170927 逆向-Reversing.kr(Position)

最新推荐文章于 2020-07-27 20:05:39 发布
最新推荐文章于 2020-07-27 20:05:39 发布
阅读量624 收藏
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78118417
版权
本文详细介绍了对Reversing.kr的Position挑战的逆向分析过程,涉及程序校验Name和Serial的算法。通过查找关键函数sub_401740,解析了Name转化为Serial的步骤,包括ASCII加常数、位操作和特定顺序相加。最终,通过数学解题和编写脚本,成功找到符合要求的Name,从而解出Correct答案。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2017年9月27日》 【连续第360天总结】
A. Reversing.kr-Position
B.

Position

惯例先查壳
读Readme可以知道是一个检查Name-Serial的程序,我们需要找到对应Serial为”76876-77776”的Name

由于是个GUI程序,只能依靠API或者字符串来定位事件
IDA中没有找到对应的字符串,很是神奇
在OD中搜索却正常能搜索到,于是定位到核心事件函数sub_401740

由于函数太长就不放全部的了,基本上是同一个结构:


  ATL::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,ATL::ChTraitsCRT<wchar_t>>>::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,ATL::ChTraitsCRT<wchar_t>>>(&Name);
  v1 = 0;
  v64 = 0;
  ATL::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,ATL::ChTraitsCRT<wchar_t>>>::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,ATL::ChTraitsCRT<wchar_t>>>(&Serial);
  ATL::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,ATL::ChTraitsCRT<wchar_t>>>::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,ATL::ChTraitsCRT<wchar_t>>>(&v63);
  LOBYTE(v64) = 2;
  CWnd::GetWindowTextW(a1 + 304, &Name);        // Name
  if ( *(_DWORD *)(Name - 12) == 4 )            // Name长度为4
  {
    i = 0;
    while ( (unsigned __int16)ATL::CSimpleStringT<wchar_t,1>::GetAt(&Name, i) >= 0x61u
         && (unsigned __int16)
最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
【reversing.kr逆向之旅】Position的writeup
iqiqiya的博客
11-15 749
有提示是说flag就是当Serial为76876-77776时的Name    有多解    提示有四位 且最后一位是p ReversingKr KeygenMe Find the Name when the Serial is 76876-77776 This problem has several answers. Password is ***p PEiD查不到壳   于是ID...
Reversing.Kr ImagePrc
s0il的博客
04-14 317
打开程序,可以进行画图类似于一个画图程序,猜测题目要求是画出某个图形之后进行对比,对比成功后获取flag。 乱画一通后,点击check按钮,弹出消息框: 看看WinMain之后,顺着Wrong消息框...
Reversing.kr -position
宗泽的博客
08-03 203
一个MFC做的文件,看要求,又是给出serial要求name。 IDA打开,搜索字符串,然而并不能搜到什么东西;再od打开,搜索字符串,可以找到‘correct’,‘wrong’等字符串,通过这些地址在IDA里定位到一个函数。 通过这可以看出,关键函数-sub_401740,直接双击进入, ATL::CStringT<wchar_t,StrTraitMFC_DLL<wchar_t,A...
reversingkr --music player
菜鸡的博客
01-20 241
萌新第一次写,见谅。 这个网址上的题对于我这种lowbee来说大部分都很难,我还是记录一下自己的历程(除了easy开头的。。。。)。不说废话,直接上解题思路!   题目要求我们让这个播放器可以放歌超过一分钟,那我们先运行一次。,结果如下:(果然到1分钟就卡住了,不过发现这里有个1) 拖入od分析并搜索字符串 注意这里有个1!我们点进去看看 往上翻可以看见一个可以跳过那个1的...
reversing.kr 前9题
皮三宝好菜的博客
01-04 490
reversing.kr 前9题 近日写了reversing.kr的前九题。。。真的是一题比一题恶心。。。 写个wp吧,最近期末复习了(慌得一批)。。。 EasyCrack 这网站凡是带上(easy)的都不怎么难 简要带过吧 拖进ida 可以看到字符串比较 答案就是Ea5yR3versing EasyKeygen //那啥,一开始没看到这东西还有个readme。。。害得我搞了半天没搞懂怎么写。。...
171017 逆向-Reversing.kr(CSharp)
whklhhhh的博客
10-18 666
1625-5 王子昂 总结《2017年10月17日》 【连续第382天总结】 A. reversing.kr B. CSharp标题很明显能看出来是C#,.NET程序 EXEINFOIE和PEiD对.NET的查壳不太好使运行看看,就是一个输入框和按钮直接拖入ILSpy中: Click事件获取输入框的文本,调用MetMetMet MetMetMet中的流程虽然有点凌乱,但是大体上还是能
170923 逆向-Reversing.kr(MusicPlayer)
whklhhhh的博客
09-24 1152
1625-5 王子昂 总结《2017年9月23日》 【连续第356天总结】 A. Reversing.kr-Music Player B. ReadMe显示,现有程序只能播放1分钟,我们需要绕过这个显示从而得到flag,程序有多次检测。从图标和提供的msvbvm60.dll可以知道是VB写的 OD加载发现从ntdll以后F9就直接飞了 用IDA加载也空空如也,只有三个子函数call d
【reversing.kr逆向之旅】Ransomware的writeup
iqiqiya的博客
11-15 633
Exeinfope查到有UPX壳 先使用脱壳机进行脱壳 脱壳后载入IDA   发现直接显示太大无法展示 空格转为文本视图  可以很明显知道  下面红框中的就是一段段花指令 查看最后结束的位置   就在0x0044A775 直接IDC脚本将他们都NOP掉 auto i,start = 0x004135E9,end = 0x0044A775; for(i=start;i&...
171012 逆向-Reversing.kr(SimpleVM)
whklhhhh的博客
10-13 965
1625-5 王子昂 总结《2017年10月12日》 【连续第377天总结】 A. reversing.kr B.SimpleVM本来以为这个标题跟南邮CTF平台上的题目一样,只是个简单的虚拟机壳题…… 没想到南邮的是入门类型,这个是复杂入门类型啊QAQELF文件,拖入IDA发现EP地址在映像范围之外,于是无法正常分析 gdb加载又没有任何函数可下断参考了一下WP,发现可以直接用IDA附
Reversing.kr -ImagePrc
宗泽的博客
07-25 166
打开文件,他是空白的。点两下,可以画上东西,点Check后,会弹窗,“wrong!” 可以猜一下,他需要画对某种图形或者点到某个点,就可以变成“correct” 拖进IDA里,找到主函数,F5查看伪代码。 这里调用了一大堆API,而调用这些API后,用来画了个图,关键函数sub_401130; 点进去看看, int __stdcall sub_401130(HWND hWnd, UINT M...
171019 逆向-Reversing.kr(MetroApp)
whklhhhh的博客
10-20 824
1625-5 王子昂 总结《2017年10月19日》 【连续第384天总结】 A. reversing.kr B.MetroApp这次的逆向处理了很多麻烦,学到了不少关于MetroApp的东西,有没有用呢……囧首先解压得到README,两个文件夹,一个ps1脚本,一个appx安装文件,一个cer证书README中说明flag是全大写英文和数字,就没了查了一下,用自带的PowerShell可以
Reversing.kr EASY-UNPACK
宗泽的博客
06-09 349
无论是OD的提示,还是题目的提示,都表明这是个有壳的程序,同时可以知道,我们的任务就是找到OEP的地址。 放入工具试一下, 确实有壳,但却不知道是什么壳。 下面,脱壳技巧上阵. 一,单步调试法 一步一步来,最终会看到熟悉的代码 这个地址就是最终的flag了。 flag:00401150 二,ESP定律 载入程序,F8一下,看见ESP,EIP同时是红的,在寄存器窗口的ESP处右键,选择‘在数...
【reversing.kr】ImagePrc 逆向分析
wintersun的地带
11-12 1962
其实这类题目都要用OD做,动态调试能看到的东西更多,而且方便跳转到函数地址。进入正题: 先测一遍有木有加壳 然后用OD打开。运行起来程序,点击check,按暂停,alt+k得到调用栈,推到程序调用messagebox的地址,这里是004013e1 往上拉,看到这个地方。获取了图片资源,我们把图片资源dump出来看下。 使用eXeScope来dump出图片数据,然后用pytho
170926 逆向-Reversing.kr(ImagePrc)
whklhhhh的博客
09-26 709
1625-5 王子昂 总结《2017年9月26日》 【连续第359天总结】 A. Reversing.kr-ImagePrc B.ImagePrc首先查壳,运行发现是一个光秃秃的窗口,按一下Check按钮就弹窗”Wrong” 拖入IDA查找字符串,锁定回调函数sub_401130 在https://wiki.winehq.org/List_Of_Windows_Messages和http:
新坑 reversing.kr 持续更新中
qq_41071646的博客
04-21 341
没事刷刷 逆向题 pwn题 也没事看看~~~~~ 第一题 Easy Crack 拖入ida 看一下 注释的就是答案~~~~ 第二题 Easy Keygen 这个题 就直接 看就行 下面就是脚本 #include<stdio.h> #include<string.h> #include<algorithm> #include...
reversing.kr刷题笔记
Sanky0u的博客
07-27 2551
去年9月份为了提高逆向能力刷了一段时间reversing.kr,今天看到笔记的时候挺有成就感的,以后也要继续多多做题整理笔记呀! Easy Unpack Flag:00401150 通过不断跳jmp循环,最终运行到这个位置,开头55 8B 明显是函数开头 定位到OEP 00401150 查栈知道跳转到函数头的代码如下: Replace Flag: 2687109798 这个题目很有意思,开始以为做不了,跳来跳去的以为要改代码,后来发现就是利用跳来跳去的机制混淆,最后利用两次call,给一个地址的连续两个
Writeup of Imageprc(reverse) in reversing.kr
cossack9989的博客
02-19 520
做这道题……收获是……了解了几个WINAPI吧0x00 Program Logic首先运行程序,发现出现一个空白画板,用光标作图,再点击'Check'Button,弹窗Wrong把程序扔进IDA,观察代码逻辑。首先看WinMain函数int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine...
【reversing.kr逆向之旅】ImagePrc的writeup
iqiqiya的博客
11-10 547
看到这道题有点懵  运行后只有一个Check按钮  中间是空白的  不知道什么鬼(最后才知道是个绘图板) PEiD载入  发现还是没壳  Vc++6.0编写的程序 IDA载入进行分析    首先还是Shift+F12    查找关键字符串 双击 再双击   接着F5看伪代码    看不大懂   不过可以搜下bmiHeader 可以知道是和bmp位图有关 Find...
03-reversing CTF
最新发布
06-06
03-reversing CTF是一种CTF(Capture The Flag)比赛中的一类,重点考察的是逆向工程技能。CTF比赛中,参赛者需要通过解决一系列的难题,获取旗帜(flag)来得分。在03-reversing CTF中,参赛者需要通过对程序进行逆向分析,破解加密算法、解密密码等方式来获取旗帜。 这种类型的比赛需要参赛者具备较强的逆向工程技能,了解常见的加密算法、反汇编、调试等技术,并且需要有较强的逻辑思维能力和耐心。如果你对逆向工程和密码学感兴趣,可以尝试参加这种类型的比赛。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值