csaw2013reversing2.exe 파일을 준다. : find the key
가장 먼저 ExeinfoPE 로 패킹여부를 확인해보았지만 패킹은 걸려있지 않다.
파일을 실행을 했더니 crash 터진다. OllyDbg 로 바로 분석해보겠다.
0x0011124A 주소를 보면 CALL 00111000 주소를 호출한다. 이 주소를 호출하면서 Flag 값으로 추정되는 알 수 없는 문자열을 가진 Messagebox를 띄운다. 따라서 이 함수를 들어가도록 한다.
함수에 진입하고 조금 실행해보면 Flag를 출력하는 MessageBox() 함수 인자와 그 위에 xor 연산이 있는 것을 볼 수 있다.
처음에 함수를 진입할 때 분기문을 우회하지 못하면 바로 메시지 박스 함수를 호출하여 위의 MessageBox 처럼 이상한 문자열을 출력한다.
4byte 단위로 [ecx*4+esi] 에 해당되는 값과 8899aabb 값이 xor 하여 flag 값을 만들어낸다.
flag{number2isalittlebitharder:p}
'ctf' 카테고리의 다른 글
| [CodeGate 2013 CTF] binary 100 (1) | 2016.01.04 |
|---|---|
| [CSAW 2013 CTF] DotNetRevering.exe (0) | 2016.01.04 |
| [CSAW 2013 CTF] csaw2013reversing1.exe (0) | 2015.12.31 |
| [SECCON 2015 CTF] reverse-engineering-android-apk-1 (0) | 2015.12.27 |
| [SECCON 2015 CTF] exec-dmesg (0) | 2015.12.27 |
