T1.文件包含漏洞1234567891011<?php// flag is in flag.phpif(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); inc

写在前面长城杯决赛只看了CTF的RE题目，题目挺常规，坐牢8小时拿下3.5道题，勉强混个逆向专项奖。 mapamp迷宫题，输入wasd控制移动方向，x == 38, y == 38出口，迷宫没有直接存在内存中，需要每步计算判断是否die 123456789101112131415161718192021222324252627282930313233343536373839404142434445

写在前面逆向部分题目很不错，VM题的伪随机控制流和迷宫题异常处理设置很巧妙，还剩两道没力气逆了，以后再补 ezjunk花指令，直接NOP掉，反编译main函数 加密部分是xxtea，观察调用时传入的参数，a2是sum，来自loc_4015C3+2，a3是delta，来自loc_401A1C，a4是key,来自off_404350 + 400 delta在main里面，刚好是patch掉的部分，

比赛吐槽线上比赛还得队员在一起开摄像头，逆天比赛 题目不给分类 3h 20t？开玩笑吧 逆向部分题目质量不错 Tea简单的tea，输入flag每8字节加密一次，一共加密5次，密钥固定 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585

静态分析DIE查壳，vmp，删题跑路 动态调试定位mainVMP反调直接拿ScyllaHide过掉，运行一段时间后暂停下来看调用栈 定位到main main被虚拟化了 重点看call，找到sleep返回的地方 这一段两个call，下断点看程序反应，第一个call断下，把程序输出的文件删掉，单步跳过之后生成了文件，说明主要逻辑在第一个call里面，第二个call单纯的sleep 定位API

upx2023upx壳，原版upx -d脱不了，x64dbg手动调试脱壳然后scylla dump F5直接得到主函数逻辑 12345678910111213141516171819202122232425262728293031323334353637383940int __cdecl main(int argc, const char **argv, const char **envp)&#

noxke’s 2023:)奇怪的一年，让我最开心的估计是linux 逐渐受不了windows繁琐的配置、臃肿的文件系统、频繁蓝屏…，2月的时候想着换linux试试，犹豫了很久该选哪个发行版，最后为了方便养老选了archlinux -Syyu一把梭有多爽，用livecd救系统就有多狼狈，一年滚挂了五六次，小的图形化挂掉，大的直接/etc炸掉。挂掉的次数貌似比用win多得多，但感觉值得，

LostKey检测参数，一共要4个参数 对每一个参数字符串clone一个进程进行处理 第一个参数是一个函数，每个字符串的都单独用一个函数处理 第二个参数是一个地址-0x1000 * (i + 1) + 0x100000 + dword_80EA3AC 剩下的重要的就是arg，把参数字符串和一个地址放进去 看clone的操作 这里对syscall的反编译不太好，动态调一下可以知道a1和a2

进程创建forkfork实际调用clone实现 12345678// linux/kernel/fork.cSYSCALL_DEFINE0(fork){ struct kernel_clone_args args = { .exit_signal = SIGCHLD, }; return kernel_clone(&args);

InjectDebugView的版本是0.76，下载一个相同版本的做bindiff 发现sub_40F8B0相似度不是1 修改了0x487000开头的4个字节，然后跳过去 根据这个函数的字符串信息大概能确定这个函数跟dump功能有关，下个断点在这 选择完文件后确实是断在了上面的地方，为了方便调试直接从入口点跳过去 进入到eax地址处 在easyre节区里，跟踪下去 call之间