BLOG

DKHOS - Reverse 400 - Kütüphanede kargaşa var
Feb. 17, 2018 CTF

DKHOS - Reverse 400 - Kütüphanede kargaşa var


Soru Çözümü : 

Soru içerisinde bir DLL verilmiştir. DLL dosyası tarafıından export edilen obfuscated(karşaşıklaştırılmış) fonksiyonlardan bazıları flagi oluşturacak Ascii değerlerini print etmekteydi. DLL dosyaları fonksiyonları isimleri ile export edebilecekleri gibi ordinalleri(sıra) ile de export edebilmektedir.

Yarışmacılarıdan beklenen DLLMain fonksiyonunundan başlamak  üzere fonksiyonların return değerlerini kullanarak doğru sırayı oluşturmaları ve flagi elde etmeleridir. Aşağıdaki görselde DllMain fonsiyonun 10 değerini return ettiğini göstermektedir. 

 10 değeri yukarıda tabloada listelendiği üzere export edilen i fonksiyonuna denk gelmektedir.

i fonksiyonu "L" değerini print etmekte ve 16(10h) numaralı "o" fonksiyonuna işaret etmektedir. Benzer şekilde aşağıdaki sıra takip edildiğinde "LeTs_s4ve_WoLRd" flagi bulunacaktır. Sıranın son fonksiyonu olan d fonksiyonu -1 değerini return ederek stringin sonladığı işaret etmektedir.

Main -> i(10) -> o(16) -> k(12) -> g(8) -> u(21) -> f(7) -> j(11) -> s(19) -> a(2) -> v(22) -> y(23) -> z(24) -> l(13) -> m(14) -> d(5)