DLL with notepad

blitz ctf로 나온 리버싱 문제로, 푸는데 조금 애먹었다.
디버거는 win64로, ida로도 나중에 한번 풀어볼 예정이다. 아니 근데 ida가 내 말을 안듣는데 어떻게 하라는거야........나도 디컴파일 하고 싶어...

문제 파일을 다운받고, 접속 사이트로 들어가보자.

접속 사이트에 있는 download를 클릭하여 또 다른 파일을 다운받도록 하자.
힌트는 시스템 시간
그런데 win64나 ollydbg로 풀어보면 알겠지만, 시스템 시간이 그렇게 중요한 정보는 되지 못했다. 아이다로 풀면 뭐가 다를려나?

?

no-need-to-download 파일에 뭐가 있나 살펴보려고 했지만 존재하지 않는 파일이라고 뜬다. 즉 파일명 그대로 쓸모없는 파일이다.ㅎㅎ....☠️
dll_with_notepad에 아무래도 플래그가 숨겨져 있는 모양이다. 압축을 해제하고, x32 디버거로 파일을 분석해보자.

notepad.exe를 실행시켜보면 그냥 평범한 메모장이 나온다. 메모장 실행 프로그램인가봄

모양이 조금 이상하지만 별로 중요한게 아니다. 이제 파일을 분석해보자.

notepad.exe에서 단축키 (alt+e)를 눌러서 해당 프로그램과 연동된 module 리스트를 살펴보도록 하자.

blueh4g13.dll 모듈이 보인다. 더블클릭해서 해당 모듈이 실행되기 시작하는 부분으로 가보자.

실행ㄱ

다시 실행버튼을 눌러보자

그럼 이렇게 메모장이 뜬다.
메모장이 실행이 되었으니 blueh4g13.dll module을 초기화되었을 것이라고 추측할 수 있다.
이제 우클릭을 누른 다음에, 참조된 문자열들을 찾아보도록 하자.


사실, 여기서 많이 헤맸다. 엄청난 삽질 끝에 결론만 말하자면 notepad.exe 아래에 있는 값이 비밀번호 값이었다. 당연히 아니라고 생각하고 여러번 찾아다녔는데, 결국 모두 삽질이었고 매우 비밀번호틱해보이는 저 문자열이 그냥 비밀번호였다.😅

auth 버튼을 눌러보면

이렇게 플래그가 뜬다.

대체 뭐하자는 문제인지 모르겠다. (이렇게 허무하게 풀리는거 내가 너무 삽질해서 풀었다고 욕하는거 아님..)