攻防世界——MyDriver2-397

最新推荐文章于 2024-01-14 15:23:02 发布
最新推荐文章于 2024-01-14 15:23:02 发布
阅读量402 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45678798/article/details/126080341
版权

IDA分析

NTSTATUS __stdcall DriverEntry(_DRIVER_OBJECT *DriverObject, PUNICODE_STRING RegistryPath)
{
  NTSTATUS result; // eax
  BOOLEAN IsWdmVersionAvailable; // al
  const WCHAR *v5; // rdx
  int v6; // ebx
  PVOID SystemRoutineAddress; // rax
  struct _UNICODE_STRING DestinationString; // [rsp+40h] [rbp-38h] BYREF
  struct _UNICODE_STRING SymbolicLinkName; // [rsp+50h] [rbp-28h] BYREF
  struct _UNICODE_STRING SystemRoutineName; // [rsp+60h] [rbp-18h] BYREF
  PDEVICE_OBJECT DeviceObject; // [rsp+80h] [rbp+8h] BYREF

  DriverObject->MajorFunction[0] = (PDRIVER_DISPATCH)&sub_116A4;// Create
  DriverObject->MajorFunction[2] = (PDRIVER_DISPATCH)&sub_116A4;
  DriverObject->MajorFunction[14] = (PDRIVER_DISPATCH)&sub_116CC;
  DriverObject->DriverUnload = (PDRIVER_UNLOAD)sub_11660;
  RtlInitUnicodeString(&DestinationString, L"\\Device\\Myhook");
  result = IoCreateDevice(DriverObject, 0, &DestinationString, 0x22u, 0, 0, &DeviceObject);
  if ( result >= 0 )
  {
    IsWdmVersionAvailable = IoIsWdmVersionAvailable(1u, 0x10u);
    v5 = L"\\DosDevices\\Global\\Myhook";
    if ( !IsWdmVersionAvailable )
      v5 = L"\\DosDevices\\Myhook";
    RtlInitUnicodeString(&SymbolicLinkName, v5);
    v6 = IoCreateSymbolicLink(&SymbolicLinkName, &DestinationString);
    if ( v6 >= 0 )
    {
      sub_11008();
      qword_16448 = (__int64)ExAllocatePool(NonPagedPool, 0x3200ui64);
      memmove((void *)qword_16448, &unk_13110, 0x3200ui64);
      sub_113C8();
      RtlInitUnicodeString(&SystemRoutineName, L"NtCreateFile");
      SystemRoutineAddress = MmGetSystemRoutineAddress(&SystemRoutineName);
      Src = (void *)sub_110B8(SystemRoutineAddress);
      return 0;
    }
    else
    {
      IoDeleteDevice(DeviceObject);
      return v6;
    }
  }
  return result;
}

在这里插入图片描述
首先前面几个是派发函数和卸载函数。
进入卸载函数。
在这里插入图片描述
首先获取NtCreateFile的地址。然后再地址上进行了一些写入,我们可以猜测这个驱动是HOOK了NtCreateFile,在这里进行HOOK恢复。

sub_11008()

在这里插入图片描述
Create了taskhost程序

sub_113C8()

在这里插入图片描述
对byte_16390地址进行一些操作具体干嘛不清楚,猜测可能进行加密或者解密处理。

sub_110B8()

在这里插入图片描述
可以看到v15v14写入FF…25FF,在程序中是FF25是jmp指令的硬编码。
在这里插入图片描述
这里在关闭写保护和开启写保护,并把NtCreateFile地址写入到Poolwithtag中
在这里插入图片描述

通过以上分析可知,构建了一个V9函数用于跳转至真正的NtCreateFile,然后对NtCreateFile进行hook,hook跳转至sub_114D0函数,然后返回NtCreateFile的地址

sub_114D0

在这里插入图片描述
因为NtCreateFile以及被HOOK了,所以从上面可以看出当执行7次NtCreateFile时会进入函数sub_115DC(); sub_112B4中。

sub_115DC()

在这里插入图片描述
主要用于恢复HOOK

sub_112B4

在这里插入图片描述
在打开的文件中写入byte_16390(不知道写入什么)

总结

现在整个程序条理清楚了,HOOK NtCreateFile,在调用NtCreateFile7次以后,会把(加)解密的数组写入到打开的File中。所以可以判断sub_113C8中进行的操作就是获取flag。

获取FLAG

byte_16390 = [  0x70, 0x74, 0x37, 0x65, 0x47, 0x66, 0x05, 0x61, 0x11, 0x20,
  0x0C, 0x73, 0x6D, 0x41, 0x3A, 0x73, 0x36, 0x6D, 0x16, 0x6C,
  0x09, 0x5F, 0x28, 0x6E, 0x0B, 0x69, 0x31, 0x65, 0x6D, 0x68,
  0x5C, 0x6F, 0x58, 0x5F, 0x6A, 0x72, 0x02, 0x00, 0x78, 0x00,
  0x74, 0x00, 0x50, 0x00, 0x5F, 0x00, 0x67, 0x00, 0x69, 0x00,
  0x76, 0x00, 0x65, 0x00, 0x4D, 0x00, 0x65, 0x00, 0x5F, 0x00,
  0x66, 0x00, 0x6C, 0x00, 0x61, 0x00, 0x67, 0x00, 0x5F, 0x00,
  0x32, 0x00, 0x33, 0x00, 0x33, 0x00, 0x2E, 0x00, 0x74, 0x00,
  0x78, 0x00, 0x74, 0x00, 0x50, 0x00, 0x5F, 0x00, 0x67, 0x00,
  0x69, 0x00, 0x76, 0x00, 0x65, 0x00, 0x4D, 0x00, 0x65, 0x00,
  0x5F, 0x00, 0x66, 0x00, 0x6C, 0x00, 0x61, 0x00, 0x67, 0x00,
  0x5F, 0x00, 0x32, 0x00, 0x33, 0x00, 0x33, 0x00, 0x2E, 0x00,
  0x74, 0x00, 0x78, 0x00, 0x74, 0x00, 0x50, 0x00]

byte_16310 = [
0x95, 0x13, 0x6E, 0x5C, 0xA2, 0x13, 0x58, 0x5C, 0xB3, 0x13,
0x54, 0x5C, 0x88, 0x13, 0x54, 0x5C, 0x9A, 0x13, 0x57, 0x5C,
0xA9, 0x13, 0x50, 0x5C, 0xA2, 0x13, 0x6E, 0x5C, 0xF7, 0x13,
0x02, 0x5C, 0xF6, 0x13, 0x1F, 0x5C, 0xB1, 0x13, 0x49, 0x5C,
0xB1, 0x13, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00]

v1 = 0x54321CCC & 0xF0F0F0F0F0F0F0F0 ^ 0xCCC12345 & 0xF0F0F0F0F0F0F0F
v2 = v1 - 0x5C31139B
# print(v2)

for i in range(32):
    byte_16310[4*i] ^= (v1 & 0x000000ff)
    byte_16310[4*i+1] ^= ((v1 & 0x0000ff00)>>8)
    byte_16310[4*i + 2] ^= ((v1 & 0x00ff0000)>>16)
    byte_16310[4*i + 3] ^= ((v1 & 0xff000000)>>24)


byte_16310[v2] = 0
byte_16310[v2 + 1] = 0

v4 = 0
for i in range(128):
    byte_16390[i] ^= byte_16310[v4]
    v4 = (v4 + 1) % v2
k = 0
for i in byte_16390:
    if (i == 0):
        break
    else:
        k= k + 1

for i in range(k):
    print(chr(byte_16390[i] & 0xff),end = '')

flag为
RCTF{A_simple_Inline_hook_Drv}

路灯下的花盆
关注
专栏目录
Linux driver读书笔记(2) - Bus Types总线类型(mybus/mydevice/mydriver实例)
fulinux的博客
12-28 463
By: fulinux E-mail: fulinux@sina.com Blog: https://blog.csdn.net/fulinus 喜欢的盆友欢迎点赞和订阅! 你的喜欢就是我写作的动力! 目录Bus Types定义声明Registration注册Callbacks回调函数Device和Driver Lists列表sysfs文件系统Exporting Attributes导出属性mybus/mydevice/mydriver分离实例 Bus Types 定义 int bus_register.
linux v4l2 移植,libusb移植与v4l2使用--Applecai的学习笔记
weixin_36244383的博客
05-27 942
前言之前把家里的库存小模块都玩了一遍,这些主要是配在单片机玩的,但是我放到linux上,目的就是学习linux自己写驱动。至于usb等驱动包括v4l2内核配置下就有了。然后网上找的简单的框架API调用下,家里的usb camera就用起来了。2年前我就已经玩过v4l2了,arm-VS2017 opencv远程人脸识别--APPLE的学习笔记,至于libusb我去移植它还是第一次,我想后面做些usb...
攻防世界-Misc-Get-the-key.txt(linux文件系统挂载、grep、gunzip )
Sea_Sand息禅
04-25 3066
拿到文件,解压得到一个未知的文件,拿到Linux中file查看: 是Linux的文件系统数据,本来只要挂载就行了,但是我又用strings查看了一下字符串,然后差点完蛋。。。 strings查看结果: 看到这么多像是flag的字符串,还有这么多的文件名,果断用了binwalk,谁知道检测到了一大堆gzip文件: 然后就分解了一下QAQ: 然后看了看文件,发...
0517 libdroid MyDriver2-397 easy_go攻防世界
re1wn
05-18 1567
0517 攻防世界刷题记录 小白学习,大佬轻喷
MyDriver2-397 XCTF 3rd-RCTF-2017 (windows 驱动题)
qq_41071646的博客
05-16 1126
这个题 是驱动题 幸亏 自己以前学过驱动 所以对这个东西有所了解 其实这个驱动一开始我看的也很懵 不知道是干啥的 然后我先去看了看 卸载函数 看看他里面有什么东西 然后发现了这个 然后我就get 他的点了 开/关内存保护 然后 把正确的地址写回去 这个我以前研究过 一段时间的驱动 然后顺着这个路线 我 就大概懂了这个程序的逻辑 这个程序是用inline hook...
攻防世界 MISC - Disk
c868954104的博客
11-16 241
虽然没有flag,但是下面有二进制数据,将前四个flag搜索结果下面的二进制全部拿出来。使用winhex打开,搜索flag。
【愚公系列】2022年02月 攻防世界-进阶题-MISC-85(Disk)
时光隧道
02-18 3万+
文章目录一、Disk二、答题步骤1.下载附件2.File 查看文件类型3.mount 挂载文件 一、Disk 题目链接:https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=1&page=5 二、答题步骤 1.下载附件 解压文件夹得到虚拟机文件 看文件名判断可能是磁盘文件。 2.File 查看文件类型 把文件放到kali里用file命令确认一下 3.mount 挂载文件 ...
自动化MyDriver框架,Python语言简单实用
10-22
MyDriver框架是一个基于Python语言构建的自动化测试框架,它提供了一系列工具和接口,用于简化测试过程并增强测试脚本的可维护性。 在开始使用MyDriver框架之前,我们需要了解自动化框架的基本概念。自动化框架通常...
mydriver:linux驱动学习源码(自己写的)
03-23
5. **mydriver-master项目可能包含的内容** - `Makefile`:编译配置文件,用于构建驱动模块。 - `mydriver.c`/`mydriver.h`:驱动的源代码和头文件,可能包含设备初始化、操作函数等。 - `.c`和`.h`文件:针对...
void sendDriverCtrl( int & sendSocket, const double & simTime, const unsigned int & simFrame ) { Framework::RDBHandler myHandler; myHandler.initMsg(); RDB_DRIVER_CTRL_t *myDriver = ( RDB_DRIVER_CTRL_t* ) myHandler.addPackage( simTime, simFrame, RDB_PKG_ID_DRIVER_CTRL ); if ( !myDriver ) return; // do we have a valid nearest object? bool haveSensorObject = ( mNearestObject.base.id > 0 ); // sensor object must not be older than 1.0s double ownSpeed = sqrt( mOwnObject.ext.speed.x * mOwnObject.ext.speed.x + mOwnObject.ext.speed.y * mOwnObject.ext.speed.y ); double accelTgtDist = 0.0; double accelTgtSpeed = ( 30.0 - ownSpeed ) / 5.0; // default speed should be own preferred speed if ( haveSensorObject ) { // let's go for the same speed as preceding vehicle: if ( mNearestObject.ext.speed.x < -1.0e-3 ) accelTgtSpeed = 2.0 * mNearestObject.ext.speed.x / 5.0; else accelTgtSpeed = 0.0; // let's go for a 2s distance double tgtDist = ownSpeed * 2.0; if ( tgtDist < 10.0 ) // minimum distance to keep tgtDist = 10.0; accelTgtDist = ( mNearestObject.base.pos.x - tgtDist ) / 10.0; } fprintf( stderr, "sendDriverCtrl: accelDist = %.5lf, accelSpeed = %.5lf\n", accelTgtDist, accelTgtSpeed ); myDriver->playerId = 1; myDriver->accelTgt = accelTgtDist + accelTgtSpeed; myDriver->validityFlags = RDB_DRIVER_INPUT_VALIDITY_TGT_ACCEL | RDB_DRIVER_INPUT_VALIDITY_ADD_ON; int retVal = send( sendSocket, ( const char* ) ( myHandler.getMsg() ), myHandler.getMsgTotalSize(), 0 ); if ( !retVal ) fprintf( stderr, "sendDriverCtrl: could not send driver control\n" ); else fprintf( stderr, "sentDriverCtrl\n" ); }
07-15
- 使用`myHandler.addPackage()`添加一个`RDB_DRIVER_CTRL_t`类型的包,并将其转换为`RDB_DRIVER_CTRL_t*`指针,赋值给`myDriver`。 - 如果`myDriver`为空,则函数提前返回。 - 根据条件判断是否有有效的最近物体的...
MyDriver:我的驱动程序是Uber之类的应用程序
04-25
我的司机 使用NodeJs + Express Js + Socket IO + Mongo db编写的用于My Driver Mobil应用程序的REstfull Api
攻防世界-MISC-Recover-Deleted-File
m0_62840741的博客
11-05 458
- 恢复单个文件,恢复对应inode的文件,例如1.txt的inode为12,那么此命令即恢复1.txt。-- 查看sdb1 分区根目录下面可被恢复的文件及文件夹。使用Linux数据恢复工具extundelete。解压文件是一个无后缀的disk-image文件。出来一个文件夹,打开后是个可执行文件。-- 恢复目录,空目录不会被恢复。如果执行不了可以修改文件权限。执行文件得到flag。
攻防世界-dice_game-Writeup
SkYe's Blog
05-13 855
dice_game 题目来源: XCTF 4th-QCTF-2018 考点:栈溢出、混合编程 基本情况 程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 栈溢出 一开始我在纠结是输入数字时使用的是短整型,可不可能是整型溢出,这样既能保持低位数字符合要求,又能控制
[CTF-攻防世界]Recover-Deleted-File
最新发布
Luistin的博客
01-14 578
4.然后发现前面的思路是错误的,找到这些并没什么用,我们回到题目描述里面来,题目是要我们去恢复这个磁盘并且找到FLAG。5.extundelete disk-image --restore-all ​#修复这个文件,之后出来了个密码。1.gz,linux的压缩格式,将后缀名修改为zip就可以在windows里面打开了。2.解压出来发现是一个disk-image文件夹,用7zip可以将其打开。7.只能老老实实地给权限了,chmod +x flag​。6.发现权限不够打开的,我root都打不开?
攻防世界-misc进阶 Recover-Deleted-File
qq_37208650的博客
07-20 2539
攻防世界-misc进阶 Recover-Deleted-File 工具 scalpel 扫描整个镜像文件,根据配置文件寻找相关文件类型的文件头和文件尾,正常找到后将这段内容雕刻出来;当找到了文件的头部,但是在它附近没有找到文件尾标志的时候,scalpel提供两种处理方式,一是放弃对该文件的雕刻,二是根据自定义的各类文件的最大长度进行雕刻。 https://github.com/sleuthkit/scalpel 方法一 解压出文件, binwalk查看文件 $ binwalk disk-i
【愚公系列】2021年11月 攻防世界-进阶题-MISC-028(Recover-Deleted-File)
热门推荐
时光隧道
11-04 4万+
Recover-Deleted-File 下载附件得到镜像文件,进行恢复 extundelete disk-image --restore-all 得到文件夹 执行flag文件得到flag:de6838252f95d3b9e803b28df33b4baa
xctf攻防世界 MISC高手进阶区 Recover-Deleted-File
l8947943的博客
01-15 6610
1. 进入环境,下载附件 解压后发现是个无后缀的disk-image文件: 题目给的给的提示恢复磁盘并且找到FLAG. 2. 问题分析 扔进kali恢复 这个工具没怎么使用过,参考网上的命令:extundelete恢复文件。如何使用,参考链接:https://blog.csdn.net/liucc09/article/details/51644173 先安装extundelete工具 $ sudo apt install extundelete fls列出图像中的文件和目录名,并可以显示使用给定名称
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4334
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
易语言api hook CreateFileA
511遇见
05-27 4072
当调用CreateFileA创建文件时,我们劫持它,hook成我们自己的东西,易语言里的写到文件就是API(CreateFileA ) hook 说明 1、未hook前会生成一个111.txt,内容是“1111111111” 写到文件 (取运行目录 () + “\111.txt”, 到字节集 (“1111111111”)) 2、hook后就会转向我们自定义的MyCreateFileA h.安装Hook (“kernel32”, “CreateFileA”, 到整数 (&MyCreate
Python MyDriver自动化框架详解与实战
自动化MyDriver框架是一个基于Python语言的高级自动化测试解决方案,特别适合那些需要高效、灵活且可维护的测试场景。这个框架主要关注于提高软件测试的效率和精确性,尤其是在Web和移动应用测试方面。它设计精良,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值