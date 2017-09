Maintenant que nous disposons de toutes les tailles et adresses de localisation des 14 arguments de la fonction arc4, il est possible d’en extraire les valeurs à partir du dump STRINGFILE.

$ OFFSET="0x602149" $ NBYTES="0x2a" $ OFFSET=$(echo $OFFSET | cut -d 'x' -f 2) $ # A 2 bytes variable (NBYTES > 0) can be found like this: (in STRINGFILE) $ # ---------------X $ # X--------------- $ NLINES=$(( ($NBYTES / 16) +2 )) $ let LASTBYTE="0x${OFFSET:$((${#OFFSET}-1))}" $ STRING=$( grep -A $(($NLINES-1)) -E "^ ${OFFSET:0:$((${#OFFSET}-1))}0 " STRINGFILE | awk '{ print $2$3$4$5}' | tr '

' 'T' | sed -e "s:T::g") $ STRING=${STRING:$((2*$LASTBYTE))} $ # Cut the string to size $ STRING=${STRING:0:$(($NBYTES * 2))} $ # Convert to a \x??\x??: $ FINALSTRING="" $ for ((i = 0; i < $((${#STRING} /2 )); i++)); do > FINALSTRING="${FINALSTRING}\x${STRING:$(($i * 2)):2}" > done $ $ echo $FINALSTRING \xec\x7d\xb1\x9a\xbf\x1a\x2e\x10\xb9\x36\xcf\xa9\x3e\xe3\xe1\xa6\x26\xa2\x3e\x1a\x64\xd8\x3f\x82\x91\x24\xd5\xe2\xf2\x1d\x28\x0e\x78\x70\x6c\x46\xf3\x8a\x88\xeb\x28\xfd