[原创]第六题追凶者也-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]第六题追凶者也

2018-12-11 18:27 2306

[原创]第六题追凶者也

Kael

2018-12-11 18:27

2306

首先找到注册码判断点

  strcpy(Text, "try again!");
  strcpy(Caption, "fail");
  String = 0;
  v6 = 0;
  v7 = 0;
  v8 = 0;
  v9 = 0;
  v10 = 0;
  v11 = 0;
  GetDlgItemTextA(hDlg, 1001, &String, 20);
  v4 = 0;
  for ( i = 0; i < 20; ++i )
    v4 += *(&String + i);
  if ( v4 > 0 && v4 < 4132 )
  {
    v1 = malloc(v4);
    sub_401020();
    j___free_base(v1);
  }
  return MessageBoxA(0, Text, Caption, 0);

但奇怪的是几乎什么都没做就直接弹出失败信息

仔细分析发现原来在GetDlgItemTextA内有一处HOOK，在GetWindowTextA后直接跳转到了别的地方对注册码进行判断（程序启动时创建了一个线程对这里进行HOOK）

74F56B36 >  8BFF            MOV EDI,EDI
74F56B38    55              PUSH EBP
74F56B39    8BEC            MOV EBP,ESP
74F56B3B    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
74F56B3E    FF75 08         PUSH DWORD PTR SS:[EBP+8]
74F56B41    E8 7486FCFF     CALL GetDlgItem
74F56B46    85C0            TEST EAX,EAX
74F56B48    74 0E           JE SHORT 74F56B58
74F56B4A    FF75 14         PUSH DWORD PTR SS:[EBP+14]
74F56B4D    FF75 10         PUSH DWORD PTR SS:[EBP+10]
74F56B50    50              PUSH EAX
74F56B51    E8 D394FAFF     CALL GetWindowTextA
74F56B56  - E9 B5AEBA8B     JMP 穿甲葡萄.00B01A10
74F56B5B    007406 8B       ADD BYTE PTR DS:[ESI+EAX-75],DH
74F56B5F    45              INC EBP
74F56B60    10C6            ADC DH,AL
74F56B62    0000            ADD BYTE PTR DS:[EAX],AL
74F56B64    33C0            XOR EAX,EAX
74F56B66    5D              POP EBP
74F56B67    C2 1000         RETN 10

之后走到核心判断位置

bool __cdecl sub_401290(int a1, int a2)
{
  byte_4147D0[0] = 4;
  byte_4147D0[1] = 1;
  byte_4147D0[2] = 3;
  byte_4147D0[3] = 7;
  byte_4147D0[4] = 2;
  byte_4147D0[5] = 5;
  byte_4147D0[6] = 8;
  byte_4147D0[7] = 6;
  byte_4147D0[8] = 0;
  return sub_4015B0(a1, a2);
}

可以看到首先初始化了一个序列

04 01 03 07 02 05 08 06 00

然后经过一系列操作

bool __cdecl sub_4015B0(int a1, int a2)
{
  int i; // [esp+0h] [ebp-Ch]
  int v4; // [esp+8h] [ebp-4h]

  v4 = -858993460;
  if ( a2 % 2 )
    return 0;
  for ( i = 0; i < a2; i += 2 )
  {
    if ( *(_BYTE *)(i + a1) == 119 )
      v4 = 0;
    if ( *(_BYTE *)(i + a1) == 100 )
      v4 = 1;
    if ( *(_BYTE *)(i + a1) == 115 )
      v4 = 2;
    if ( *(_BYTE *)(i + a1) == 97 )
      v4 = 3;
    if ( !sub_401380(v4, *(char *)(i + a1 + 1) - 48) )
      return 0;
  }
  return byte_4147D0[0] == 1
      && byte_4147D0[1] == 2
      && byte_4147D0[2] == 3
      && byte_4147D0[3] == 4
      && byte_4147D0[4] == 5
      && byte_4147D0[5] == 6
      && byte_4147D0[6] == 7
      && byte_4147D0[7] == 8
      && !byte_4147D0[8];
}

使得序列变为

01 02 03 04 05 06 07 08 00

char __cdecl sub_401380(int a1, int a2)
{
  char result; // al
  signed int i; // [esp+8h] [ebp-8h]
  signed int v4; // [esp+Ch] [ebp-4h]

  if ( !a2 )
    return 0;
  v4 = 0;
LABEL_4:
  if ( v4 >= 3 )
    return 0;
  for ( i = 0; ; ++i )
  {
    if ( i >= 3 )
    {
      ++v4;
      goto LABEL_4;
    }
    if ( byte_4147D0[3 * v4 + i] == a2 )
      break;
LABEL_6:
    ;
  }
  switch ( a1 )
  {
    case 0:
      if ( v4 )
      {
        if ( byte_4147D0[3 * (v4 - 1) + i] )
        {
          result = 0;
        }
        else
        {
          byte_4147D0[3 * (v4 - 1) + i] = byte_4147D0[3 * v4 + i];
          byte_4147D0[3 * v4 + i] = 0;
          result = 1;
        }
      }
      else
      {
        result = 0;
      }
      break;
    case 1:
      if ( i == 2 )
      {
        result = 0;
      }
      else if ( byte_4147D1[3 * v4 + i] )
      {
        result = 0;
      }
      else
      {
        byte_4147D1[3 * v4 + i] = byte_4147D0[3 * v4 + i];
        byte_4147D0[3 * v4 + i] = 0;
        result = 1;
      }
      break;
    case 2:
      if ( v4 == 2 )
      {
        result = 0;
      }
      else if ( byte_4147D0[3 * (v4 + 1) + i] )
      {
        result = 0;
      }
      else
      {
        byte_4147D0[3 * (v4 + 1) + i] = byte_4147D0[3 * v4 + i];
        byte_4147D0[3 * v4 + i] = 0;
        result = 1;
      }
      break;
    case 3:
      if ( i )
      {
        if ( byte_4147CF[3 * v4 + i] )
        {
          result = 0;
        }
        else
        {
          byte_4147CF[3 * v4 + i] = byte_4147D0[3 * v4 + i];
          byte_4147D0[3 * v4 + i] = 0;
          result = 1;
        }
      }
      else
      {
        result = 0;
      }
      break;
    default:
      goto LABEL_6;
  }
  return result;
}

对上面的函数进行详细分析发现是用末尾的00对序列进行一系列的置换

注册码每两位分为一个单位，首位为操作码（w：与后三位的数置换 d：与前一位的数置换 s：与前三位的数置换 a：与后一位的数置换），第二位是操作数

观察置换前后的序列不难发现其中的置换操作：

d6：与前一位的6置换