首页
社区
课程
招聘
[旧帖] 软件收包问题 0.00雪花
发表于: 2014-3-12 14:27 10504

[旧帖] 软件收包问题 0.00雪花

2014-3-12 14:27
10504
一款公司管理软件,分主控端和服务端。服务端运行后自动连接主控端,接受主控端的控制。主控端需要用户名和密码才能登陆,现在我由用户登陆pathc到直接不用输用户和密码,直接点确定就可以打开主控端界面。现在运行服务端后,主控端能看到服务端有IP交互,但没上线,而且听到服务端下线的声音。我抓包分析了下,正常上线时收包完整包括对方计算机IP和名称等。如图:
这是正常上线的图。


而pach后的也有收包但没IP,也没计算机名称。如图,不正常的图

抓了两张包图,正常上线和异常的两张,OD数据窗口就是截获的包请各位大牛说说,弄了好几天,不知如何处理。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
有知道的大牛吗如何着手分析和解决呀说下思路
2014-3-12 18:10
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
都一天了,有路过的大牛指点下啊。谢谢了 汗。。。。
2014-3-13 14:43
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
1.这个是正常包,可以上线。

来源地址:127.0.0.1:2493
目标地址:127.0.0.1:9828
数据包大小:128
HEX数据:
45 4D 53 47 30 30 31 32 6C 00 00 00 00 00 00 00 6C 00 00 00 3C 4D 73 67 30 30 31 32 3E 38 37 3C 2F 4D 73 67 30 30 31 32 3E 31 32 31 38 24 66 25 77 68 24 31 32 37 2E 30 2E 30 2E 31 7C 50 43 32 30 31 32 31 32 32 33 31 36 4C 55 44 7C 31 3C 66 77 68 3E CE D2 B5 C4 B6 AB B6 AB 0D 0A 7C 38 30 30 7C 36 30 30 7C 31 31 2E 32 7C 30 7C 31 7C 33 43 42 33 33 39 37 45 41 38 7C 31 36 39 7C 7C 30
ASCII数据:
EMSG0012l.......l...<Msg0012>87</Msg0012>1218$f%wh$127.0.0.1|PC2012122316LUD|1<fwh>..........|800|600|11.2|0|1|3CB3397EA8|169||0

2.这个是不正常包。无法连接上。

来源地址:127.0.0.1:2537
目标地址:127.0.0.1:9828
数据包大小:52
HEX数据:
45 4D 53 47 30 30 31 31 20 00 00 00 00 00 00 00 20 00 00 00 3C 4D 73 67 30 30 31 31 3E 31 31 3C 2F 4D 73 67 30 30 31 31 3E 31 39 31 30 24 66 25 77 68 24 31
ASCII数据:
EMSG0011............<Msg0011>11</Msg0011>1910$f%wh$1

求大牛们指点下思路。谢谢了
2014-3-13 21:44
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
有人吗解决不了啊,收到的包不完整,请大牛出招啊
2014-3-19 10:01
0
雪    币: 43
活跃值: (87)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
认真分析 认真抓包 不要放过每一个包 不要放过每一个字节
另外, 每一个事件也要认真的分析 - 你不是说会滴的一声下线嘛?

hook playsounda, 后查看调用堆栈,
在分析是如何判断下线的
另外, 下线就证明已经上过线了
2014-3-19 11:03
0
雪    币: 43
活跃值: (87)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
另外如果你只是要无需密码登陆patch的话(不是封包模拟整个客户端)
我可以告诉你一个简单的方法

用res编辑器吧用户名和密码都设置进去
然后在软件启动的时候加一个asm代码比如 sendmessage按下登陆键

搞定, 手工
2014-3-19 11:06
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
看数据,感觉像是gh0st衍生的作品.
对比下通讯协议卡在哪步了.先别着急debug
2014-3-19 14:44
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
从抓包看 应该是漏过了一下报文交互之类的东西。初步判断卡在了服务端验证这一块,先HOOK住所有发送和接收的包入手分析。
2014-3-20 16:26
0
雪    币: 23
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
先把协议头去掉:),我自制的玩具能动态分析
2014-3-21 01:50
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
晚上我上传各位分析下,看有好的办法没
2014-3-21 13:58
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
软件在附件。里面有详细说明,请各位大牛赐招,谢谢。关键是上线问题。

附件两个包:主控端和被控端。
上传的附件:
2014-3-21 14:50
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
服务端和主控端交互下哪个断点比较好呢
2014-3-25 15:40
0
雪    币: 53
活跃值: (234)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
本地的包啊!
2014-3-25 16:52
0
雪    币: 86
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
有什么办法吗
2014-3-28 20:42
0
游客
登录 | 注册 方可回帖
返回
//