ida main函数
下面sub402219明显是一个函数,可是现在跟过去是一堆数据,C强制转化为代码,转不了,
for循环改变了他原本的内容
现在写脚本改回去,改回去后还要转为代码,所以写idc脚本
#include<idc.idc>
static main()
{
auto i;
auto address =0x402219;
for ( i = 0; i <= 223; ++i )
{
PatchByte(address+i,Byte(address+i)^0x99);
}
}
void PatchByte(long addr , long val) 设置虚拟地址addr处的一个字节值,PatchByte可更换为PatchWord,PatchDword设置虚拟地址addr处的2字节和4字节值。
把脚本执行后的数据转换为代码(C),把这段代码声明为函数(P),反编译:
其中 400A71跟进发现有AES加密的东西,并且传入了地址603170
main函数中也有对地址603170的操作函数:40207B
这位更是重量级,全是加密函数,有个好东西给我说401CF9是md5加密
一共5次md5加密函数,但是只用看对后面有影响的操作,就是改变地址603170内容的。
603170传入40207B函数时叫a1,所以对a1有影响的只有v2,相当于第一次和最后一次md5有作用
因为加密没有用到输入的值,可以动态调试获取603170里的内容
CB8D493521B47A4CC1AE7E62229266
现在得到了603170的内容,回到 402219函数,
用一系列函数加密后的input去和6030A0里的数据对比,有一个不一样就让v2=0,返回后就是eax寄存器值为零,下图知eax不为0才correct,所以input加密后的值须与6030A0相等
先须从6030A0的数据推回input
脚本实现得flag