2017-DDCTF-RE-evil

最新推荐文章于 2020-12-02 13:06:03 发布
最新推荐文章于 2020-12-02 13:06:03 发布
阅读量435 收藏
点赞数 2
分类专栏: 学习记录 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/89389311
版权

分析

Markdown
首先使用IDA分析,发现被加了壳。使用die查壳

Markdown

为upx壳,使用脱壳软件脱壳失败后,开始使用手脱。

Markdown

进入程序后就发现这里有一个jmp大跳,这是壳的特征。直接跟进

Markdown

来到一个pushad,使用ESP定律。在执行完pushad后记录下堆栈顶

Markdown

下硬件读断点,然后直接F9来到这里,看到还有一个jmp。跟进

Markdown

这里就来到了OEP处了

Markdown

然后使用ODdump脱壳,因为是UPX壳所以不需要修复IAT表

脱壳后的程序继续在IDA里分析。

Markdown

进入第一个函数,查阅相关API函数得知该函数作用

Markdown

进入第二个函数继续查看

Markdown

这里参数数量为2就删除自己,再跟进第三个函数。

Markdown

这里的整体流程为 下载一张指定url处的图片。因为不存在,所以需要自己构建一下本地服务器,推荐使用phpstudy这样的一体化,在www文件夹下放x.jpg文件。然后修改host文件,增加 127.0.0.1 http://www.ddctf.com.即可然后跟进运行即可获得flag

DDCTF-01c981e4d5ea4da6b38b2990abbaf411@didichuxing.com

总结

这里题目本身对我来说的难点是对于一些恶意代码的分析。作为新手,为了以后使用方便,弄了个windows虚拟机来为将来调试恶意代码做准备。其实早该弄了,只是一直没遇到,就懒得弄。这题的主要收获还有一些API的使用,也算是开拓了自己的一些视野。另外继续练习了手动脱壳。至于本地服务器搭建,因为以前做过PHP开发,所以不算难点。

明日计划

  1. 保持学业上相关课程的学习

  2. 完成pediy18-10

  3. 攻防世界下一题。

Wwoc
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
11-4 Apache换行解析漏洞(CVE-2017-15715)
weixin_43263566的博客
11-25 998
Apache換行解析漏洞(CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.0至2.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析成PHP文件而不是普通文件。未正确配置的服务器未对文件名进行适当验证的服务器使用正则表达式并启用Multiline属性的服务器攻击者可以将1.php\x0A作为文件名上传到服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析为PHP文件。
【CVE-2017-15715】复现Apache解析漏洞
weixin_44723534的博客
04-10 3591
环境准备 Vulhub漏洞环境介绍 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应的目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 一、使用Ubuntu搭建vulhub漏洞环境 1.1 更新软件库 执行命令:apt-get update 1.1.1 更新软件库报错解决方法 1.2 安装curl apt-get install curl 执行命令:apt-get install curl 1.3 安装pip
180420 逆向-DDCTF_WP(Re)
whklhhhh的博客
04-21 1574
Reverse Baby MIPS IDA打开发现几个字符串结构都很清晰,提供16个变量,然后进行16次方程校验 但是运行会发现在中间就因为段错误而异常 尝试许久以后发现几个不太对劲的指令,突兀出现的t,t,t, sp, 跳转等等的机器码都为EB02开头,猜测为花指令,于是使用IDC脚本去花 注意MIPS为定长指令集,每个指令都为4字节,因此需要固定监测指令的头部,否则可能会误清除掉...
DDCTF-Evil Exe-WP
qq_41252520的博客
08-20 436
题目描述 挑战:《恶意软件分析》 赛题背景: 员工小A收到了一封邮件,带一个文档附件,小A随手打开了附件。随后IT部门发现小A的电脑发出了异常网络访问请求,进一步调查发现小A当时所打开的附件其实是一个伪装成word文档的恶意可执行文件。 赛题描述: 请在试着分析evil.exe和其所下载的x.jpg, 从中找出key. 评分标准: 密钥正确则可进入下一题。 查壳 一个识别不出,一个识...
DDCTF 2019 逆向题writeup re1-3
siphre
04-19 809
Re1 windows reverse 1 Upx壳,用工具脱壳。静态分析: 主流程很简单,用户输入input经过sub_401000函数处理后与DDCTF{reverseME}进行比较。 Sub_401000: 看汇编,函数逻辑就是,根据用户输入的字符的ascii码,读取byte_402FF8对应下标的字符。 byte_402FF8是一个倒序的Ascii码可见字符表。004030...
DDCTF - evil 一个伪装成docx的exe
weixin_30316097的博客
05-26 189
0x01 题目描述 题目比较简单,不过这种题感觉比单纯的逆向算法来有意思的多,所以记录一下~ 0x02 脱壳 先拖到IDA瞅一眼,发现加壳了 用PEID查一下是什么壳,但是没有查出来。使用Strings看一下有没有什么可参考的信息,发现是UPX 3.91的壳, 但是在UPX官网上下载的脱壳工具并没有成功脱壳,那么手脱吧。 UPX的脱壳比较简单,找到pushad 和popad下断点,然后往下跟...
DDCTF-WEB&MISC-WRITE-UP
郁离歌丶的博客
04-23 2802
DDCTF-WEB&MISC-WRITE-UPMISC0X01.签到题flag在公告里面,赛前一天我就知道了23333333... 0X02.(╯°□°)╯︵ ┻━┻题目:d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e6e1e1b6b9e4b5e3b8b1...
Jackson-databind 反序列化漏洞 (CVE-2017-17485)
玄道的网安博客
06-17 1900
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
Samba远程代码执行漏洞复现-CVE-2017-7494
weixin_48128812的博客
12-02 3228
一、概述 Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。 二、漏洞影响版本 Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。 三、漏洞利用条件 1、服务器打开了文件/打印机共享端口445 2、共享文件拥有访问以及写入权限 3、攻击者知道
evil-lispy:使用Evil和Lispy进行精确的Lisp编辑
02-05
evil-lispy是一款针对Emacs编辑器的扩展插件,专为提升Lisp代码编辑体验而设计。它结合了Evil模式和Lispy模式,让Emacs在处理Lisp语言时表现出更强的功能和更高的效率。这个项目通常命名为`evil-lispy-master`,意味...
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
180515 逆向-被隐藏的真实(DDCTF_Re3)
whklhhhh的博客
05-15 1362
这题本来单纯地以为是很简单的题,听欧佳俊师傅讲了一下出题思路才发现他的想法真的比答题人多得多…… main函数里调用了三次get_pwd()这个函数来check输入 get_pwd中接受输入,然后对count自增,调用了Bitcoin对象的一个函数来校验输入 如果熟悉C++逆向的话,一眼就能看出来这是在调用虚函数 因为v2是对象的空间,在C++的对象构造中,开头4个字节指向的是虚函...
DDCTF2019-WRITEUP
郁离歌丶的博客
05-04 2918
WEB 滴~ 进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。 内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
CTF-RE-Evil exe(Jarvis OJ)
SuperGate的博客
03-02 526
做此题需要的预备知识:ESP定律脱壳。如下网站介绍的比较详细且易懂,适合初学者了解: https://blog.csdn.net/qiurisuixiang/article/details/7649799 扔进ida发现没有函数,只有一堆乱码。于是猜测可能有壳。用OD打开分析一波: 根据 esp定律,我们f8到pushad的下一条指令,记录此时esp的值,并在此处下硬件访问断点。 ...
CTF中常见密码题解密网站总结
热门推荐
Greedy Hat的博客
09-03 4万+
CTF中常见密码题解密网站总结
XCTF OpenCTF 2017 部分WP(8道)
qq_42192672的博客
10-10 1713
最近想去看看XCTF实训平台,算是给自己的一个督促吧,选的第一个目标是OpenCTF 2017 1. OpenReverse 拖进IDA分析main函数,截图如下 其实就是比较v30与v4地址处的字符串是否相等,v30是我们的输入,那么关键就是看v4了 v4的初始值我们都知道,接下来观察函数40100对v4有什么改变 发现有对v4开始的26个字符全部进行了一个异或操作 当然拉我们动...
DDCTF部分WP
dydxdz的博客
04-22 6018
这周去打了DDCTF,花了一周做出了九道题,完成了1000分的梦想。也算是菜鸡打比赛这么久拿到分数最多的一次了,现记录如下: MISC 1、(╯°□°)╯︵ ┻━┻ (╯°□°)╯︵ ┻━┻ d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e...
【jarvisoj刷题之旅】逆向题目DDCTF - Hello的writeup
iqiqiya的博客
09-09 764
  IDA64位载入 看到就几个函数(没想到.jpg) 字符串都不用找 直接就可以确定sub_100000CE0就是关键函数   分析就可以知道 先对两个函数的地址进行相减  再右移   与byte_100001040[0]进行异或   后面就是一个循环 对byte_100001040[v1]进行运算   Py大法好: ...
0CTF2017 WEB WriteUp
Bendawang's Blog
03-20 9762
0CTF2017 WEB WriteUp
evil-droid工具
最新发布
07-28
回答: Evil-Droid是一个用于生成Android恶意应用程序的工具。它可以通过使用Metasploit框架生成一个包含后门的apk文件。生成后的apk文件可以在目标设备上安装并执行恶意操作。要使用Evil-Droid工具,可以通过下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值