20211028gfsj_re_easyhook

最新推荐文章于 2024-07-13 10:38:18 发布
最新推荐文章于 2024-07-13 10:38:18 发布
阅读量829 收藏
点赞数
文章标签: mysql php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leong_Vinson/article/details/123896957
版权

运行一下熟悉流程,拿去查壳发现无壳,C++编译32位

拿去IDA看一下伪代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  HANDLE v4; // eax
  DWORD NumberOfBytesWritten; // [esp+4h] [ebp-24h]
  char Buffer; // [esp+8h] [ebp-20h]

  sub_401370(aPleaseInputFla);
  scanf(a31s, &Buffer);
  if ( strlen(&Buffer) == 19 )//输入长度19
  {
    sub_401220();
    v4 = CreateFileA(FileName, 0x40000000u, 0, 0, 2u, 0x80u, 0);
    WriteFile(v4, &Buffer, 0x13u, &NumberOfBytesWritten, 0);
    sub_401240(&Buffer, &NumberOfBytesWritten);//flag与NumberOfBytesWritten有关?
    if ( NumberOfBytesWritten == 1 )
      sub_401370(aRightFlagIsYou);
    else
      sub_401370(aWrong);
    system(aPause);
    result = 0;
  }
  else
  {
    sub_401370(aWrong);
    system(aPause);
    result = 0;
  }
  return result;
}

signed int __cdecl sub_401240(const char *a1, _DWORD *a2)
{//a1=Buffer,a2=NumberOfBytesWritten
  signed int result; // eax
  unsigned int v3; // kr04_4
  char v4[24]; // [esp+Ch] [ebp-18h]

  result = 0;
  strcpy(v4, "This_is_not_the_flag");//strlen(v4)=20
  v3 = strlen(a1) + 1;
  if ( (signed int)(v3 - 1) > 0 )
  {
    while ( v4[a1 - v4 + result] == v4[result] )
    {//a1=v4
      if ( ++result >= (signed int)(v3 - 1) )
      {
        if ( result == 21 )
        {
          result = (signed int)a2;
          *a2 = 1;//NumberOfBytesWritten=1
        }
        return result;
      }
    }
  }
  return result;
}

发现sub_401240()只是类似于strcmp函数,不是加密所在,这已经是加密后用来对比了,往前看看上面三条语句。后面两个为API函数。API函数可以不管,因为它只是进行了打开文件和写入数据操作。重点看sub_401220。

HANDLE CreateFileA(
  LPCSTR                lpFileName,				//要创建或打开的文件或设备的名称
  DWORD                 dwDesiredAccess,		//所请求的对文件或设备的访问,可以分为读、写或者合在一起,0x40000000表示写
  DWORD                 dwShareMode,			//请求共享模式。对其属性或扩展属性的访问请求进行约束,0表示阻止其他进程在请求删除,读取或写入访问时打开文件或设备。
  LPSECURITY_ATTRIBUTES lpSecurityAttributes,	//习惯为NULL
  DWORD                 dwCreationDisposition,	//对存在或不存在的文件或设备执行的操作。2表示总是创建
  DWORD                 dwFlagsAndAttributes,	//文件或设备属性和标志
  HANDLE                hTemplateFile			//具有GENERIC_READ访问权限的模板文件的有效句柄。
);

BOOL WriteFile(
HANDLE  hFile,//文件句柄,需要写入数据的文件指针
LPCVOID lpBuffer,//数据缓存区指针
DWORD   nNumberOfBytesToWrite,//要写入的字节数,0x13=19
LPDWORD lpNumberOfBytesWritten,//用于保存实际写入字节数的存储区域的指针
LPOVERLAPPED lpOverlapped//OVERLAPPED结构体指针
);

int sub_401220()
{
  HMODULE v0; // eax
  DWORD v2; // eax

  v2 = GetCurrentProcessId();//获取当前进程一个唯一的标识符
  hProcess = OpenProcess(0x1F0FFFu, 0, v2);//打开一个已存在的进程对象,并返回进程的句柄
  v0 = LoadLibraryA(LibFileName);//将指定的lib加载到调用进程的地址空间中
  dword_40C9C4 = (int)GetProcAddress(v0, ProcName);//检索指定的动态链接库(DLL)中的输出库函数地址,ProcName=WriteFile,也就是调用库中的WriteFile函数
  //返回值:如果函数调用成功,返回值是DLL中的输出函数地址。如果函数调用失败,返回值是NULL。
  lpAddress = (LPVOID)dword_40C9C4;//WriteFile函数地址
  if ( !dword_40C9C4 )
    return sub_401370((int)aApi);
  unk_40C9B4 = *(_DWORD *)lpAddress;//将WriteFile函数地址存到内存中
  *((_BYTE *)&unk_40C9B4 + 4) = *((_BYTE *)lpAddress + 4);
  byte_40C9BC = -23;//-23=0xE9	//jmp的机器码是0xE9,后面紧跟4个字节是偏移地址
  dword_40C9BD = (char *)sub_401080 - (char *)lpAddress - 5;
    //偏移地址 = 目标地址 - 当前地址 - 5
  return sub_4010D0();
}

依次进入各个函数

int __stdcall sub_401080(HANDLE hFile, LPCVOID lpBuffer, DWORD nNumberOfBytesToWrite, LPDWORD lpNumberOfBytesWritten, LPOVERLAPPED lpOverlapped)//sub_401080相当于也是个WriteFile函数
//接受哪里的参数?我们输入之后,就再也没有对输入的字符串做任何操作,所以参数应该是我们输入的字符串与字符串长度
{
  signed int v5; // ebx

  v5 = sub_401000((int)lpBuffer, nNumberOfBytesToWrite);
  sub_401140();
  WriteFile(hFile, lpBuffer, nNumberOfBytesToWrite, lpNumberOfBytesWritten, lpOverlapped);
  if ( v5 )
    *lpNumberOfBytesWritten = 1;//最终打印出“correct”是因为这个,而不是因为sub_401240()
  return 0;
}

signed int __cdecl sub_401000(int a1, signed int a2)
{//a1=输入的字符串,a2=字符串长度
  char v2; // al
  char v3; // bl
  char v4; // cl
  int v5; // eax

  v2 = 0;
  if ( a2 > 0 )
  {
    do
    {
      if ( v2 == 18 )
      {
        *(_BYTE *)(a1 + 18) ^= 0x13u;//a1[18]=a1[18]^0x13
      }
      else
      {
        if ( v2 % 2 )
        //下标奇数执行if,下标偶数执行else
          v3 = *(_BYTE *)(v2 + a1) - v2;//v3=a1[i]-i
        else
          v3 = *(_BYTE *)(v2 + a1 + 2);//v3=a1[i+2]
        
        *(_BYTE *)(v2 + a1) = v2 ^ v3;//a1[i]=i^v3
      }
      ++v2;
    }
    while ( v2 < a2 );
  }
  v4 = 0;
  if ( a2 <= 0 )
    return 1;
  v5 = 0;
  while ( byte_40A030[v5] == *(_BYTE *)(v5 + a1) )
  {//a1[i]=byte_40A030[i]
    v5 = ++v4;
    if ( v4 >= a2 )
      return 1;
  }
  return 0;
}

.data:0040A030 ; char byte_40A030[20]
.data:0040A030 byte_40A030     db 61h                  ; DATA XREF: sub_401000:loc_401051↑r
.data:0040A031                 db  6Ah ; j
.data:0040A032                 db  79h ; y
.data:0040A033                 db  67h ; g
.data:0040A034                 db  6Bh ; k
.data:0040A035                 db  46h ; F
.data:0040A036                 db  6Dh ; m
.data:0040A037                 db  2Eh ; .
.data:0040A038                 db  7Fh ; 
.data:0040A039                 db  5Fh ; _
.data:0040A03A                 db  7Eh ; ~
.data:0040A03B                 db  2Dh ; -
.data:0040A03C                 db  53h ; S
.data:0040A03D                 db  56h ; V
.data:0040A03E                 db  7Bh ; {
.data:0040A03F                 db  38h ; 8
.data:0040A040                 db  6Dh ; m
.data:0040A041                 db  4Ch ; L
.data:0040A042                 db  6Eh ; n
.data:0040A043                 db    0

exp

    int byte_40A030[20] = { 0x61, 0x6a, 0x79, 0x67, 0x6b, 0x46, 0x6d, 0x2e, 0x7f, 0x5f, 0x7e, 0x2d, 0x53, 0x56, 0x7b, 0x38, 0x6d, 0x4c, 0x6e, 0 };
    int flag[20] = { 0 };
    int v3[20];
    int i;
    flag[18] = byte_40A030[18] ^ 0x13;
    for (i = 0; i < 20; i++)
    {
        v3[i] = i ^ byte_40A030[i];
    }
    for (i = 0; i < 19; i++)
    {
        if (i % 2)
            flag[i] = v3[i] + i;
        else
        {
            if (i != 18)
                flag[i + 2] = v3[i];
        }
        printf("%c", (char)flag[i]);
    }
//lag{Ho0k_w1th_Fun}

那个“f”应该是推不出来?还是我太菜了,反正最终flag

flag{Ho0k_w1th_Fun}
v5le0n9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux can命令详解,Linux CAN编程详解
weixin_30995967的博客
04-28 2444
原文博客地址 http://velep.com/archives/1181.html通过读这篇博客是我搜索can通讯以来讲解的最详细的一篇,还有其自己写的一刻关于can控制的程序都是非常棒的,Linux 系统中CAN 接口配置在 Linux 系统中, CAN 总线接口设备作为网络设备被系统进行统一管理。在控制台下, CAN 总线的配置和以太网的配置使用相同的命令。在控制台上输入命令:ifconf...
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
20211028gfsj_re_key
Leong_Vinson的博客
04-01 654
打开运行,闪退。拿去查壳,无壳,C++编译32位。 C++看着就烦,拿去OD调试。 F9运行一下,直接到达程序结束处,但总算看得到黑窗口有什么了。 ?W?h?a?t h?a?p?p?e?n? 还有种方法可以不让它闪退。就是在cmd运行程序,而不是直接打开程序。这样就可以看到它的返回字符串且不闪退。 重新载入,右键->中文搜索引擎->智能搜索,看到很多有意义的字符串。 地址 反汇编 文本字符串 000F1043
20211013gfsj_re_EasyRE
Leong_Vinson的博客
03-27 314
exeinfoPE.exe查壳,无壳,C++编译,32位可执行文件 IDA看看 sub_401050((const char *)&unk_402158, &v7);//scanf函数 v0 = strlen((const char *)&v7);//输入的长度 if ( v0 >= 0x10 && v0 == 24 )//长度等于24 { v1 = 0; v2 = (char *)&v8 + 7; do
20211024gfsj_re_re2cpp
Leong_Vinson的博客
03-31 639
关键代码for循环,C++看得我头昏脑胀 for ( i = std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::begin(&v12); ; sub_400D7A(&i) ) { v14 = std::__cxx11::basic_string<char,std::char_traits<char>,std::allo
20211024gfsj_re_流浪者
Leong_Vinson的博客
03-31 108
查壳,32位下由C++编译的可执行文件。拿去IDA,没看到main函数,Shift+F12查看字符串,看到有意义的字符串,双击进入数据段,选中右键->Xrefs graph to查看引用这个字符串的函数。 int __thiscall sub_401890(CWnd *this) { struct CString *v1; // ST08_4 CWnd *v2; // eax int v3; // eax int v5[26]; // [esp+4Ch] [ebp-74h] int
20211017gfsj_re_mysterious
Leong_Vinson的博客
03-28 530
查壳,是32位下由C++编译的可执行文件。 试一下运行,让用户输入密码,输入点Crack一点反应都没有。 拖进IDA看看,很多函数,找不到main函数,那就Shift+F12看看有什么字符串,有一个明显成功标志“well done”,双击进到只读数据段,Ctrl+X去到引用它的汇编代码处,再F5查看伪代码。 int __stdcall sub_401090(HWND hWnd, int a2, int a3, int a4) { char v5; // [esp+50h] [ebp-310h] CH
20210928gfsj_re_getit
Leong_Vinson的博客
03-27 113
题目描述:菜鸡发现这个程序偷偷摸摸在自己的机器上搞事情,它决定一探究竟 拿去IDA看一下主函数伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // al __int64 v5; // [rsp+0h] [rbp-40h] int i; // [rsp+4h] [rbp-3Ch] FILE *stream; // [rsp+8h] [rbp-38h] char filename[
20211024gfsj_re_debug
Leong_Vinson的博客
03-28 115
exeinfope查壳,发现有NET壳。 下载de4dot脱壳工具,用法: ./de4dot.exe debug.exe 会在debug.exe所在目录下生成一个debug-cleaned.exe文件。 载入IDA还是不能反编译,查了一下说要用dnSpy(.Net反编译工具)。 // Token: 0x06000004 RID: 4 RVA: 0x00002198 File Offset: 0x00000398 private static void Main(string[] args) {
20211029gfsj_re_crazy
Leong_Vinson的博客
04-01 127
又是C++,杀了我吧 拿去Linux环境运行一下,确定在程序一开始就让我们输入字符串,在“Checking”附近找关键函数。 $ ./crazy sssssssssssssssssssssssss ------------------------------------------- Quote from people's champ ------------------------------------------- *My goal was never to be the loudest or the
MySQL 进阶(三)【SQL 优化】
最新发布
梦想是动物管理员
07-13 879
MySQL SQL 优化
mysql笔记1
m0_62975692的博客
07-11 344
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
如何快速将Excel定义的表结构转换为MySQL的建表语句
这家伙很懒,什么都没有留下
07-09 1163
在数据管理和数据库设计中,经常需要从Excel文件中获取表结构并快速转换为MySQL数据库的建表语句。这个过程不仅可以节省大量手动输入的时间,还能减少因人为错误导致的数据库设计问题。本文将详细介绍如何高效地完成这一过程,包括使用不同的方法和工具,以及提供实际案例和代码示例,旨在帮助初学者和技术人员快速掌握这一技能。
mysql bit 对gorm使用何种类型?
gdutlhh的专栏
07-11 273
目前我们在查询mysql后拿到的src 其实是[]uint8类型(实际上就是 []byte),接着就进入了case []byte 分支,然后这里直接把原数据通过string(s) 强制转换成字符串,导致原来的值 0x01 变成了字符面值为 SOH (通过查看ASCII表)代表标题开始的字符。只要你的类型实现了该接口,那么就可以操作bit类型了,于是我自定义了类型来接收bit类型。可见,在底层解析过程中,并不能把mysql的bit类型转化成go的bool。其实sql包提供了,scan接口:如下。
MySQL空间索引
你的指尖有改变世界的力量
07-10 264
空间类型是建立在空间类型字段上的。
mysql快速精通(一)DQL数据查询语言
不起眼小菜菜的博客
07-10 1101
文章建立在已知基础用法的前提下进行深入了解……
Mysql中存储过程、存储函数、自定义函数、变量、流程控制语句、光标/游标、定义条件和处理程序的使用示例
BADAO_LIUMANG_QIZHI的博客
07-11 979
MySQL 中使用 DECLARE 关键字来定义变量,定义变量的基本语法格式如下DECLARE 关键字用来声明变量。var name 数是变量的名称,可以同时定义多个变量。type参数用来指定变量的类型。DEFAULT value 子句为变量提供一个默认值。默认值可以是一个常数,也可以是一个表达式。如果没有给变量指定默认值,初始值为NULLDECLARE studentid char(10) DEFAULT '一年级';
MySQL Innodb存储引擎中,当页默认的大小是16K时,页中最多存放多少行的记录?
zxrhhm的博客
07-09 1075
MySQL Innodb存储引擎中,当页默认的大小是16K时,页中最多存放7992行数据记录
MySQL9.0的新特性
ZTBztb123456的博客
07-10 372
虽然这是 MySQL 8.3 版本的特性,但值得一提的是,它引入了支持标签的全局事务标识符(GTID),使得事务集的分组和识别更加直观。的旧客户端程序的认证请求,进一步加强了 MySQL 的安全性,并鼓励用户采用更安全的认证方法。命令,以及一些复制和服务器的相关选项,引导管理员采用更有效、更现代的操作方法。两张表,记录了系统变量的类型、作用域和允许的值,对于性能微调和维护至关重要。:新版本扩展了预处理语句的功能,支持数据定义语言(DDL)命令,如。:MySQL 8.3 版本引入了一个新的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值