Телеграмм чат группы r0crewKZ страница 4

Size: a a a

r0 Crew (KZ)

258 membersпожаловаться на группу

2019 July 06

Stanislav Istyagin in r0 Crew (KZ)

Thatskriptkid

Лучше самому решить)

Верно!

источник

07:35пожаловаться #1

Dmitry Makarov in r0 Crew (KZ)

Stanislav Istyagin

Там таск лёгенький по вебу чтобы кто попало не заходил, я скрипт на питоне навоял чтобы не парится https://securixy.kz/hack-faq/ctf/hackthebox-kak-poluchit-invite-kod.html/

Команда Securixy | Аудит ИБ | Pentest

HackTheBox – как получить Invite код

Добрый день, коллеги.Оговорюсь сразу, для того, чтобы не было недопониманий. Статья для тех, кто знает что такое CTF, у кого при тотальном отсутствии времени все же н

легкий для вебера, трудный для бинарщика))))

источник

07:36пожаловаться #2

Thatskriptkid in r0 Crew (KZ)

Stanislav Istyagin

Кто по реверсу силён, помогите понять таск на ХТБ https://www.hackthebox.eu/home/challenges/Reversing
Debugme

Hack The Box

Hack The Box :: Penetration Testing Labs

An online platform to test and advance your skills in penetration testing and cyber security.

ТАм используются anti-debugging техники

источник

07:36пожаловаться #3

Dmitry Makarov in r0 Crew (KZ)

но спасибо за блог, позже почитаю

источник

07:36пожаловаться #4

Thatskriptkid in r0 Crew (KZ)

Stanislav Istyagin

Кто по реверсу силён, помогите понять таск на ХТБ https://www.hackthebox.eu/home/challenges/Reversing
Debugme

Hack The Box

Hack The Box :: Penetration Testing Labs

An online platform to test and advance your skills in penetration testing and cyber security.

В самом начале, берется адрес блока PEB, и добавляется 2. Таким образом берется значение поля BeingDebugged

источник

07:38пожаловаться #5

Thatskriptkid in r0 Crew (KZ)

https://docs.microsoft.com/ru-ru/windows/win32/api/winternl/ns-winternl-_peb

Docs

_PEB

Contains process information.

источник

07:38пожаловаться #6

Thatskriptkid in r0 Crew (KZ)

typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged;

Вот тут видишь, он вторым полем идет. Если программа запущена под дебагером, то там стоит флаг, что присутствует дебагер.

источник

07:39пожаловаться #7

Thatskriptkid in r0 Crew (KZ)

Просто запачь этот кусок и всё

источник

07:39пожаловаться #8

Thatskriptkid in r0 Crew (KZ)

Я помню в IDA, писал такой мини скрипт

#Стартует приложение!
  RunTo(BeginEA());
  GetDebuggerEvent(WFNE_SUSP, -1);
  # На старте, EBX содержит адрес структуры PEB.
  ebx_addr = idc.GetRegValue('EBX')
  PatchByte(ebx_addr + 2, 0);
print "BeingDebugged field in PEB patched!"

источник

07:39пожаловаться #9

Thatskriptkid in r0 Crew (KZ)

Я про это место

источник

07:41пожаловаться #10

Thatskriptkid in r0 Crew (KZ)

Далее идет другая антидебаг техника

PEB!NtGlobalFlags

When a process is created, the system sets some flags that will define how various APIs will behave for this program. Those flags can be read in the PEB, in the DWORD located at offset 0x68 (see the reference).
By default, different flags are set depending if the process is created under a debugger or not. If the process is debugged, some flags controlling the heap manipulation routines in ntdll will be set: FLG_HEAP_ENABLE_TAIL_CHECK, FLG_HEAP_ENABLE_FREE_CHECK and FLG_HEAP_VALIDATE_PARAMETERS.
This anti-debug can be bypassed by resetting the NtGlobalFlags field.

источник

07:43пожаловаться #11

Thatskriptkid in r0 Crew (KZ)