1625-5 王子昂 总结《2017年11月28日》 【连续第424天总结】
A. 哈密顿行动Level4
B.
http://game6.iok.la/mission.asp?level=4
你的工作让我们看到了希望。通过明文,我们知道这应该是个配置文件。很明显的,我们通过文件信息里包含了应用程序的路径找到了那个神秘的EXE文件,我们立即调试它。但遗憾的是,当运行时,要求一组用户名和密码。我们不知道这个程序的用意,也许是黑客安装的后门。或许黑客通过后门进入了该电脑,又通过CUTEFTP连接了存放重要资料的主机。你的任务是分析该程序,提供一个合法的名字和密码。
很明显,逆向这个EXE得到用户名和密码
下载下来首先查壳,发现无壳,但是是VB写的
这样的话IDA就比较无力了,对于NativeCode来说
于是用VB Decompiler反编译,找到按钮点击事件:
虽然反编译的效果不是太好,不过比起汇编来说可读性已经提高很多了
倒着从结果逆推,可以看到关键的check语句是
loc_00408B68: If (var_54 = True) = 0 Then GoTo loc_00408BD1
var_54是标记变量,再往上看可以找到这里
loc_004088AD: var_248 = CBool((var_68 = var_64) And (var_34 = &H407814))
向上看可以发现:var_68就是username.text,var_64则是在最开头由字符串截取生成
loc_004080F3: var_44 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
loc_0040816F: var_FC = Mid(var_44, 40, 1)
loc_00408280: var_64 = Mid(var_44, 13, 1) + Mid(var_44, 41, 1) + var_FC + Mid(var_44, 45, 1) + Mid(var_44, 46, 1) + Mid(var_44, 31, 1) + Mid(var_44, 44, 1)
可以自己写脚本复现,也可以直接在OD中dump
而var_34则是由password计算生成:
loc_004086C9: var_29E = Asc(CStr(Mid(var_74, CLng(Mod(var_FC, var_21C, var_24 + 1, var_12C) + 1), )))
loc_004086E6: var_29E = var_29E + Asc(CStr(Mid(var_68, CLng(Mod(var_9C, var_1DC, var_24, var_CC, Me, Me, Me, Me, Me) + 1), )))
loc_0040871D: var_34 = var_34 + Chr(var_29E - 0064h)
一堆反编译失败的Mod运算,卡了我很久
最后在OD中动态调试,通过测试字符串看出了规律:
这里断的是Mid,就是取password的部分
观察可以发现,第一次取0、1,第二次取1、2,…最后一次取n、0
然后将两个字符转ascii后相加,-0x64,再以字符形式连接
要求结果与0x407814处相同:
可以看出来,长度很明显为12
分析算法可以发现,满足结果的字符串有无数个,每个字符都可以生成一个字符串
n = [82, 108, 51, 19, 24, 55, 104, 94, 58, 20, 55, 78]
def order(i):
return chr((n[i]+0x64)-ord(flag[i]))
test=ord('0')
flag = [chr(test) for x in range(12)]
for i in range(12):
flag[(i+1)%12] = order(i)
当时还没想明白,后来发现后面还有一处校验:
取首字符和末字符的ASCII相乘后,setz bl,这就有点没头没尾了
实际上反编译少了一句,OD中可以看到:
:
因此写出爆破脚本:
for test in range(33, 126):
flag = [chr(test) for x in range(12)]
# print(flag)
for i in range(12):
flag[(i+1)%12] = order(i)
if(ord(flag[0])*ord(flag[11])==0x1df1):
print("".join(flag))
选取全可见字符的作为flag,成功