把下载的文件拖到ida
进入main函数
进行分析
int __cdecl main_0(int argc, const char **argv, const char **envp)
{
DWORD v3; // eax
DWORD v4; // eax
char Str[260]; // [esp+4Ch] [ebp-310h] BYREF
int v7; // [esp+150h] [ebp-20Ch]
char String1[260]; // [esp+154h] [ebp-208h] BYREF
char Destination[260]; // [esp+258h] [ebp-104h] BYREF
memset(Destination, 0, sizeof(Destination)); // Destination重置为0
memset(String1, 0, sizeof(String1)); // String1重置为0
//
v7 = 0;
printf("pls input the first passwd(1): ");
scanf("%s", Destination); // Destination是flag
if ( strlen(Destination) != 6 ) // 如果Destination长度需要等于6
{
printf("Must be 6 characters!\n");
ExitProcess(0);
}
v7 = atoi(Destination); // 字符串转换为整数
if ( v7 < 100000 )
ExitProcess(0);
strcat(Destination, "@DBApp"); // 在后面加上字符串
//
v3 = strlen(Destination); // v3=des的长度
sub_40100A((BYTE *)Destination, v3, String1); // sha加密
if ( !_strcmpi(String1, "6E32D0943418C2C33385BC35A1470250DD8923A9") )// 比较字符串,不区分大小写
{
printf("continue...\n\n");
printf("pls input the first passwd(2): ");
memset(Str, 0, sizeof(Str)); // 重置str
scanf("%s", Str);
if ( strlen(Str) != 6 )
{
printf("Must be 6 characters!\n");
ExitProcess(0);
}
strcat(Str, Destination); // 在str后追加des
memset(String1, 0, sizeof(String1)); // 重置str1
v4 = strlen(Str); // v4=str的长度
sub_401019((BYTE *)Str, v4, String1); //还是sha1加密
if ( !_strcmpi("27019e688a4e62a649fd99cadaafdb4e", String1) )// 由于无法爆破,所以这一行哈希值代码我们无法利用,只能跳过
下面又有一个函数sub_40100F,点进去看一看
{
if ( !(unsigned __int8)sub_40100F(Str) ) // 一个函数,返回值不能等于0
{
printf("Error!!\n");
ExitProcess(0);
}
printf("bye ~~\n");
}
}
return 0;
}
进入 sub_40100A函数,查资料ALG_ID (Wincrypt.h) - Win32 apps | Microsoft Learn发现是sha1加密
学一下hashlib模块的用法,我们可以用python中的hashlib模块把前六位密码爆破出来(100001-999999),写第一个密码的脚本
结果为123321@DBApp
前六位是123321
第二个密码我们不知道输入的是什么
进入sub_40100F函数
进入sub_401005函数
resourcehacker汉化版-resourcehacker 5.1.7绿色汉化版下载 附使用教程 - 多多软件站 (ddooo.com)
下载hacker
char __cdecl sub_4014D0(LPCSTR lpString)
{
LPCVOID lpBuffer; // [esp+50h] [ebp-1Ch]
DWORD NumberOfBytesWritten; // [esp+58h] [ebp-14h]
DWORD nNumberOfBytesToWrite; // [esp+5Ch] [ebp-10h]
HGLOBAL hResData; // [esp+60h] [ebp-Ch]
HRSRC hResInfo; // [esp+64h] [ebp-8h]
HANDLE hFile; // [esp+68h] [ebp-4h]
hFile = 0;
hResData = 0;
nNumberOfBytesToWrite = 0;
NumberOfBytesWritten = 0;
hResInfo = FindResourceA(0, (LPCSTR)0x65, "AAA");
if ( !hResInfo )
return 0;
nNumberOfBytesToWrite = SizeofResource(0, hResInfo);
hResData = LoadResource(0, hResInfo);
if ( !hResData )
return 0;
lpBuffer = LockResource(hResData);
sub_401005(lpString, (int)lpBuffer, nNumberOfBytesToWrite);
hFile = CreateFileA("dbapp.rtf", 0x10000000u, 0, 0, 2u, 0x80u, 0); \\此处可以看出最后生成rtf文件
if ( hFile == (HANDLE)-1 )
return 0;
if ( !WriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, &NumberOfBytesWritten, 0) )
return 0;
CloseHandle(hFile);
return 1;
}
上图可以看出最后生成rtf文件
因为输入的密码长度为6
取前6个数05 7D 41 15 26 01
因为rtf开头都是{\rtf1\ansi......,所以取前6个字符
注意这里\r需要转意成\\r
我们得知第二个密码是~!3a@0
运行程序
得到一个rtf文件,打开得到flag
知识点:
atoi()函数,是将字符串转换为整型,然后CryptCreateHash()中有加密算法的标识符,可以上百度搜,用hashlib爆破前六位密码。
FindResourceA:
HRSRC FindResourceA(
HMODULE hModule,
LPCSTR lpName,
LPCSTR lpType
);
FindResourceA function
Determines the location of a resource with the specified type and name in the specified module.
确定具有指定类型和名称的资源在指定模块中的位置。
hModule:处理包含资源的可执行文件的模块。NULL值则指定模块句柄指向操作系统通常情况下创建最近过程的相关位图文件。
lpName:指定资源名称。
lpType:指定资源类型。
返回值:如果函数运行成功,那么返回值为指向被指定资源信息块的句柄。为了获得这些资源,将这个句柄传递给LoadResource函数。如果函数运行失败,则返回值为NULL。SizeofResource表示该函数返回指定资源的字节数大小。
LoadResource function 检索一个句柄,该句柄可用于获取指向内存中指定资源的第一个字节的指针。
一个逆向思维,从异或中发现用到最后生成的文件的前几个数据,我们知道不同文件的头部有文件特有的信息,进行一个反向异或得到第二段密码