171128 逆向-哈密顿行动(4)

这篇博客讲述了对一个无壳VB程序的逆向分析过程,以找出所需的用户名和密码。通过使用VB Decompiler反编译,作者发现了检查密码的算法,涉及字符串截取、ASCII相加和模运算。动态调试揭示了密码长度为12,并存在两处校验:字符间的ASCII相加和首末字符ASCII相乘。最终,作者编写了爆破脚本来解密密码。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2017年11月28日》 【连续第424天总结】
A. 哈密顿行动Level4
B.
http://game6.iok.la/mission.asp?level=4

你的工作让我们看到了希望。通过明文,我们知道这应该是个配置文件。很明显的,我们通过文件信息里包含了应用程序的路径找到了那个神秘的EXE文件,我们立即调试它。但遗憾的是,当运行时,要求一组用户名和密码。我们不知道这个程序的用意,也许是黑客安装的后门。或许黑客通过后门进入了该电脑,又通过CUTEFTP连接了存放重要资料的主机。你的任务是分析该程序,提供一个合法的名字和密码。

很明显,逆向这个EXE得到用户名和密码

下载下来首先查壳,发现无壳,但是是VB写的
这样的话IDA就比较无力了,对于NativeCode来说

于是用VB Decompiler反编译,找到按钮点击事件:
这里写图片描述

虽然反编译的效果不是太好,不过比起汇编来说可读性已经提高很多了

倒着从结果逆推,可以看到关键的check语句是

  loc_00408B68: If (var_54 = True) = 0 Then GoTo loc_00408BD1

var_54是标记变量,再往上看可以找到这里

  loc_004088AD: var_248 = CBool((var_68 = var_64) And (var_34 = &H407814))

向上看可以发现:var_68就是username.text,var_64则是在最开头由字符串截取生成

  loc_004080F3: var_44 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
  loc_0040816F: var_FC = Mid(var_44, 40, 1)
  loc_00408280: var_64 = Mid(var_44, 13, 1) + Mid(var_44, 41, 1) + var_FC + Mid(var_44, 45, 1) + Mid(var_44, 46, 1) + Mid(var_44, 31, 1) + Mid(var_44, 44, 1)

可以自己写脚本复现,也可以直接在OD中dump

而var_34则是由password计算生成:

  loc_004086C9: var_29E = Asc(CStr(Mid(var_74, CLng(Mod(var_FC, var_21C, var_24 + 1, var_12C) + 1), )))
  loc_004086E6: var_29E = var_29E + Asc(CStr(Mid(var_68, CLng(Mod(var_9C, var_1DC, var_24, var_CC, Me, Me, Me, Me, Me) + 1), )))
  loc_0040871D: var_34 = var_34 + Chr(var_29E - 0064h)

一堆反编译失败的Mod运算,卡了我很久

最后在OD中动态调试,通过测试字符串看出了规律:
这里写图片描述
这里断的是Mid,就是取password的部分
观察可以发现,第一次取0、1,第二次取1、2,…最后一次取n、0
然后将两个字符转ascii后相加,-0x64,再以字符形式连接
要求结果与0x407814处相同:

这里写图片描述

可以看出来,长度很明显为12

分析算法可以发现,满足结果的字符串有无数个,每个字符都可以生成一个字符串

n = [82, 108, 51, 19, 24, 55, 104, 94, 58, 20, 55, 78]

def order(i):
    return chr((n[i]+0x64)-ord(flag[i]))
test=ord('0')
flag = [chr(test) for x in range(12)]
for i in range(12):
    flag[(i+1)%12] = order(i)

当时还没想明白,后来发现后面还有一处校验:
这里写图片描述

取首字符和末字符的ASCII相乘后,setz bl,这就有点没头没尾了
实际上反编译少了一句,OD中可以看到:
这里写图片描述

因此写出爆破脚本:

for test in range(33, 126):
    flag = [chr(test) for x in range(12)]
    # print(flag)
    for i in range(12):
        flag[(i+1)%12] = order(i)
    if(ord(flag[0])*ord(flag[11])==0x1df1):
        print("".join(flag))

选取全可见字符的作为flag,成功

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值