[Bot]

Hola je suis sur un ctf
Je suis bloqué ici
`75CE61C0 | 8BFF | mov edi,edi | WriteProcessMemory
75CE61C2 | 55 | push ebp |
75CE61C3 | 8BEC | mov ebp,esp |
75CE61C5 | 5D | pop ebp |
75CE61C6 | FF25 2013D375 | jmp dword ptr ds:[ | jmp WriteProcessMemory`

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

Sujet

[Bot]

j’ai vite fait commencé, X64 dbg puis je suis allé dans Symboles -> Kernel32.dll puis j’ai cherché WriteProcess Memory pour injecter le programme 2

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

faut que tu mettes un break point sur le WriteProcessMemory 75CE61C0 | mov edi, edi

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

c’est pas nouveau, surtout en RunPe

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

c’est exactement ce que j’ai fait

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

mais rien n’apparait

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

t’as run ?

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

ha merde

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

si mais il me faut la stdcall ()

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

mais run

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

ca a freez

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

`1: [esp+4] 0000010C
2: [esp+8] 00400000 ch21.00400000
3: [esp+C] 00460714
4: [esp+10] 00000400
5: [esp+14] 00000000`

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

oe j’ai ca

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

et maintenant faut que je suive l’adresse du buffer dans la vue hexa ?

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

c’est bien ca ?

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

oui et dump

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

et puis faut pas que t’oublies d’ajouter PEbegin et le PEend !

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

😆

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

j’en ai payé les frais oui

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

savedata « C:UsersAdministrateurDocumentschall.exe », PEbegin, PEend – PEbegin

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

il est chiffré

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

le programme 2 oui

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

celui de dump

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

yep

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

mnt t’as plus qu’à check le code et solve le chall

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

`push offset Str2 ; « sc>?650xEVD0}_E0&!) »
push eax ; Str1
call strcmp
add esp, 10h
est eax, eax
jnz short loc_40155B`

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

je crois pas non

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

t’as pas tout pris

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

la, la chaine comparée est **push** (push offset Str2 )

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

`push offset Str2 ; « sc>?650xEVD0}_E0&!) »
push eax ; Str1
call strcmp
add esp, 10h
est eax, eax
jnz short loc_40155B
sub esp, 0Ch
push offset Str ; « *6DDD P *@F (:?[ &D6 E9:D 2D 7=28 »
call sub_401488
add esp, 10h
sub esp, 0Ch
push offset Str ; « *6DDD P *@F (:?[ &D6 E9:D 2D 7=28″`

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

autant pour moi

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

oui, plus qu’à identifier le chiffrement n’est ce pas ?

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

oe si mes souvenirs sont bons c’est du rot-47

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

il me semble que c’est du rot 47

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

si mes souvenirs sont bons

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

Bonne mémoire

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

😆

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

done

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

https://tenor.com/view/leon-edwards-headshot-bang-done-ufc-gif-26539423

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Bot]

encore merci

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

👍

——————–
revxx6 – Envoyé depuis le Discord : Culte du code

[Bot]

——————–
0xL5x9 – Envoyé depuis le Discord : Culte du code

[Auteur]

Réponses