HITCON CTF 2024 re AntiVirus wp clamav bytecode signature逆向

看雪学苑 · 公众号 · 互联网安全 · 2024-07-21 17:59

文章预览

hint It seems to be hard to reverse-engineer the anti-virus signature??? 一阶段一：cbc后缀是啥？ print_flag.cbc 不知道是什么格式，看起来是plaintext，都是可见ascii字符 run.sh 中出现了clamav、clamscan等关键词。首先找到clamav的官方文档（ https://docs.clamav.net/manual/Usage/Scanning.html ），得知clamav是一个反病毒引擎。然后搜工具clanscan的资料，看到一个 Debian上clanscan的手册。 ◆ --database=FILE/DIR - load virus database from FILE or load all supported db files from DIR ◆[ --bytecode-unsigned[=yes/no(*)] ]( https://manpages.debian.org/testing/clamav/clamscan.1.en.html#bytecode ) Allow loading bytecode from outside digitally signed .c[lv]d files. Caution: You should NEVER run bytecode signatures from untrusted sources. Doing so may result in arbitrary code execution. 手册指出 run.sh 中命令是加载 print_flag.cbc 这个病毒数据库，并允许加载不受信任的字节码。即 print_flag. ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博

推荐文章

信安之路 · 预编译为什么可以防御 SQL 注入？

5 天前

看雪学苑 · 马自达汽车系统漏洞引发安全危机：黑客可执行任意代码

5 天前

黑马程序员 · 科班毕业，先培训再高薪就业，跑赢同龄人！

5 天前

大纽约吃货小分队 · 小分队专属特惠！浙江广电绝美「古风」双语夏令营，我们在杭州等你！

4 月前

经济观察报 · 宝新能源原董事长宁远喜案发回重审

3 月前

东吴研究所 · 【光伏设备*周尔双】HJT叠层电池&组件项目落地南通，HJT新质生产力获政府支持

2 月前