20211028gfsj_re_key

最新推荐文章于 2024-08-08 23:24:21 发布
最新推荐文章于 2024-08-08 23:24:21 发布
阅读量661 收藏
点赞数
文章标签: mysql php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leong_Vinson/article/details/123896984
版权

打开运行,闪退。拿去查壳,无壳,C++编译32位。

C++看着就烦,拿去OD调试。

F9运行一下,直接到达程序结束处,但总算看得到黑窗口有什么了。

?W?h?a?t h?a?p?p?e?n?

还有种方法可以不让它闪退。就是在cmd运行程序,而不是直接打开程序。这样就可以看到它的返回字符串且不闪退。

重新载入,右键->中文搜索引擎->智能搜索,看到很多有意义的字符串。

地址       反汇编                                    文本字符串
000F1043   mov eax,key.000F526C                      Unknown exception
000F115F   mov eax,dword ptr ds:[0xF529C]            emida
000F1164   movups xmm0,dqword ptr ds:[0xF528C]       themidathemidathemida
000F116E   movzx eax,word ptr ds:[0xF52A0]           a
000F1179   movzx eax,word ptr ds:[0xF52B4]           <.
000F1188   movups xmm0,dqword ptr ds:[0xF52A4]       >----++++....<<<<.
000F1246   mov edx,key.000F52E4                      ?W?h?a?t h?a?p?p?e?n?
000F133E   mov edx,key.000F52FC                      |------------------------------|
000F1356   mov edx,key.000F5320                      |==============================|
000F1373   mov edx,key.000F5320                      |==============================|
000F1390   mov edx,key.000F5320                      |==============================|
000F13AD   mov edx,key.000F5344                      \  /\  /\  /\  /\==============|
000F13CA   mov edx,key.000F5368                       \/  \/  \/  \/  \=============|
000F13E7   mov edx,key.000F538C                                       |-------------|
000F1415   mov edx,key.000F53B0                      Congrats You got it!
000F1421   mov edx,key.000F53C8                      =W=r=o=n=g=K=e=y=
000F21F6   push key.000F53DC                         string too long
000F2587   push key.000F52B8                         C:\Users\CSAW2016\haha\flag_dir\flag.txt
000F269C   push key.000F53DC                         string too long
000F29A8   mov [local.8],key.000F5280                bad cast
000F2D38   mov [local.8],key.000F5280                bad cast
000F3415   call key.000F389D                         (Initial CPU selection)
000F37DE   mov dword ptr ds:[ecx+0x4],key.000F5238   bad allocation
000F3817   mov dword ptr ds:[ecx+0x4],key.000F5254   bad array new length

因为有flag.txt路径,猜测这个程序是拿到key后读取flag.txt文件。一个一个看字符串。

先看Whathappen,上面有个跳转指令刚好跳过Whathappen,在跳转指令下断点,运行,改一下ZF的值使跳转实现,再运行,终端显示=W=r=o=n=g=K=e=y=

000F123E  |. /74 25         je short key.000F1265
000F1240  |. |8B0D C8500F00 mov ecx,dword ptr ds:[<&MSVCP140.std::cerr>]                ;  msvcp140.std::cerr
000F1246  |.  BA E4520F00   mov edx,key.000F52E4                     ;  ?W?h?a?t h?a?p?p?e?n?
000F124B  |.  68 502C0F00   push key.000F2C50
000F1250  |.  E8 AB170000   call key.000F2A00
000F1255  |.  8BC8          mov ecx,eax
000F1257  |.  FF15 98500F00 call dword ptr ds:[<&MSVCP140.std::basic>;  msvcp140.std::basic_ostream<wchar_t,std::char_traits<wchar_t> >::operator<<
000F125D  |.  6A FF         push -0x1                                ; /status = FFFFFFFF (-1.)
000F125F  |.  FF15 68510F00 call dword ptr ds:[<&api-ms-win-crt-runt>; \exit
000F1265  |> \8D55 AC       lea edx,[local.21]

再看Congrats You got it!,往上全都是call指令,直到遇到第一个跳转指令,下断点,运行。发现程序停在了123E地址,也就是我们下的第一个断点处,改一下ZF值再运行,发现断在了第二个断点处,改ZF,运行,终端显示Congrats You got it!。如果是爆破的话,那这样改就可以达到破解程序的目的了。可惜我们是要得到flag,那就需要逆向算法。

可知如果要到达Congrats You got it!,先要经过Whathappen那一个跳转指令。在那条跳转指令往上看看有什么东西。

000F11A0  |> /8A4435 DC               /mov al,byte ptr ss:[ebp+esi-0x24]
000F11A4  |. |8D4D 94                 |lea ecx,[local.27]
000F11A7  |. |324435 C4               |xor al,byte ptr ss:[ebp+esi-0x3C]
000F11AB  |. |04 16                   |add al,0x16
000F11AD  |. |8885 D8FEFFFF           |mov byte ptr ss:[ebp-0x128],al
000F11B3  |. |FFB5 D8FEFFFF           |push [local.74]
000F11B9  |. |6A 01                   |push 0x1
000F11BB  |. |E8 20100000             |call key.000F21E0
000F11C0  |. |46                      |inc esi
000F11C1  |. |83FE 12                 |cmp esi,0x12
000F11C4  |.^\7C DA                   \jl short key.000F11A0
000F11C6  |.  33F6                    xor esi,esi
000F11C8  |.  C745 D8 0F000000        mov [local.10],0xF
000F11CF  |.  8975 D4                 mov [local.11],esi
000F11D2  |.  C645 C4 00              mov byte ptr ss:[ebp-0x3C],0x0
000F11D6  |.  C645 FC 02              mov byte ptr ss:[ebp-0x4],0x2
000F11DA  |.  8B7D A8                 mov edi,[local.22]
000F11DD  |.  8B5D 94                 mov ebx,[local.27]
000F11E0  |>  83FF 10                 /cmp edi,0x10
000F11E3  |.  8D45 94                 |lea eax,[local.27]
000F11E6  |.  8D4D C4                 |lea ecx,[local.15]
000F11E9  |.  0F43C3                  |cmovnb eax,ebx
000F11EC  |.  8A0430                  |mov al,byte ptr ds:[eax+esi]
000F11EF  |.  04 09                   |add al,0x9
000F11F1  |.  8885 D8FEFFFF           |mov byte ptr ss:[ebp-0x128],al
000F11F7  |.  FFB5 D8FEFFFF           |push [local.74]
000F11FD  |.  6A 01                   |push 0x1
000F11FF  |.  E8 DC0F0000             |call key.000F21E0
000F1204  |.  46                      |inc esi
000F1205  |.  83FE 12                 |cmp esi,0x12
000F1208  |.^ 7C D6                   \jl short key.000F11E0
000F120A  |.  68 B8000000   push 0xB8                                                   ; /n = B8 (184.)
000F120F  |.  8D85 DCFEFFFF lea eax,[local.73]                                          ; |
000F1215  |.  6A 00         push 0x0                                                    ; |c = 00
000F1217  |.  50            push eax                                                    ; |s = 00000070
000F1218  |.  E8 ED2B0000   call <jmp.&VCRUNTIME140.memset>                             ; \memset
000F121D  |.  51            push ecx
000F121E  |.  8D8D DCFEFFFF lea ecx,[local.73]
000F1224  |.  E8 F7030000   call key.000F1620
000F1229  |.  C645 FC 03    mov byte ptr ss:[ebp-0x4],0x3
000F122D  |.  8B85 DCFEFFFF mov eax,[local.73]                                          ;  key.000F542C
000F1233  |.  8B40 04       mov eax,dword ptr ds:[eax+0x4]
000F1236  |.  F68405 E8FEFF>test byte ptr ss:[ebp+eax-0x118],0x6
000F123E  |.  74 25         je short key.000F1265

有两个循环,一个设置缓存函数,两个call指令。在第一个循环内某条指令下断点,跑一下发现它会跑出一些字符串,存在ecx中。在跳出循环的下一条指令下断点,F9运行,可以看到ecx存着循环跑完的字符串 `[^VZe`uYaY]`s^joY

第二个循环同样操作,发现它需要用到第一个循环跑出来的字符串,直至循环跑完,字符串为idg_cni~bjbfi|gsxb

设置缓存空间函数没什么可利用的,跳过。两个call指令执行完后的eax都是某个地址,不是返回值,也没什么好看的。所以关键就是那两个循环。

没想到吧,flag就是idg_cni~bjbfi|gsxb

v5le0n9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
20211028gfsj_re_easyhook
Leong_Vinson的博客
04-01 838
运行一下熟悉流程,拿去查壳发现无壳,C++编译32位 拿去IDA看一下伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax HANDLE v4; // eax DWORD NumberOfBytesWritten; // [esp+4h] [ebp-24h] char Buffer; // [esp+8h] [ebp-20h] sub_401370(aPleas
20211013gfsj_re_EasyRE
Leong_Vinson的博客
03-27 321
exeinfoPE.exe查壳,无壳,C++编译,32位可执行文件 IDA看看 sub_401050((const char *)&unk_402158, &v7);//scanf函数 v0 = strlen((const char *)&v7);//输入的长度 if ( v0 >= 0x10 && v0 == 24 )//长度等于24 { v1 = 0; v2 = (char *)&v8 + 7; do
20211017gfsj_re_mysterious
Leong_Vinson的博客
03-28 533
查壳,是32位下由C++编译的可执行文件。 试一下运行,让用户输入密码,输入点Crack一点反应都没有。 拖进IDA看看,很多函数,找不到main函数,那就Shift+F12看看有什么字符串,有一个明显成功标志“well done”,双击进到只读数据段,Ctrl+X去到引用它的汇编代码处,再F5查看伪代码。 int __stdcall sub_401090(HWND hWnd, int a2, int a3, int a4) { char v5; // [esp+50h] [ebp-310h] CH
20211024gfsj_re_debug
Leong_Vinson的博客
03-28 121
exeinfope查壳,发现有NET壳。 下载de4dot脱壳工具,用法: ./de4dot.exe debug.exe 会在debug.exe所在目录下生成一个debug-cleaned.exe文件。 载入IDA还是不能反编译,查了一下说要用dnSpy(.Net反编译工具)。 // Token: 0x06000004 RID: 4 RVA: 0x00002198 File Offset: 0x00000398 private static void Main(string[] args) {
20211029gfsj_re_crazy
Leong_Vinson的博客
04-01 132
又是C++,杀了我吧 拿去Linux环境运行一下,确定在程序一开始就让我们输入字符串,在“Checking”附近找关键函数。 $ ./crazy sssssssssssssssssssssssss ------------------------------------------- Quote from people's champ ------------------------------------------- *My goal was never to be the loudest or the
20211011gfsj_re_lgniteMe
Leong_Vinson的博客
03-27 205
查壳,无壳。拉去IDA int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax size_t i; // [esp+4Ch] [ebp-8Ch] char v5[4]; // [esp+50h] [ebp-88h] char v6[28]; // [esp+58h] [ebp-80h] char v7; // [esp+74h] [ebp-64h] sub_402B3
20211026gfsj_re_babyre
Leong_Vinson的博客
03-31 355
二进制文件 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181; ++i ) { envp = (const char **)(*((unsigned __int8 *)j
20210929gfsj_re_maze
Leong_Vinson的博客
03-27 122
题目描述:菜鸡想要走出菜狗设计的迷宫 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { const char *v3; // rsi signed __int64 v4; // rbx signed int v5; // eax char v6; // bp char v7; // al const char *v8; // rdi __int64 v10; // [rsp+0h] [rbp-28h] v
20210927gfsj_re_logmein
Leong_Vinson的博客
03-26 112
题目描述:菜鸡开始接触一些基本的算法逆向了 拿进IDA看看吧 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { size_t v3; // rsi __int64 v4; // rdi int i; // [rsp+3Ch] [rbp-54h] char s[36]; // [rsp+40h] [rbp-50h] int v7; // [rsp+64h] [rbp-2Ch] __int64 v8;
SpringBoot依赖之Quartz Scheduler定时调度器使用MySQL存储Job
ahauedu的专栏
08-07 631
接上一篇。本篇将在 Spring Boot 项目中,使用 Quartz Scheduler 结合 MySQL 数据库来存储 Job。
mysql 日志爆满,删除日志文件,定时清理日志
minihuabei的博客
08-08 1135
今天发现网站不能正常访问,于是登陆服务器查找问题。机智的我随手用命令:df -l 发现 硬盘爆满了,于是就知道问题所在了。然后通过命令 du -sh * 一路检查,发现mysql的日志文件占据了大部分空间 , 整整27G,于是现在的任务就是清理mysql的日志文件(主要是清理.log文件和mysql-bin.00000X二进制日志文件)
04、MySQL-DCL(数据控制语言)
nibabaoo的博客
08-06 337
例:创建用户zhangsan 只能够在当前主机localhost访问 密码123456。例:创建用户xiaoming 可以在任意主机访问该数据库 密码123456。例:修改用户zhangsan的密码为654321。例:删除用户xiaoming。
MySQL —— CRUD
熵减玩家
08-06 997
MySQL的CURD 介绍
8.7-主从数据库的配置+mysql的增删改查
qq_70752758的博客
08-07 691
Slave_IO_Running和Slave_SQL_Running都是yes就表示主从数据库配置成功了。insert into 表名称 values(1,"name","word")先查看按照升序排列的qty,然后在这基础上在按照price的升序排列进行查看。当使用聚合查询以后,不能使用where,如果要使用,添加having。insert into 表名称 select * from 其他表。insert into 表 value () ,()创建可以远程登录的用户。查看升序排列的qty。
day23(mysql主从脚本与mysql详细语句介绍)
weixin_68368034的博客
08-08 966
只有 select ⼦句和 having ⼦句、order by ⼦句中能使⽤聚合函数,where ⼦句不能使⽤聚合函 数。当使⽤聚合查询以后,不能使⽤where条件,如果要添加条件,就使⽤having。常⽤聚合``函数统计表中数据的⾏数或者统计指定列不为空值的数据⾏个数select count(*或表头名) from 表名;计算指定列的最⼤值,如果指定列是字符串类型(⽂字类型)则使 ⽤字符⾸拼排序select max(表头名) from 表名;
MySQL进阶-MySQL管理
最新发布
qq_64737356的博客
08-08 202
系统数据库 常用工具 mysql mysqladmin mysqlbinlog mysqlshow mysqldump mysqlimport/source
mysql如何交换两列的值
cclovezbf的博客
08-07 217
1.多加一列 比如add column tmp , set tmp=des,des=name,name=tmp。发现结果 好像是先把des赋值给name了,然后再执行set des=name所以数据不对。简单的一个思路,唯一注意的是要注意on的关联条件,使用主键关联。如上图所示name和des两列数据错位了。我看到网上有几种方法。2.使用一个临时表 具体也没看。
MySQL线上查询性能调优:深入解析与实战策略
hong161688的博客
08-07 903
MySQL线上查询性能调优是一个复杂而持续的过程,需要DBA和开发人员共同努力。通过深入理解和实践上述调优策略,可以显著提高数据库的性能和稳定性。然而,随着技术的不断发展和应用场景的不断变化,新的性能问题也会不断出现。因此,我们需要保持学习的态度,关注新技术和新方法的发展,以便更好地应对未来的挑战。在未来的发展中,我们可以期待更多的自动化和智能化工具的出现,这些工具将能够更加精确地识别和解决性能问题,使性能调优变得更加简单和高效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值