-
-
[原创]看雪CTF2017 第5题
-
发表于:
2017-6-10 18:41
3458
-
程序中包含一个驱动文件,用vs打开查看资源可以直接拿出驱动
驱动里函数不多,根据DbgPrint里的字符能知道大部分函数作用
有反调试,可以nop掉r3程序 0x004015D4处的函数调用,保证堆栈平衡,还要nop掉 0x004015D0处的函数参数
简单分析加调试后知道整个程序流程是 r3程序接受输入,判断长度是否为6,并转为小写倒序发送给驱动。 ( 一开始没有注意到驱动接收的只会是小写字符,导致后面枚举时范围扩大...浪费不少时间。)
驱动收到数据给每一位分别加上112345后计算md5并返回
r3程序收到md5之后再次计算md5,并取2~12位,与预设的值 888aeda4ab 做比较
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
