-
-
[原创]Crackme - Acid burn初识逆向
-
2023-8-19 16:45
-
首次运行
先运行可执行文件查看软件大概的执行流程
双击运行,弹出对话框,猜测是MessageBox
点击确定,弹出主对话框
点击Serial/Name,提示输入用户名和序列号
随机输入,弹出提示对话框,提示序列号错误。猜测提示对话框是通过MessageBox调用。
调试阶段
了解了软件执行的大体流程,就打开OD开始调试阶段。
通过首次运行中,推测点击Check it Baby!后弹出的对话框是通过MessageBox调用的,所以打开OD加载可执行文件,ALT+E 查看可执行模块。
找到主模块右键查看名称,即可查看到主模块中调用的函数。
搜索MessageBox,并在每个参考上设置断点。
Alt + b 查看所有断点。F9运行程序。
通过函数入参可以看出是首次运行时弹出的第一个对话框。按F9再次执行,首个对话框弹出。
点击Serial/Name,随机输入用户名和序列号,点击Check it Baby!,再次停在MessageBox断点处。通过函数入参,可以发现是检验用户名和序列号后弹出的对话框文本。
在栈中查看函数返回地址,返回调用函数,右键 --> 反汇编窗口中跟随
向上查看汇编指令,可以看到MessageBox的文本参数。jnz short 0042FB1F是关键跳,表示结果不相等则跳转到0042FB1F处。
将关键跳使用nop填充后运行,随机输入用户名和序列号,发现验证成功,该方法是爆破。
在上面几个call下断点,逐个分析,发现疑似序列号文本。
输入用户名和对应的序列号发现验证成功。
在栈中 EBP-4,EBP-8,EBP-18的数据,分别是序列号的三部分,通过反汇编窗口0x0042FAC5内存位置可以看出获取了EBP-18内存地址。在此处下断点重新运行。
单步调试可以发现,代码逻辑是先获取EBP-18的内存地址赋值到edx寄存器,然后取内存地址为0x00431750的四个字节内容赋值到eax寄存器。
单步步过0x0042FACD内存地址处call。查看栈EBP-18位置,序列号第二部分4018被赋值到EBP-18位置。也就是说内存地址为0x00431750的值0x0FB2经过了0x0042FACD内存地址处call计算得出4018。其实就是做了进制转换,将十六进制转换成了十进制。
那么就需要知道内存地址为0x00431750是什么时候得到此值的,看上面的汇编指令。在0x0042FA87内存地址处下断点,重新运行。可以发现0x00431750现在值为0x29
单步运行,将我们输入的用户名字符串地址赋值给寄存器eax,然后取用户名第一个字节(ASCII码)乘0x29,将结果乘2,最后 赋值回0x00431750
0x29是固定值,所以整体算法逻辑就是,0x00431750 = 取用户名第一个字节 * 0x29 * 2,将0x00431750取四个字节十六进制转换成十进制,就得到了序列号第二部分,最后拼接字符串CW-XXX-CRACKED。
注册机
c++
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 | #include <iostream>#include <string>using namespace std;int main(){ while (true) { printf("请输入用户名:"); string szName; cin >> szName; if (szName.size() < 4) { printf("用户名长度小于4,请重新输入!\r\n"); continue; } unsigned int nTmp = 0x29; //取第一个字节 unsigned int nFirst = szName[0]; unsigned int nSecondRes = nTmp * nFirst * 2; char szSecond[255] = {}; itoa(nSecondRes, szSecond, 10); string szFirst = { "CW-" }; string szFinal = { "-CRACKED" }; string szSerialNumber; szSerialNumber.append(szFirst).append(szSecond).append(szFinal); printf("序列号为:%s\r\n", szSerialNumber.c_str()); } return 0;} |
汇编
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 | .586.model flat,stdcalloption casemap:none include windows.inc include user32.inc include kernel32.inc include Resource.inc include msvcrt.inc includelib user32.lib includelib kernel32.lib includelib msvcrt.libWinMain proto :DWORD.datag_szUserName db 256 dup(0)g_szErrorInfo db "用户名个数小于4,请重新输入",0g_nBase dd 0g_szFirst db "CW-",0g_szFinal db "-CRACKED",0g_szSecond db 256 dup (0)g_szTmp db "%d",0g_szResult db 256 dup (0).code;对话过程函数DlgProc proc hWnd:HWND,nMsg:UINT,wParam:WPARAM,lParam:LPARAM .IF nMsg == WM_COMMAND mov eax,wParam .IF ax == IDB_GENERATE ;获取用户名编辑框中的文本 invoke GetDlgItemText,hWnd,IDE_NAME,offset g_szUserName,255 .IF eax < 4 invoke MessageBox,NULL,offset g_szErrorInfo,NULL,MB_OK mov eax,FALSE ret .ENDIF ;取用户名文本首字节 movzx eax,byte ptr [g_szUserName] mov dword ptr [g_nBase],29h imul dword ptr [g_nBase] mov dword ptr[g_nBase],eax mov eax,dword ptr[g_nBase] add dword ptr[g_nBase],eax invoke crt_sprintf,offset g_szSecond,offset g_szTmp,dword ptr[g_nBase] invoke crt_strcat,offset g_szResult,offset g_szFirst invoke crt_strcat,offset g_szResult,offset g_szSecond invoke crt_strcat,offset g_szResult,offset g_szFinal ;设置序列号 invoke SetDlgItemText,hWnd,IDE_SERIAL,offset g_szResult ;清空序列号 mov byte ptr [g_szResult],0 .ELSEIF ax == IDB_CANCEL invoke EndDialog,hWnd,0 mov eax,FALSE ret .ENDIF .ELSEIF nMsg == WM_CLOSE invoke EndDialog,hWnd,0 .ENDIF mov eax,FALSE retDlgProc endpWinMain proc hInst:HINSTANCE ;创建模态对话框 invoke DialogBoxParam,hInst,IDD_DLG1,NULL,offset DlgProc,0 retWinMain endp;程序入口点start: invoke GetModuleHandle, NULL invoke WinMain,eax invoke ExitProcess,eaxend start |
刚刚接触逆向的小白,编程能力还有待提升,记录一下学习过程。欢迎大佬给予意见,感谢。目标程序已上传附件。
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
感谢您的建议,我会注意 
|
