把TCP包有用的部分截下来XOR一下

image-20220413102850678.png

得到这个, 不过后半部分是乱码, 看看后半部分. 这个文件里有多处InterlockedCompareExchange, 让我怀疑是不是还有其他线程, 尝试动调一下吧

惊讶的发现源文件没了, 只留下了一个0字节的文件, 但是crontab里没有新增项...疑惑啊..再来一次

image-20220413104017269.png

注意main要进到这个函数

image-20220413104133470.png

需要是五秒整倍左右, 可以动调改数, 直接进行一个0的改

image-20220413104632940.png

这一串函数会设定一些值, 先忽略

image-20220413104912769.png

sample是我自己写的, 这说明这一段确实是读的flag

image-20220413105017601.png

说明中间还是改动了, 但是我没跟到

image-20220413105209917.png

但是从PseudoCode上看异或结束直接去Label8了, 中间不应该有变动. 无妨, 我们再来一次

我自己的sample正常异或结果应该是这个

3e 06 16 11 0b 01 65 46 18 0e 47 1f 16 09 19 03 13 00 10 3a 0f 2c 16 41 19 1f 4c 01 3d 07 1c 11 2b 14

我们看看哪里开始不一样了

哦原来dbapp后面还应该有个\0.....

image-20220413105818956.png

0

评论 (0)

取消