CTF Chal1 2020

Cette année j'ai décidé de me lancer dans prologin. Je suis en train de m'attaquer au CTF#1 qui consiste visiblement en l'analyse d'un executable. J'ai donc commencé à le désassembler et rapidement je me suis rendu compte qu'il a été obfusqué volontairement:

1
2

     00443f88 6a 02           PUSH       0x2 
     00443f8a 58              POP          RAX

A la place de:

1

    00443f88 ?? ??            MOV       RAX,0x2

J'ai donc clairement l'impression que ce code n'est pas fait pour être lu. En plus quand on regarde la correction de 2018#3 (https://prologin.org/static/archives/2018/questionnaire/challenges.pdf) le code était nettement plus clair!

J'ai évidemment passé l'executale sous strace et j'ai compris que le fichier "toto.txt" a quelque chose à voir là dedans et que (probablement) son contenu est passé dans une énorme fonction de vérification completement illisible (à l'adresse 0x00443de2).

N'étant pas très familier de ce site, je voulais savoir si le programme doit être désassemblé, ou s'il y a un autre moyen?

Il te faut approfondir l'etude de strace ! Et tu trouvera la solution !

D'accord merci! :)

Bon alors effectivement cet executable s'auto-modifie, c'est vraiment pas pour le commun des mortels ^^

ahah il se peut qu'il réagisse différemment en fonction d'éléments exterieurs ;)

Y'a une différence entre réagir differement selon l'exterieur et se modifier à la volée xD Là c'est juste un fou qui a fait ça

Ca ne se modifie pas à la volée ! Viens sur discord, je suis curieux de savoir ce que tu as compris ! Warior-Z#0948