网鼎杯一个CrackMe give_a_try.exe

最新推荐文章于 2021-03-13 18:55:21 发布
最新推荐文章于 2021-03-13 18:55:21 发布
阅读量576 收藏
点赞数 2
文章标签: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_wan001/article/details/83011591
版权

转载请注明出处。https://rhirufxmbcyj.gitlab.io

从看雪一篇帖子上看到的这个程序,没什么难度,就是比较绕。拿下来试一试。

程序:https://rhirufxmbcyj.gitlab.io/files/give_a_try.rar

准备工作
  • 首先,打开程序看一看这是个什么类型的程序,是个name+password类型还是serial类型,心理也好有个底,这个程序只有一个编辑框,也就是个serial类型的。
  • 然后使用PEiD等工具 进行查壳、查语言、查算法。
    • 有壳先脱壳,尽量不干扰正常分析程序,能用工具脱就用工具脱,此程序无壳。
    • C类语言大多都一样,不需要特殊的工具,像Delphi或VB或Net就需要使用特定的工具去分析了,这个程序是汇编写的,更容易分析,怪不得函数那么少。
    • 使用PEid的插件Krypto ANALyzer查一下算法,也算是分析的时候考虑算法有个偏向。
分析

程序拖入IDA看一看,发现未知的函数只有几个,其他都是API,直接用IDA的f5一个函数一个函数看就找到了程序的校验算法那块,也就是sub_401103(char *a1),猜测参数1这个char *就是输入的字符串了。

这个是IDA的关键算法的伪代码。

int __stdcall sub_401103(char *a1)
{
  int result; // eax@2
  int v2; // edi@3
  char v3; // al@3
  char *v4; // esi@3
  unsigned int i; // ebx@6
  unsigned int v6; // eax@7
  unsigned int v7; // edx@7
  unsigned int v8; // edx@7
  unsigned int v9; // edx@7
  unsigned int v10; // edx@7
  unsigned int v11; // edx@7
  unsigned int v12; // edx@7
  unsigned int v13; // edx@7
  unsigned int v14; // edx@7
  unsigned int v15; // edx@7
  unsigned int v16; // edx@7
  unsigned int v17; // edx@7
  unsigned int v18; // edx@7
  unsigned int v19; // edx@7
  unsigned int v20; // edx@7
  unsigned int v21; // edx@7

  if ( strlen(a1) == 42 )                       // 字符串长度必须42
  {
    v2 = 0;
    v3 = *a1;
    v4 = a1 + 1;
    while ( v3 )                                // 将每个字符串的ascii累加到V2里
    {
      v2 += (unsigned __int8)v3;
      v3 = *v4++;
    }
    srand(dword_40406C ^ v2);                   // 没有用time(NULL)取随机数,也就是这个随机数是可以追朔的,所以这里是个突破口,前提是dword_40406c要确定
    for ( i = 0; i != 42; ++i )
    {
      v6 = (unsigned __int8)a1[i] * rand();
      v7 = v6 * (unsigned __int64)v6 % 0xFAC96621;
      v8 = v7 * (unsigned __int64)v7 % 0xFAC96621;
      v9 = v8 * (unsigned __int64)v8 % 0xFAC96621;
      v10 = v9 * (unsigned __int64)v9 % 0xFAC96621;
      v11 = v10 * (unsigned __int64)v10 % 0xFAC96621;
      v12 = v11 * (unsigned __int64)v11 % 0xFAC96621;
      v13 = v12 * (unsigned __int64)v12 % 0xFAC96621;
      v14 = v13 * (unsigned __int64)v13 % 0xFAC96621;
      v15 = v14 * (unsigned __int64)v14 % 0xFAC96621;
      v16 = v15 * (unsigned __int64)v15 % 0xFAC96621;
      v17 = v16 * (unsigned __int64)v16 % 0xFAC96621;
      v18 = v17 * (unsigned __int64)v17 % 0xFAC96621;
      v19 = v18 * (unsigned __int64)v18 % 0xFAC96621;
      v20 = v19 * (unsigned __int64)v19 % 0xFAC96621;
      v21 = v20 * (unsigned __int64)v20 % 0xFAC96621;
      // 一堆操作结果要等于aZCeie数组里的值,aZCeie里的值可以从IDA中拿出来,是固定的
      if ( v6 % 0xFAC96621 * (unsigned __int64)v21 % 0xFAC96621 != *(_DWORD *)&aZCeie[4 * i] )
        break;
    }
    if ( i >= 42 )                              // 42位字符都通过校验就是成功
      result = MessageBoxA(0, aCorrect, aCongrats, 0);
    else
      result = MessageBoxA(0, aIncorrect, 0, 0);
  }
  else
  {
    result = MessageBoxA(0, aThinkAgain, 0, 0);
  }
  return result;
}

设V6为未知数x,那么V7、V8、V9、Vn都可以根据V6得出,由于aZCeie数组里的值是固定的,那么根据上边的公式就可以得出i=0时V6的值了,开始写穷举代码。

int v7, v8, v9, v10, v11, v12, v13, v14, v15, v16, v17, v18, v19, v20, v21;
for (int i = 0; i < 0xffffffff; i++)
{
    v7 = i * i % 0xFAC96621;
    v8 = v7 * v7 % 0xFAC96621;
    v9 = v8 * v8 % 0xFAC96621;
    v10 = v9 * v9 % 0xFAC96621;
    v11 = v10 * v10 % 0xFAC96621;
    v12 = v11 * v11 % 0xFAC96621;
    v13 = v12 * v12 % 0xFAC96621;
    v14 = v13 * v13 % 0xFAC96621;
    v15 = v14 * v14 % 0xFAC96621;
    v16 = v15 * v15 % 0xFAC96621;
    v17 = v16 * v16 % 0xFAC96621;
    v18 = v17 * v17 % 0xFAC96621;
    v19 = v18 * v18 % 0xFAC96621;
    v20 = v19 * v19 % 0xFAC96621;
    v21 = v20 * v20 % 0xFAC96621;
    if ((i % 0xFAC96621) * v21 % 0xFAC96621 == 0x63B25AF1)
        printf("%X\n", i);
}
printf("OK!\n");

得出v6 = 81FA5AF1。要求出第一个字符,有了第一个v6,根据公式v6 = (unsigned __int8)a1[i] * rand();所以还需要有rand()的值,rand()的值和srand里的参数有关。dword_40406C这处内存值通过动态调试得出。调试过程中有两个反调试函数,把push和call都nop掉,得出0x40406C = 0x31333359。

如果有了srand,那么rand就是固定了,a1[0]也就求出来了,也通过穷举方法,srand(dword_40406C ^ v2); v2是所有字符的累加值 还需要穷举 最小则是42个“ ”,最大则是42个“~”,以此得到穷举范围。

for (int i = 1344; i <= 5292; i++)
{
    srand(i ^ 0x31333359);
    int random = rand();
    for (int j = ' '; j <= '~'; j++)
    {
        if (j * random == 0x81FA5AF1)
            printf("find first character %c\n", j);
    }
}

跑完这个发现并没有得到想象中的结果 所以某些地方出问题了 回头看汇编代码

call    ds : rand
movzx   ecx, byte ptr[ebx + esi]
mul     ecx
mov     ecx, 0FAC96621h
push    eax        #v6
xor     edx, edx
div     ecx
pop     eax

push    edx        #edx = v6 % 0FAC96621h

mul     eax        #v6*v6
div     ecx
mov     eax, edx   #得到v7

mul     edx
div     ecx
mov     eax, edx    #v8

mul     edx
div     ecx
mov     eax, edx    #v9

mul     edx
div     ecx
mov     eax, edx    #v10

mul     edx
div     ecx
mov     eax, edx    #v11

mul     edx
div     ecx
mov     eax, edx    #v12

mul     edx
div     ecx
mov     eax, edx    #v13

mul     edx
div     ecx
mov     eax, edx    #v14

mul     edx
div     ecx
mov     eax, edx    #v15

mul     edx
div     ecx
mov     eax, edx    #v16

mul     edx
div     ecx
mov     eax, edx    #v17

mul     edx
div     ecx
mov     eax, edx    #v18

mul     edx
div     ecx
mov     eax, edx    #v19

mul     edx
div     ecx
mov     eax, edx    #v20

mul     edx
div     ecx
mov     eax, edx    #v21

mul     edx
div     ecx
mov     eax, edx    #v22

pop     edx         #edx = v6 % 0FAC96621h

mul     edx
div     ecx
                    #v22 * (v6 % 0FAC96621h) % 0FAC96621h
cmp     edx, [edi + ebx * 4]
jnz     short loc_4011F2

IDA的f5少算了一次运算,还是用汇编吧 避免编译器优化造成的错误 修改下第一次穷举代码

unsigned int result;
for (unsigned int i = 0; i < 0xffffffff; i++)
{
    _asm {
            mov     eax, i
            mov     ecx, 0FAC96621h
            push    eax 
            xor     edx, edx
            div     ecx
            pop     eax
            push    edx
            mul     eax
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            mul     edx
            div     ecx
            mov     eax, edx
            pop     edx
            mul     edx
            div     ecx
            mov     result, edx
    }
    if (result == 0x63B25AF1)
        printf("%X\n", i);
}
printf("OK!\n");

求得v6是0x19AF6A 继续用上边的穷举代码

for (int i = 1344; i <= 5292; i++)
{
    srand(i ^ 0x31333359);
    int random = rand();
    for (int j = ' '; j <= '~'; j++)
    {
        if (j * random == 0x19AF6A)
        {
            printf("find first character %c\n", j);
            printf("string sum is %d", i);
        }
    }
}

马上得到了结果 而且结果只有一个 ‘f’ 字符总和为3681 这时可以按程序的执行流程顺序穷举出全部字符串了。

unsigned int result = 0;
//value从IDA中复制出来的
unsigned int value[42] = { 0x63B25AF1,0x0C5659BA5,0x4C7A3C33,0x0E4E4267,0x0B611769B,0x3DE6438C,0x84DBA61F,0x0A97497E6,0x650F0FB3,0x84EB507C,0x0D38CD24C,0x0E7B912E0,0x7976CD4F,0x84100010,0x7FD66745,0x711D4DBF,0x5402A7E5,0x0A3334351,0x1EE41BF8,0x22822EBE,0x0DF5CEE48,0x0A8180D59,0x1576DEDC,0x0F0D62B3B,0x32AC1F6E,0x9364A640,0x0C282DD35,0x14C5FC2E,0x0A765E438,0x7FCF345A,0x59032BAD,0x9A5600BE,0x5F472DC5,0x5DDE0D84,0x8DF94ED5,0x0BDF826A6,0x515A737A,0x4248589E,0x38A96C20,0x0CC7F61D9,0x2638C417,0x0D9BEB996 };

srand(3681 ^ 0x31333359);
for (int i = 0; i < 42; i++)
{
    unsigned int random = rand();
    for (unsigned int j = ' '; j <= '~'; j++)
    {
        unsigned int v6 = j*random;
        _asm {
                mov     eax, v6
                mov     ecx, 0FAC96621h
                push    eax
                xor     edx, edx
                div     ecx
                pop     eax
                push    edx
                mul     eax
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                mul     edx
                div     ecx
                mov     eax, edx
                pop     edx
                mul     edx
                div     ecx
                mov     result, edx
        }
        if (result == value[i])
            printf("%c", j);
    }
}
printf("\nOK!\n");

跑完得到真正的结果 flag{wh3r3_th3r3_i5_@w111-th3r3_i5@_w4y}.

让川神先表演
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GIVE_A_TRY.exe 逆向(NCK逆向初级第9,10,11课作业)
hambaga的博客
09-16 1331
这个程序好像是一道CTF的题,对我这样的新手来说难度很大,解题过程中遇到了不少坑,还学到了新的反调试技巧。下面我将记录下我逆向这个程序的过程。 一、去花指令,过反调试,分析TLS回调函数功能 这个程序用到了TLS反调试技术,很遗憾,我用的编程达人OD和X64DBG都有反反调试插件,直接把TLS过了,所以我刚开始甚至没意识到反调试的存在。 然而,如果您使用无插件的OD,那么您运行该程序可能会崩溃,又或者即使输入了正确密钥,程序也会提示密钥错误,这是因为,程序会检测当前是否正在被调试,然后会根据这个判断结果修
180822 逆向-网鼎杯(2-1)
whklhhhh的博客
08-22 2219
Reverse martricks main函数中接收输入以后将input和一个字符串异或一下存入savedregs中 这里7*(i_23/7)+i_23%7这种写法实际上还是i_23,只不过表示成了第x行y列的形式(7个元素/行) 两个数组分别存放在了savedregs-192和savedregs-128中 下面两层嵌套循环,中间进行了一个累加的运算 关键是箭头所指向的积的累...
2018网鼎杯Give_a_try WP
一位非著名不专业的Re选手
06-05 742
0x0 记录一次某Crackme的分析过程,大致分为算法和反调试两部分。 0x1 [测试环境]win10 64 [使用工具]Ollydbg丶IDA 0x2 算法部分 应该是将反调试部分写在前面的,但是由于这个CM的算法部分相对与反调试部分的意义较小,所以先写在前面,重点写在后面。以下都是在过了反调试的情况下的分析。 将程序拖入IDA后 shift+F12打开字符串窗口 ​ 可以看到作者给我们的提示 pizza:0040210A 0000001D C The flag begins with “fla
CTF逆向基础----花指令总结
一位非著名不专业的Re选手
03-13 9538
什么是花指令? 花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度,花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的花指令的形式,花指令一般被分为两类,被执行的和不会被执行的。 不会被执行的花指令 花指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
REVERSE-PRACTICE-BUUCTF-20
P1umH0的博客
02-27 367
REVERSE-PRACTICE-BUUCTF-20[SCTF2019]creakme[网鼎杯 2020 青龙组]bang[WUSTCTF2020]funnyreDig the way [SCTF2019]creakme exe程序,运行后提示输入ticket,无壳,ida分析 交叉引用字符串“please input your ticket:”来到sub_402540函数 分析sub_402320函数,在DebugBreak和return之间有一段代码引用 修改EIP从地址0x402412处开始执行,
CSDN_CrackMe_1.0_2021.apk
04-16
CrackMe博客的附件https://blog.csdn.net/m0_38076341/article/details/115767335
crackme-1-Acid_burn.zip
07-19
crackme-01
看雪crackme3.exe例子源程序和破解后的程序带破解说明
03-07
看雪crackme3.exe例子的源程序 和 破解以后 crackme3.exe的程序,破解之前点击注册,会显示Wrong Serial,try again,破解后的程序,直接点击注册就注册成功,请用ollydbg查看exe文件,txt文档中写了破解的思路修改2...
crackme.exe
04-06
公开给别人尝试破解的小程序,制作 crackme 的人可能是程序员,想测试一下自己的软件保护技术,也可能是一位 cracker,想挑战一下其它 cracker 的破解实力,也可能是一些正在学习破解的人,自己编一些小程序给自己破...
新160个CrackMe算法分析.chm
09-12
我制作的《新160个CrackMe算法分析》视频的配套文件,内含全部课件及评分。
图片数据恢复--i春秋网鼎杯网络安全大赛clip题目writeup
a1b2c3是弱口令
08-21 2975
Horse Clip-Clop A strange filesystem is recovered from a damaged old hard disk. 翻译一下就是: 马夹 从损坏的旧硬盘中恢复一个奇怪的文件系统。 使用winhex打开,查看的时候发现png 然后通过搜索发现有两张这种图片。 首先提取出一张这样的图片: 开头:89504E47 结尾选择...
聚类算法-一种无监督学习方法.docx
最新发布
08-12
聚类算法是一种无监督学习方法,用于将数据集中的数据点自动分组到不同的类别中,这些类别也称为“簇”或“群”。聚类的目标是让同一簇内的数据点尽可能相似,而不同簇之间的数据点尽可能不相似。聚类算法广泛应用于多种领域,如数据挖掘、模式识别、图像分析、信息检索等。 聚类算法的基本概念 无监督学习:聚类算法不需要事先标记数据点的类别标签,而是根据数据本身的相似性来分组。 相似性度量:聚类算法依赖于某种相似性或距离度量来决定数据点之间的相似程度。常用的度量包括欧氏距离、曼哈顿距离等。 目标函数:大多数聚类算法都会尝试最小化某种目标函数,例如簇内的平方误差和(SSE)。 常见的聚类算法 K-Means K-Means 是一种原型聚类算法,它通过迭代地将数据点分配到最近的质心来形成簇,并重新计算每个簇的质心,直到质心不再显著变化为止。 在 Python 的 scikit-learn 库中,可以通过 KMeans 类实现 K-Means 聚类。 层次聚类 层次聚类构建一个树状图(称为树状图或 dendrogram),显示数据点是如何逐渐合并成簇的。 这种算法可以是凝聚型(自底向上)或分裂型(自顶向下)。
45ft集装箱模型3D图纸 STEP格式.zip
08-12
45ft集装箱模型3D图纸 STEP格式.zip
Spring Boot网吧管理系统.zip
08-12
该系统严格按照需求分析制作相关模块,并利用所学知识尽力完成,但是本人由于学识浅薄,无法真正做到让该程序可以投入市场使用,仅仅简单实现部分功能,希望日后还能改善。 本系统具有以下优点: 该系统具有较高的适用性,选用B/S结构,可以在绝大部分个人平台上使用该系统。 系统将用户权限进行划分,管理员,网管和会员都能看到及操作的信息不一样,三者具备不同的操作权限。 该系统操作界面简单明了,大部分人都可以正常使用。 但也存在以下问题需要改进: 运行时窗口不能被刷新,可以改进。 系统过于简单,显示的信息有限。。 不能添加多个管理员账号,如果可以则将利于发展网吧规模,便于网吧信息集中管理。 不能实时预约接待消息和网吧反馈建议,容易被忽视,不利于管理员服务客户。
微信小程序大作业 新闻小程序
08-12
微信小程序大作业 新闻小程序
一种简单易用的通用循环队列的C语言解决方案
08-12
博文《一种简单易用的通用循环队列的C语言解决方案》实现的代码。 在实际的嵌入式编程中,消息队列的使用还是比较频繁的,已经在文章《一种简单安全的消息队列的C语言解决方案》中说明了一种队列的解决方案,但是那种设计其中还是存在一些不方便的用法,对于嵌入式系统中一些要求或者性能限制下,可能会用到循环队列,但是对于不使用操作系统的情况下,队列相关的功能就需要手动实现。所以下面将会介绍一种简单的循环队列的实现方式。
Brad Soblesky .exe
08-17
引用是关于一个程序的循环和算法的描述,引用是关于错误提示代码的示例,引用是关于修改程序以实现成功界面的步骤。 关于"Brad Soblesky .exe"的问题,没有提供足够的上下文信息,无法确定这是什么。可以提供更多的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值