Untitled

Thông thường, khi chúng ta chạy một chương trình .exe hoặc nạp một thư viện .dll, hệ điều hành Windows sẽ thay chúng ta xử lý mọi thứ: từ việc đọc file trên đĩa, cấp phát bộ nhớ, nạp mã máy, đến việc khởi chạy chương trình. Tất cả được thực hiện thông qua các hàm như CreateProcess, LoadLibrary hoặc ShellExecute.

alt text Bài này cho ta cả source code C khá là tiện khỏi tốn công RE. Bây giờ ta bắt tay vào phân tích code thôi nào.

alt text Với bài này ta chỉ cần truy cập tên miền của đề bài cho ” http://http.kid.cyberjutsu-lab.tech/ ” bằng cổng 5555 là ra flag. Link truy cập sẽ có dạng như sau: http://http.kid.cyberjutsu-lab.tech:5555/ Và đây là kết quả : alt text Flag: CTF{Hypertext_Transfer_Protocol}

Bài này đề yêu cầu ta tìm key đúng với username “Root-Me”. Đầu tiên check thử thì đây là file code bằng .Net và 32 bit. alt text Bỏ vào dnspy coi code thử thôi nào ^^: alt text Ta có thể dễ dàng nhận ra file này đã bị obfuscated. Vậy bước tiếp theo ta tìm thử xem coi nó được obfuscated bằng cách nào. Ở đây mình đã thử dùng confuserEx Unpack với de4dot nhưng đều bị fail. Lúc này mình quan sát kĩ lại từng dòng code trong dnspy xem có bỏ sót 1 điều gì không ^^ và Ôi!Thật bất ngờ . Đây là cái mình nhìn thấy và nó cũng chính là cái keyword để deobfuscated. alt text Search Google thì mình tìm được 1 video hướng dẫn deobfuscated dạng này. Mình sẽ để link ở dưới. Link: https://www.youtube.com/watch?v=2vPo1XpQh0I