-
-
[原创]Wibu Codemeter 7.3学习笔记——Codemeter服务端
-
发表于: 2022-12-31 23:58
-
看完了回个贴呗,你们的关注是我更新的动力
0x00 准备
CodeMeter.exe Win32 v7.30
IDA Pro
0x01 初见——反调试
之前我说Codemeter的反调试很猛,我收回。Scylla Hide调至VMP档,运行后将爆出的几个错误全部Pass to the Application && Do not suspend or log即可
0x02 初见——从何入手(通信协议部分)
有了前面分析的经验,感觉还是从通信协议入手比较好,顺便看看咱跟人家写的有什么差距。根据前面的分析,我们知道了Codemeter私有协议中最终要的两个函数就是encrypt_telegram和decrypt_telegram。服务器接受到客户端的请求那就必定调用decrypt_telegram解密,向客户端回复数据必定通过encrypt_telegram解密。因此我们第一步就需要确定这两个函数。
用Bindiff就可以轻而易举的解决这个问题。
先对decrypt_telegram下断,跑起来看看谁调用她。然后我们就轻而易举的找的了这个函数
对encrypt_telegram下断,断在这里
查看decrypt_package和encrypt_package的交叉引用,有一个函数同时引用这两个函数
这不由得让我们联想到send_cm_socket_req函数,以为轻松秒杀。但事情真的由这么简单吗?在这个cm_client_encrypt_req中是先调用encrypt_package加密数据包再发送、接收,最后在decrypt_package。这显然与我们对Codemeter服务器加解密逻辑相违背,服务器应当先接受客户端得请求、解密、进行处理之后再加密数据包发送给客户端。因为cm_client_encrypt_req在运行中不会被调用,我怀疑这只是未被移除的测试代码,但cm_client_encrypt_req却是一块敲门砖,观察她得交叉引用
引用不少,凭借直觉以及一眼丁真的分析,大概所有得codemeter api都得跟她有一腿。看看她是如何被调用的
(api_cm_access_2)
这调用方式不由得让我们联想起她同父同母的亲兄妹send_cm_socket_req,*buf+36便是API code(此处 100对应CmAccess2)。但不必花太长时间重命名一下函数,这只是一块敲门砖,用完就扔,我们就重点分析一下api_cm_access_2。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
简单的标注一下常用的API
|
|
|
|
|
|
0x03 CodeMeter所特有的ECDSA 吐槽一下,FindCrypt貌似不支持ECDSA算法。
其中我们主要关注checkECDSASignature ECDSAEncrypt ECDSASign这几个函数,因为ECDSA算法的原理及其实现论坛上一抓一大把,我这里只说说这些函数在CodeMeter中的用处以及定位方法 checkECDSASignature BOOL __cdecl checkECDSASignature(
char *ecdsa,
unsigned __int8 *pubKey,
unsigned __int8 *pbSignature,
unsigned __int8 *mabDigest)
{
BOOL result; // eax
void *curve_n; // [esp+10h] [ebp-A8h] BYREF
void *curve_G_y; // [esp+14h] [ebp-A4h] BYREF
void *curve_G_x; // [esp+18h] [ebp-A0h] BYREF
__int128 pSignature_2[2]; // [esp+1Ch] [ebp-9Ch] BYREF
char a2[16]; // [esp+3Ch] [ebp-7Ch] BYREF
__int128 v10; // [esp+4Ch] [ebp-6Ch]
int pSignature_1[7]; // [esp+5Ch] [ebp-5Ch] BYREF
int pubkey[4]; // [esp+78h] [ebp-40h] BYREF
__int128 v13; // [esp+88h] [ebp-30h]
char plaintext[4]; // [esp+98h] [ebp-20h] BYREF
result = sub_B1C960(ecdsa, (int)pubKey, 32);
if ( result )
{
bignum_copy((int)pSignature_1, pbSignature, 0x1Cu);
bignum_copy((int)pSignature_2, pbSignature + 32, 0x1Cu);
bignum_copy((int)plaintext, mabDigest, 0x1Cu);
get_ecdsa_curve(&curve_n, &curve_G_x, &curve_G_y);
result = bignum_compare_int((int)pSignature_1, (int)curve_n, 7);
if ( !result )
{
result = bignum_compare_int((int)pSignature_1, 0, 7);
if ( result != 3 )
{
result = bignum_compare_int((int)pSignature_2, (int)curve_n, 7);
if ( !result )
{
result = bignum_compare_int((int)pSignature_2, 0, 7);
if ( result != 3 )
{
sub_B1FBE0(pSignature_2, (int)a2, curve_n, 7);
sub_B1FE90((int)plaintext, (int)a2, curve_n, 7);
sub_B1FE90((int)a2, (int)pSignature_1, curve_n, 7);
bignum_copy((int)pubkey, pubKey, 0x1Cu);
bignum_copy((int)pSignature_2, pubKey + 32, 0x1Cu);
result = init_ecdsa_curve_G(ecdsa, a2, 7, pubkey, pSignature_2);
if ( result )
{
*(_OWORD *)a2 = *(_OWORD *)ecdsa;
v10 = *((_OWORD *)ecdsa + 1);
pSignature_2[0] = *((_OWORD *)ecdsa + 2);
pSignature_2[1] = *((_OWORD *)ecdsa + 3);
*(_OWORD *)pubkey = *((_OWORD *)ecdsa + 4);
v13 = *((_OWORD *)ecdsa + 5);
result = init_ecdsa_curve_G(ecdsa, plaintext, 7, curve_G_x, curve_G_y);
if ( result )
{
result = sub_B1BC30(ecdsa, a2, (int)pSignature_2, (int)pubkey);
if ( result )
{
result = bignum_compare_int((int)(ecdsa + 64), 0, 7);
if ( result != 3 )
{
init_ecdsa_curve_p(ecdsa);
result = bignum_compare_int((int)ecdsa, (int)pSignature_1, 7);
if ( result == 3 )
return 1;
}
}
}
}
}
}
}
}
}
return 0;
}用处: client CmValiateSignature验证签名 server License授权校验 Licensor Public Key检查 etc 破解方法: 函数尾xor eax,eax改成mov al,1 就能爆掉证书检查
定位方法:
(未完待续)
最后于 2023-1-3 16:50
被ericyudatou编辑
,原因:
|
|
|
|
|
|
|
|
|
更,看着答辩一样的代码快吐了,缓两天 |
|
|
|
|
|
最新版本7.5和7.3差异挺大,Licensor Public Key Signature is invalid. 字符串都找不到 |
|
|
可以试试搜截图里头的常数 |
|
|
最新版本那些常数都已经搜不到了,我看变动还挺大的,以前能找到的导入license的那些读取系统变量的也都找不到了,大概率重写了 |
|
|
有license就能做出永久的假服务器 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
楼主,请教下,0x03 CodeMeter所特有的ECDSA 吐槽一下,FindCrypt貌似不支持ECDSA算法。这些算法是如何定位 的,用什么工具可以找到这些算法,谢谢。 |
