2015年3月30日月曜日

TDU CTF 2014 Satellite in ConoHa

会場でのwriteupは何言っているかわからなかったと思うので、どのような手順で解いたか簡単に書きます。


問題タイトル、問題文は忘れましたが、Omikuji.exeの問題です。



問題ファイル
Omikuji.exe: PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows


実行時の挙動
1、おみくじが表示される
2、よくわからないメッセージが表示される



まずはidaに入れて、stringsを見ていく


実行したときに表示された kichi や Flag? I've never heard of that, sorry. や10.0.2.128というipアドレスのようなものがあった

それよりも気になるのがハッシュ値
e0e0f178bfe6b23724ea9659ee4d4099
9412f3f4540eed2b5777cd978442dffb

これがflagだろうと想いそのあたりを見てみる


なんか TEMPを引数にして_getenvを呼んでいる。  さらに下を見るとfopenとかやっていたので、
TEMPに何かファイルを作っているのでは?と思った。

実行する前にTEMPフォルダを空にしておき、実行してみるとcsrss.exeというファイルを作っていた
とりだしてidaに入れてstringsを見る

今度は先ほどとは違うハッシュ値 8eaef68c63f7f0d3e4fa99b76c64ec96 があったのでそこの周辺を見る

ちょっと下のほうに


通信系のことをしていて、htonsの引数の328Bhがポート番号なので 1つ目のファイルにあったIPとこのポート番号で接続した
ipアドレス 10.0.2.128
port番号 12939

入力待ちになっていたので、8eaef68c63f7f0d3e4fa99b76c64ec96 このハッシュ値を送ったらflagが返ってきた

$nc 10.0.2.128 12939
8eaef68c63f7f0d3e4fa99b76c64ec96

TDU{MALWARE_SANKAKUWARE_SIKAKUWARE}


以上 こんな感じでした。


運営の皆様ありがとうございました。


0 件のコメント:

コメントを投稿