查看原文
其他

看雪CTF.TSRC 2018 团队赛 第一题 『初世纪』 解题思路

小雪 看雪学院 2019-05-25


2018年12月1日,『看雪CTF.TSRC 2018 团队赛』之攻击篇正式开启!比赛一开始,雨落星沉队便拿下一血,其余团队紧跟其上。时间不相上下,甚至有些队伍之间只有十几秒之差。


接下里我们一起来看看本次比赛的最新进展吧!




最新赛况战况一览


CTF第一题《初世纪》由 防守方 Elvina之队出题,截止比赛结束已被89个团队攻破。



本题过后,攻击团队率先领先的Top10团队为:



千里之行始于足下,第一题只是一个开始,前面还有14道题,等待大家去探索。


Welcome to join our journey! 前十名是否会有新的面孔出现?让我们拭目以待!



第一题 解题思路


下列解析文章由 DickBoomSky 原创


0x00 分析工具


  • x64dbg


  • IDA 7.0


  • Stud_PE



0x01 解题过程


这道题是64位的程序,而且开启了重定位。开启地址随机化的程序在调试过程中配合IDA查找对应的函数地址会很麻烦,所以我用stdu_pe这个工具先修改PE文件的Option Header中的Dll Characteristics,把这个的数据置为0,然后载入到调试器中之后就首地址就会和IDA中一样。


 

然后将程序载入到x64dbg中运行,然后再check按钮上设置消息断点。

 

在输入框中随意输入一些数据后,点击check按钮。程序会断在ntdll中,这时用快捷键alt+m(和OD中一样)。然后在初世纪.exeTEXT段设置断点(F2)。

 

然后让程序继续执行就会自动断在程序判断序列号的位置了,这个函数的首地址就是0x0000000140001340。然后再IDA中跳转到这个位置以后,使用F5快捷键查看程序的伪C代码。

INT_PTR __fastcall checkserino(HWND a1, int a2, unsigned __int16 a3)
{
 int v3; // ebx
 unsigned __int16 v4; // si
 HWND v5; // rdi
 int v6; // ebx
 int v7; // ebx
 UINT v9; // ebx
 CHAR *v10; // rdx
 HICON v11; // rax
 HWND v12; // rax
 CHAR String2[16]; // [rsp+30h] [rbp-D0h]
 int v14; // [rsp+40h] [rbp-C0h]
 __int16 v15; // [rsp+44h] [rbp-BCh]
 char v16; // [rsp+46h] [rbp-BAh]
 __int64 v17; // [rsp+48h] [rbp-B8h]
 int v18; // [rsp+50h] [rbp-B0h]
 __int16 v19; // [rsp+54h] [rbp-ACh]
 char v20; // [rsp+56h] [rbp-AAh]
 CHAR Dst; // [rsp+60h] [rbp-A0h]
 char v22; // [rsp+61h] [rbp-9Fh]
 char v23; // [rsp+62h] [rbp-9Eh]
 char v24; // [rsp+63h] [rbp-9Dh]
 char v25; // [rsp+64h] [rbp-9Ch]
 char v26; // [rsp+65h] [rbp-9Bh]
 CHAR String; // [rsp+D0h] [rbp-30h]

 v3 = a2;
 v4 = a3;
 v5 = a1;
 memset(&String, 0, 80ui64);
 memset(&Dst, 0, 100ui64);
 v18 = 2797193651;
 v19 = 0xA1A3u;
 v20 = 0;
 v14 = 0xCEB4BBD2;
 v17 = 0xA1A3E3C4B2CFA7B9i64;
 v15 = 0xA1A3u;
 v16 = 0;
 *(_OWORD *)String2 = xmmword_1400453C0;
 v6 = v3 - 16;
 if ( !v6 )
 {
   DestroyWindow(v5);
   return 0i64;
 }
 v7 = v6 - 256;
 if ( !v7 )
 {
   v11 = LoadIconA(hInstance, (LPCSTR)0x70);
   SendMessageA(v5, 0x80u, 1ui64, (LPARAM)v11);
   SendDlgItemMessageA(v5, 1000, 0xC5u, 0x50ui64, 0i64);
   v12 = GetDlgItem(v5, 1000);
   SetFocus(v12);
   return 0i64;
 }
 if ( v7 != 1 )
   return 0i64;
 if ( v4 == 1002 )
 {
   SendMessageA(v5, 0x10u, 0i64, 0i64);
   return 1i64;
 }
 if ( v4 != 1013 )
 {
   if ( v4 == 1014 || v4 == 40002 )
   {
     DialogBoxParamA(hInstance, (LPCSTR)0x67, v5, (DLGPROC)DialogFunc, 0i64);
     return 1i64;
   }
   return 1i64;
 }
 v9 = GetDlgItemTextA(v5, 1000, &String, 81);
 GetDlgItemTextA(v5, 1000, &Dst, 101);
 if ( v9 != 6 || Dst != '6' || v22 != 'E' || v23 != 'w' || v24 != 'i' || v25 != '9' || v26 != 'H' )
   v10 = String2;
 else
   v10 = (CHAR *)&v17;
 lstrcpyA((LPSTR)&String1, v10);
 DialogBoxParamA(hInstance, (LPCSTR)0x79, v5, (DLGPROC)sub_1400012E0, 0i64);
 return 1i64;
}


在这段程序的最后我们可以看到v9 = GetDlgItemTextA(v5, 1000, &String, 81);,这里就是程序获取输入内容的位置,v9存储的是输入序列号的长度。在下边有一个if判断(if ( v9 != 6 || Dst != '6' || v22 != 'E' || v23 != 'w' || v24 != 'i' || v25 != '9' || v26 != 'H' ))。这里首先判断序列号的长度是否为6,然后又判断了序列号的从第一位开始的每一位是否正确。在这里我们就能拼凑出正确的序列号6Ewi9H

 

最后只需要提交FLAG即可。




第二题【半加器】正在火热进行中


第2题/共15题


《半加器》于今天(12月3日)中午12:00开启,将于12月5日中午12:00结束


赶紧参与进来吧~!



合作伙伴 



腾讯安全应急响应中心 

TSRC,腾讯安全的先头兵,肩负腾讯公司安全漏洞、黑客入侵的发现和处理工作。这是个没有硝烟的战场,我们与两万多名安全专家并肩而行,捍卫全球亿万用户的信息、财产安全。一直以来,我们怀揣感恩之心,努力构建开放的TSRC交流平台,回馈安全社区。未来,我们将继续携手安全行业精英,探索互联网安全新方向,建设互联网生态安全,共铸“互联网+”新时代。







- End -



公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存