ctf.360.cn第二届，逆向部分writeup——第五题

题目：见附件

这是最后一题，难度加倍。

看题目意思，应该是模拟一个下载者，从网上下载一个shellcode然后执行。要求修复这个shellcode然后获得key。

OD载入MFC_ASM.exe，F9出现程序界面。

由于平时写C程序访问网络都直接用socket，找了一下竟然没有发现socket调用，看了导入表，发现原来使用wininet.dll提供的http封装。

（这里不知道有没有更好的方法能让OD跟踪到button按钮的用户代码调用，还请大牛不吝赐教）

直接按button，出现错误：

此时的栈情况：

BBBBBBBB和DDDDDDD数据和Exploit.html文件里面开头的是一致的，可见程序已经将Exploit.html下载并拷贝到了堆栈地址0012DF30。

为了跟踪到button按钮的处理函数，还是从字符串入手，随便翻翻发现：

此处有http协议的引用，下断点后，按button能停下来。一路F8，可以跟到00401519处，此处的retn指令返回到了shellcode中的错误地址。

需要注意的是，shellcode的起始地址是0012DF30，但00401518处的leave指令，会将esp指向0012E130。这个地址里面的值，就是前面错误对话框中出现的值。

之所以要指出这个，是因为当前的esp指向了shellcode内部，如果执行shellcode代码，会覆盖掉shellcode的一些区域，导致出错。这就就是需要修正的第一个有问题的地方。

下面就是要分析Exploit.html这个文件了，载入IDA，进行静态分析。由于对windows下的shellcode不是很熟悉，这里花了非常多的时间。关键点就是如大牛提示的，需要一个一个函数分析，一段一段shellcode中的字节寻找。由于这个shellcode的复杂度，修复实际上就是寻找到一个合适的入口点，然后在OD中将EIP指向它，直接执行就可以弹出key。

函数还是比较容易寻找的，一般以push ebp开头，后面跟着sub esp（或add esp）。IDA能分析出一些函数，许多还是要自己去寻找。

这里IDA的Xrefs功能（快捷键X）实在是太有用了。

最终分析下来的函数列表：

这里几个关键函数我都做了注释，里面有非常多的代码值得学习，比如fs:[eax]这种获取kernel32基址的方法，以及建立shellcode的导入函数表，运行时动态获取当前指令地址，从而实现在shellcode中寻址与shellcode加载地址无关。

这里几乎找全了shellcode中的所有函数，通过Xrefs分析，还是没有哪里调用了FindFunctions等关键函数，也就是没有找到入口。只能在IDA代码text视图下，一点点的看，终于在00000CDD处找到一段没有定义的数据字节。按C，定义为code后：

Great！入口点应该就在这里了。因为其他地方出了字符串表和00字节，没有多余的疑似未定义代码了。

OD载入，断点在00401518处，修改EBP为0012DF30。F8到00401519，修改当前栈上0012DF34处的值为0012DF30+CDD。然后F9，直接弹出对话框，key就在这里啦！