[原创]【新年献礼】一招爆掉FlexLM签名验证-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]【新年献礼】一招爆掉FlexLM签名验证

2018-12-28 15:01 29305

[原创]【新年献礼】一招爆掉FlexLM签名验证

yangmyron

2018-12-28 15:01

29305

本人在帖子 https://bbs.pediy.com/thread-248200.htm 中提出了爆破高版本ECC的方法，有坛友觉得不易掌握。作为新年献礼，现提供一种超简单、无论是否含有ECC、适合目前能见到的几乎所有版本的爆破方法：）

将要爆破的文件拖进IDA Pro；全局查找字符串“SIGN%s=”，共有两个，且在同一函数内；找到该函数尾部的call语句，把call语句修改为“mov eax, 1”；你就拥有了全世界：）

只要伪license文件的格式正确，5字节的修改一定童叟无欺（加壳的除外）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-12-28 17:52 被yangmyron编辑，原因：

上传的附件：

test-lic.lic （2.70kb，378次下载）
无标题.jpg （91.90kb，213次下载）

收藏・39

点赞・5

打赏

最新回复 (63) 1 2 3 ▶
slan 雪币： 8 活跃值： (180) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 38 粉丝 1 关注私信	slan 1 2018-12-28 15:44 2 楼 0 SIGN%s= 是这样吗？
yangmyron 雪币： 5292 活跃值： (5917) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 193 粉丝 95 关注私信	yangmyron 2018-12-28 17:35 3 楼 1 是的，搜索时最好带上双引号最后于 2018-12-28 17:40 被yangmyron编辑，原因：上传的附件： Show.JPG （25.88kb，34次下载）
xj无敌雪币： 276 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 38 粉丝 5 关注私信	xj无敌 2018-12-28 21:27 4 楼 0 Vendor string checksum楼主遇到过吗？最近遇到一个搞不定
fawcgzmg 雪币： 88 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	fawcgzmg 2018-12-30 23:02 5 楼 0 看不懂，能否做个视频
张炜雪币： 17 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 2 关注私信	张炜 2019-1-26 20:18 6 楼 0 找到该函数尾部的call语句，这句话不是很明白，该函数尾部的call语句难道不是_security_check_cookie吗？
luzhmu 雪币： 86 活跃值： (903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 645 粉丝 7 关注私信	luzhmu 2019-1-26 21:09 7 楼 0 差点一个字节搞定了
考拉雪币： 957 活跃值： (2510) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 7 关注私信	考拉 2019-1-28 12:22 8 楼 0 有空试试看
yangmyron 雪币： 5292 活跃值： (5917) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 193 粉丝 95 关注私信	yangmyron 2019-1-31 09:15 9 楼 1 张炜找到该函数尾部的call语句，这句话不是很明白，该函数尾部的call语句难道不是_security_check_cookie吗？是的，就是修改它！修改 “call @__security_check_cookie@4 " (x86版）或“call __security_check_cookie”（x64版）为“mov eax, 1” 最后于 2019-2-1 11:17 被yangmyron编辑，原因：
yangmyron 雪币： 5292 活跃值： (5917) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 193 粉丝 95 关注私信	yangmyron 2019-2-1 11:20 10 楼 0 luzhmu 差点一个字节搞定了嗯，可惜没找到合适的位置
carlitos 雪币： 136 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 2 关注私信	carlitos 2019-2-5 20:28 11 楼 0 patching this call the software should work with a fake license file?
killpy 雪币： 83 活跃值： (1037) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2019-2-11 08:09 12 楼 0 FlexLM签名是啥玩意
lion张雪币： 205 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	lion张 2019-3-4 23:39 13 楼 0
jackchentw 雪币： 26 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 2 关注私信	jackchentw 2019-3-8 23:57 14 楼 0 請問vendor daemon要一起爆破嗎? 我的目標有一個DLL檔跟一個vendor daemon檔，我把vendor daemon用您的方式爆破後，使用lmtools做 server diags結果lmgrd debug log 出現 Invalid license key (inconsistent authentication code) 錯誤，這是甚麼問題呢? PS: 目標是使用flexlm 11.15 目前問題解決了一半" daemon的部份，我把 l_pubkey_verify patch掉，lmtools就可以得到正確的server_diags回應，所有features可以checkout 但是把主程式的dll照樣patch，卻反而使主程式一開起就閃閉。如果DLL不做patch則會出現找不到license 的錯誤。 DLL patch後，主程式視窗會出現然後立刻關閉，沒有錯誤訊息，目前正在解決這個問題，或許是case 46的部份還是需要patch 也可能。我自己搞定了。這個目標是用flexlm 11.15, vendor daemon與主程式附帶的一個DLL檔需要爆破。爆破只要用到樓主上面的方法，再加上之前另一篇文章提到的l_pubkey_verify 兩處爆破即可。但是我這個目標的主要執行檔對DLL檔有做HASH防止竄改，所以又追蹤了主程式把檢查HASH的地方爆破，可是這樣改完居然還是不行，最後進一步追蹤才發現主程式針對license file中的feature version必須是一個特定值 1.0，我原本用11.4結果不行，這個保護很婊，完全沒有任何錯誤訊息，加上我手邊沒有既有的license.dat, 只能從逆向工程中去一步一步找尋feature name，但是沒想到還是敗在version number, 還好有追出來。最后于 2019-3-9 19:00 被jackchentw编辑，原因：補充說明
nmtr 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	nmtr 2019-4-6 19:39 15 楼 0 谢谢，初步验证成功，目标程序版本11.14，32位。
hrfhrf 雪币： 2 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	hrfhrf 2019-5-23 22:45 16 楼 0 很好，膜拜，期待更好的作品
周癫雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	周癫 2019-5-28 10:45 17 楼 0 确实可行
tkschip 雪币： 9 活跃值： (1034) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	tkschip 2019-5-30 17:16 18 楼 0 yangmyron 张炜找到该函数尾部的call语句，这句话不是很明白，该函数尾部的call语句难道不是_security_check_cookie吗？是的，就 ... 大侠，我在用这个方法在linux 64的daemon找不到此特征，11.14
huzuyi 雪币： 3 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	huzuyi 2019-7-15 23:32 19 楼 1 linux下面，可以将函数返回前的xor eax, eax指令改成nop，即31 c0改为90 90 修改前：修改后：另外这里或上的值最好是由8改为1，参考源码中L_CONF_FL_VERIFIED define的值是1，最后于 2019-7-15 23:33 被huzuyi编辑，原因：
zwpcloudy 雪币： 214 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 17 粉丝 3 关注私信	zwpcloudy 2019-7-16 13:13 20 楼 0 @huzuyi 谢谢，用您的方法在Linux下确实可以用，但有个cvd类型的出现vendor端可以启动license文件，客户端软件能check license,但提示License error.
矽阳雪币： 187 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 74 粉丝 1 关注私信	矽阳 2019-8-18 09:46 21 楼 0 zwpcloudy @huzuyi 谢谢，用您的方法在Linux下确实可以用，但有个cvd类型的出现vendor端可以启动license文件，客户端软件能check license,但提示License error. 还有其它校验
mb_nxxnhzzc 雪币： 42 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	mb_nxxnhzzc 2019-12-14 00:53 22 楼 0 jackchentw 請問vendor daemon要一起爆破嗎? 我的目標有一個DLL檔跟一個vendor daemon檔，我把vendor dae ... 请教下具体流程，我也遇到了一样的问题。能否告知具体的DLL爆破方法，十分感谢。
istigatore 雪币： 57 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 106 粉丝 0 关注私信	istigatore 2019-12-16 03:30 23 楼 0 upload the vendor somewhere.. MEGA is prefered... With SIGN & SIGN2 only way is patch or inject your pubkeys...
Ames_Bond 雪币： 362 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 4 粉丝 1 关注私信	Ames_Bond 2020-1-20 10:30 24 楼 0 使用论坛扫地僧们的方法全部试过了，ECC也patch了；还是有其他验证。搞不定了...不知大家有遇到过相同的问题吗？可以确定的是，license的格式是没有问题的，用的正版license改、加了几个字节而已。已解决！！！最后于 2020-1-21 10:57 被Ames_Bond编辑，原因：
Ames_Bond 雪币： 362 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 4 粉丝 1 关注私信	Ames_Bond 2020-1-20 11:30 25 楼 0 再更新一件神奇的事情，把安装目录下涉及到Flexlm的dll，jar文件删除后使用正版license启动，依然可以正常使用。软件启动正常，license Checkout正常。可以看到版本信息，授权信息等。已解决！！！最后于 2020-1-21 10:39 被Ames_Bond编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

yangmyron

发帖

193

回帖

RANK

关注

私信

他的文章

[求助][讨论]大白补丁工具（Baymax Patch toOls）能否对FlexLM的守护神（deamon）进程注入补丁？

[分享] RLM （Reprise License Manager）的调试参数技巧

[已解决][求助]文件不知道怎么被压缩加密了，求助大家如何解压

[分享]未加混淆的FlexNet Daemon，配合v9.2 SDK源码食用更佳

[分享]Certicom公司的不同版本Java版ECC加密库

关于我们

联系我们

企业服务

看雪公众号

最新回复 (63) 1 2 3 ▶
slan 雪币： 8 活跃值： (180) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 38 粉丝 1 关注私信	slan 1 2018-12-28 15:44 2 楼 0 SIGN%s= 是这样吗？
yangmyron 雪币： 5292 活跃值： (5917) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 193 粉丝 95 关注私信	yangmyron 2018-12-28 17:35 3 楼 1 是的，搜索时最好带上双引号最后于 2018-12-28 17:40 被yangmyron编辑，原因：上传的附件： Show.JPG （25.88kb，34次下载）
xj无敌雪币： 276 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 38 粉丝 5 关注私信	xj无敌 2018-12-28 21:27 4 楼 0 Vendor string checksum楼主遇到过吗？最近遇到一个搞不定
fawcgzmg 雪币： 88 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	fawcgzmg 2018-12-30 23:02 5 楼 0 看不懂，能否做个视频
张炜雪币： 17 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 2 关注私信	张炜 2019-1-26 20:18 6 楼 0 找到该函数尾部的call语句，这句话不是很明白，该函数尾部的call语句难道不是_security_check_cookie吗？
luzhmu 雪币： 86 活跃值： (903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 645 粉丝 7 关注私信	luzhmu 2019-1-26 21:09 7 楼 0 差点一个字节搞定了
考拉雪币： 957 活跃值： (2510) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 7 关注私信	考拉 2019-1-28 12:22 8 楼 0 有空试试看
yangmyron 雪币： 5292 活跃值： (5917) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 193 粉丝 95 关注私信	yangmyron 2019-1-31 09:15 9 楼 1 张炜找到该函数尾部的call语句，这句话不是很明白，该函数尾部的call语句难道不是_security_check_cookie吗？是的，就是修改它！修改 “call @__security_check_cookie@4 " (x86版）或“call __security_check_cookie”（x64版）为“mov eax, 1” 最后于 2019-2-1 11:17 被yangmyron编辑，原因：
yangmyron 雪币： 5292 活跃值： (5917) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 193 粉丝 95 关注私信	yangmyron 2019-2-1 11:20 10 楼 0 luzhmu 差点一个字节搞定了嗯，可惜没找到合适的位置
carlitos 雪币： 136 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 2 关注私信	carlitos 2019-2-5 20:28 11 楼 0 patching this call the software should work with a fake license file?
killpy 雪币： 83 活跃值： (1037) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2019-2-11 08:09 12 楼 0 FlexLM签名是啥玩意
lion张雪币： 205 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	lion张 2019-3-4 23:39 13 楼 0
jackchentw 雪币： 26 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 2 关注私信	jackchentw 2019-3-8 23:57 14 楼 0 請問vendor daemon要一起爆破嗎? 我的目標有一個DLL檔跟一個vendor daemon檔，我把vendor daemon用您的方式爆破後，使用lmtools做 server diags結果lmgrd debug log 出現 Invalid license key (inconsistent authentication code) 錯誤，這是甚麼問題呢? PS: 目標是使用flexlm 11.15 目前問題解決了一半" daemon的部份，我把 l_pubkey_verify patch掉，lmtools就可以得到正確的server_diags回應，所有features可以checkout 但是把主程式的dll照樣patch，卻反而使主程式一開起就閃閉。如果DLL不做patch則會出現找不到license 的錯誤。 DLL patch後，主程式視窗會出現然後立刻關閉，沒有錯誤訊息，目前正在解決這個問題，或許是case 46的部份還是需要patch 也可能。我自己搞定了。這個目標是用flexlm 11.15, vendor daemon與主程式附帶的一個DLL檔需要爆破。爆破只要用到樓主上面的方法，再加上之前另一篇文章提到的l_pubkey_verify 兩處爆破即可。但是我這個目標的主要執行檔對DLL檔有做HASH防止竄改，所以又追蹤了主程式把檢查HASH的地方爆破，可是這樣改完居然還是不行，最後進一步追蹤才發現主程式針對license file中的feature version必須是一個特定值 1.0，我原本用11.4結果不行，這個保護很婊，完全沒有任何錯誤訊息，加上我手邊沒有既有的license.dat, 只能從逆向工程中去一步一步找尋feature name，但是沒想到還是敗在version number, 還好有追出來。最后于 2019-3-9 19:00 被jackchentw编辑，原因：補充說明
nmtr 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	nmtr 2019-4-6 19:39 15 楼 0 谢谢，初步验证成功，目标程序版本11.14，32位。
hrfhrf 雪币： 2 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	hrfhrf 2019-5-23 22:45 16 楼 0 很好，膜拜，期待更好的作品
周癫雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	周癫 2019-5-28 10:45 17 楼 0 确实可行
tkschip 雪币： 9 活跃值： (1034) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	tkschip 2019-5-30 17:16 18 楼 0 yangmyron 张炜找到该函数尾部的call语句，这句话不是很明白，该函数尾部的call语句难道不是_security_check_cookie吗？是的，就 ... 大侠，我在用这个方法在linux 64的daemon找不到此特征，11.14
huzuyi 雪币： 3 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	huzuyi 2019-7-15 23:32 19 楼 1 linux下面，可以将函数返回前的xor eax, eax指令改成nop，即31 c0改为90 90 修改前：修改后：另外这里或上的值最好是由8改为1，参考源码中L_CONF_FL_VERIFIED define的值是1，最后于 2019-7-15 23:33 被huzuyi编辑，原因：
zwpcloudy 雪币： 214 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 17 粉丝 3 关注私信	zwpcloudy 2019-7-16 13:13 20 楼 0 @huzuyi 谢谢，用您的方法在Linux下确实可以用，但有个cvd类型的出现vendor端可以启动license文件，客户端软件能check license,但提示License error.
矽阳雪币： 187 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 74 粉丝 1 关注私信	矽阳 2019-8-18 09:46 21 楼 0 zwpcloudy @huzuyi 谢谢，用您的方法在Linux下确实可以用，但有个cvd类型的出现vendor端可以启动license文件，客户端软件能check license,但提示License error. 还有其它校验
mb_nxxnhzzc 雪币： 42 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	mb_nxxnhzzc 2019-12-14 00:53 22 楼 0 jackchentw 請問vendor daemon要一起爆破嗎? 我的目標有一個DLL檔跟一個vendor daemon檔，我把vendor dae ... 请教下具体流程，我也遇到了一样的问题。能否告知具体的DLL爆破方法，十分感谢。
istigatore 雪币： 57 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 106 粉丝 0 关注私信	istigatore 2019-12-16 03:30 23 楼 0 upload the vendor somewhere.. MEGA is prefered... With SIGN & SIGN2 only way is patch or inject your pubkeys...
Ames_Bond 雪币： 362 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 4 粉丝 1 关注私信	Ames_Bond 2020-1-20 10:30 24 楼 0 使用论坛扫地僧们的方法全部试过了，ECC也patch了；还是有其他验证。搞不定了...不知大家有遇到过相同的问题吗？可以确定的是，license的格式是没有问题的，用的正版license改、加了几个字节而已。已解决！！！最后于 2020-1-21 10:57 被Ames_Bond编辑，原因：
Ames_Bond 雪币： 362 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 4 粉丝 1 关注私信	Ames_Bond 2020-1-20 11:30 25 楼 0 再更新一件神奇的事情，把安装目录下涉及到Flexlm的dll，jar文件删除后使用正版license启动，依然可以正常使用。软件启动正常，license Checkout正常。可以看到版本信息，授权信息等。已解决！！！最后于 2020-1-21 10:39 被Ames_Bond编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[原创]【新年献礼】一招爆掉FlexLM签名验证

已解决！！！

已解决！！！