type
status
date
slug
summary
tags
category
icon
password
Shellcode
IDA打开发现main_main函数,是go写的
这里能找到base64,readfile,syscall关键字,结合题目猜测是上面的字符经过base6解密后,读取附件中的flag.enc文件,然后copy进指定文件
动调简单下断点试了一下,发现没有记录输入的过程,所以解密后的字节流就是加密逻辑
追踪到这里发现实际上的字符更多,将这些字符全部dump下来,打一个脚本写入文件
将生成的文件丢入IDA
这里汇编代码并不多,可以直接读,也可以在开头定义函数再反汇编
伪代码一看就是32轮换的tea加密
分析一下
将flag.enc附件丢入010editor,提取数据
得到脚本:
VM
main函数扫了一下可以知道关键在于sub_1400010B0函数
点进分析,粗略得到
找到主要vm的部分,根据opcode和main中的byte_7FF64A745040,分别提取opcode和data
分析得到(by official)
这里是部分输出:
总之翻译出来是:
这下可以美美搓脚本:
- 作者:Sh4d0w
- 链接:https://sh4d0w.life//article/95cbf124-03e1-4d5c-bbe2-fc0757fce83e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。