-
-
[原创]KCTF2022签到题
-
发表于: 2022-5-12 09:01
-
最近在看《加密与解密》,也在学习IDA的使用。
此题正好和书中的例子类似,一段自解密的代码,可以使用IDC脚本进行修复。
之前也没做过,拿到题目,首先验证了以下用户名和序列号的正确性,也发现成功以后按钮就禁用了。
可以想到EnableWindow函数。
随后随意进行输入,发现虽然是错误的,但是按钮还是禁用了。
这种文本框取文本的操作,一般想到的就是GetDlgItemTextA之类的。
直接拖进IDA看一下导入表。
果然是有的,然后直接开始动态调试吧。
随意键入,然后在取文本函数的地方下个断点,点击check。
果然就断下了。F8往下走吧,可以看见连续的2个调用。取消断点即可。
通过观察寄存器,可以看见这一段是用来限制输入的长度。
其中用户名>0,序列号<=14
随后F8往下走吧,走到结束即可。看下整体流程,不用关心那么多细节。
然后就遇到了异常,还有没见过的指令aaa。抱着试一试的心态,继续F8,没想到直接就提示失败了。
好在有参照物,直接输入给定的用户名和序列号。走到同样的位置,发现指令大不相同。
而且还是经过上面的call以后。那么可以断定上面的函数是用来修改代码的。
重新跑一遍,注意看参数。
0X4BC,0x195,0x4015D2。
走进去看看,注意看寄存器,可以知道0x195和循环次数相关。也就是 0x195>>2 = 0x65
再看IDA吧。
进入这个call,然后F5反编译一下。
1 2 3 4 5 6 7 8 | unsigned int __cdecl sub_4017E0(_DWORD *a1, unsigned int a2, int a3){ unsigned int result; // eax for ( result = a2 >> 2; result; --result ) *a1++ ^= a3; return result;} |
清晰可见的代码。对指定位置循环异或一个数据。
这就可以用IDC解密一下了。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | #include<idc.idc>static main(){ auto addr = 0x4015D2; auto place = 0; auto temp = 0; for(place = addr;place<0x401766;place = place+0x4) { temp = Dword(place); temp = temp^0x4BC; Message("%X\n",temp); PatchDword(place,temp); }} |
其中0x4015D2 + 0x65*4 = 0x401766
运行一下,然后对0x4015D2-0x401766处全部按键C进行反汇编。
解密以后,对比下OD相同位置处,结果一致,说明脚本是没问题的。
有一点需要注意的是,我们刚才是在GetDlgItemTextA处断下的,随后一直走,都是在一个函数段里面。
此时IDA里面按键g跳到OD里面的地址处:0x40145D
还没有看见函数开头,继续往上翻一翻。
可以看见类似于函数头的
1 2 | push ebpmov ebp,esp |
注意看交叉引用,是从DialogFunc跳转过来的,过去看看。
那么可以确定401340处是一个函数了。
按键ESC,可以跳转回来,然后在401340处按键P修改为函数。
成功了,很多变量啥的。直接F5反编译看看。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 | int __cdecl sub_401340(HWND hDlg){ int result; // eax unsigned int Value; // [esp+20h] [ebp-3B8h] int v3; // [esp+2Ch] [ebp-3ACh] int v4; // [esp+34h] [ebp-3A4h] signed int v5; // [esp+38h] [ebp-3A0h] UINT v6; // [esp+3Ch] [ebp-39Ch] HWND hWnd; // [esp+4Ch] [ebp-38Ch] HWND hWnda; // [esp+4Ch] [ebp-38Ch] char Buffer; // [esp+54h] [ebp-384h] BYREF char v10[199]; // [esp+55h] [ebp-383h] BYREF CHAR v11; // [esp+11Ch] [ebp-2BCh] BYREF char v12[199]; // [esp+11Dh] [ebp-2BBh] BYREF char v13[36]; // [esp+1E4h] [ebp-1F4h] BYREF int v14[50]; // [esp+208h] [ebp-1D0h] BYREF CHAR String; // [esp+2D0h] [ebp-108h] BYREF char v16[199]; // [esp+2D1h] [ebp-107h] BYREF char v17[16]; // [esp+398h] [ebp-40h] BYREF char Destination; // [esp+3A8h] [ebp-30h] BYREF int v19; // [esp+3A9h] [ebp-2Fh] int v20; // [esp+3ADh] [ebp-2Bh] int v21; // [esp+3B1h] [ebp-27h] int v22; // [esp+3B5h] [ebp-23h] __int16 v23; // [esp+3B9h] [ebp-1Fh] char v24; // [esp+3BBh] [ebp-1Dh] CPPEH_RECORD ms_exc; // [esp+3C0h] [ebp-18h] v11 = 0; memset(v12, 0, sizeof(v12)); LOBYTE(v14[0]) = 0; memset((char *)v14 + 1, 0, 0xC7u); Buffer = 0; memset(v10, 0, sizeof(v10)); String = 0; memset(v16, 0, sizeof(v16)); strcpy(v17, "www.pediy.com"); Destination = 0; v19 = 0; v20 = 0; v21 = 0; v22 = 0; v23 = 0; v24 = 0; strcpy(v13, "23456781ABCDEFGHJKLMNPQRSTUVWXYZ"); v5 = GetDlgItemTextA(hDlg, 1001, &String, 201); v6 = GetDlgItemTextA(hDlg, 1000, &v11, 201); if ( v5 > 14 || v6 == 0 ) { SetDlgItemTextA(hDlg, 1001, "Wrong Serial!"); hWnd = GetDlgItem(hDlg, 1014); EnableWindow(hWnd, 0); result = 0; } else { v14[0] = *(_DWORD *)&v16[9]; v3 = sub_4034AD(3, (int)v14); if ( dword_413000 ) sub_4017E0(&loc_4015D2, &loc_401767 - &loc_4015D2, v3); ms_exc.registration.TryLevel = 0; Value = sub_401260(&v11, v6); strncpy(&Destination, &String, v5 - 4); _ultoa(Value, &Buffer, 10); dword_413000 = 0; v4 = strcmp(&Buffer, &Destination); if ( v4 ) v4 = v4 < 0 ? -1 : 1; if ( v4 ) SetDlgItemTextA(hDlg, 1001, "Wrong Serial!"); else SetDlgItemTextA(hDlg, 1001, "Success!"); hWnda = GetDlgItem(hDlg, 1014); EnableWindow(hWnda, 0); ms_exc.registration.TryLevel = -2; result = 0; } return result;} |
还有有一些没见过的语句:ms_exc.registration.TryLevel = 0;
结合调试过程,推测是用来捕捉异常的,所以输错了还能提示失败。
经过分析,可以看见用户名经过什么操作,然后格式化为字符串,再和序列号去掉后4为进行比较。
此时注意看sub_401260就好了,用到用户名的文本以及长度。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 | int __cdecl sub_401260(char *a1, int a2){ int v2; // ecx unsigned int v3; // eax unsigned int v4; // eax unsigned int v5; // eax unsigned int v6; // eax unsigned int v7; // eax unsigned int v8; // eax unsigned int v9; // eax unsigned int v10; // eax int v11; // edx unsigned int i; // ecx char v14; // al int v16[256]; // [esp+0h] [ebp-404h] v2 = 0; do { v3 = (unsigned int)v2 >> 1; if ( (v2 & 1) != 0 ) v3 ^= 0xEDB88320; if ( (v3 & 1) != 0 ) v4 = (v3 >> 1) ^ 0xEDB88320; else v4 = v3 >> 1; if ( (v4 & 1) != 0 ) v5 = (v4 >> 1) ^ 0xEDB88320; else v5 = v4 >> 1; if ( (v5 & 1) != 0 ) v6 = (v5 >> 1) ^ 0xEDB88320; else v6 = v5 >> 1; if ( (v6 & 1) != 0 ) v7 = (v6 >> 1) ^ 0xEDB88320; else v7 = v6 >> 1; if ( (v7 & 1) != 0 ) v8 = (v7 >> 1) ^ 0xEDB88320; else v8 = v7 >> 1; if ( (v8 & 1) != 0 ) v9 = (v8 >> 1) ^ 0xEDB88320; else v9 = v8 >> 1; if ( (v9 & 1) != 0 ) v10 = (v9 >> 1) ^ 0xEDB88320; else v10 = v9 >> 1; v16[v2++] = v10; } while ( v2 < 256 ); v11 = a2; for ( i = -1; v11; --v11 ) { v14 = *a1++; i = v16[(unsigned __int8)(i ^ v14)] ^ (i >> 8); } return ~i;} |
好在,IDA非常给力,直接F5反编译成了高级代码。
直接写个Cpp吧。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 | #include<iostream>using namespace std;int __cdecl first(char *a1, int a2){ int v2; // ecx unsigned int v3; // eax unsigned int v4; // eax unsigned int v5; // eax unsigned int v6; // eax unsigned int v7; // eax unsigned int v8; // eax unsigned int v9; // eax unsigned int v10; // eax int v11; // edx unsigned int i; // ecx char v14; // al int v16[256]; // [esp+0h] [ebp-404h] v2 = 0; do { v3 = (unsigned int)v2 >> 1; if ( (v2 & 1) != 0 ) v3 ^= 0xEDB88320; if ( (v3 & 1) != 0 ) v4 = (v3 >> 1) ^ 0xEDB88320; else v4 = v3 >> 1; if ( (v4 & 1) != 0 ) v5 = (v4 >> 1) ^ 0xEDB88320; else v5 = v4 >> 1; if ( (v5 & 1) != 0 ) v6 = (v5 >> 1) ^ 0xEDB88320; else v6 = v5 >> 1; if ( (v6 & 1) != 0 ) v7 = (v6 >> 1) ^ 0xEDB88320; else v7 = v6 >> 1; if ( (v7 & 1) != 0 ) v8 = (v7 >> 1) ^ 0xEDB88320; else v8 = v7 >> 1; if ( (v8 & 1) != 0 ) v9 = (v8 >> 1) ^ 0xEDB88320; else v9 = v8 >> 1; if ( (v9 & 1) != 0 ) v10 = (v9 >> 1) ^ 0xEDB88320; else v10 = v9 >> 1; v16[v2++] = v10; } while ( v2 < 256 ); v11 = a2; for ( i = -1; v11; --v11 ) { v14 = *a1++; i = v16[(unsigned __int8)(i ^ v14)] ^ (i >> 8); } return ~i;}int main(){ string s = "KCTF"; int value = first((char*)s.c_str(),s.length()); char Buffer[10]; _ultoa(value, Buffer, 10); cout<<Buffer<<endl;} |
没想到完全不用改什么,编译就通过了。
输出为1592086348 10位
带入461D7AD538F179EE,可以得到4040328634 也是10位,正好就是给定序列号的前10位。
那就说明这一段是正确的,直接带入1592086348 + 给定序列号的后4位看看,成功了。
真是让人感叹,IDAYYDS,太好用了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
我用的是IDA7.5,版本不同,能识别的库函数有较大区别。 |
