171128 逆向-哈密顿行动(4)

最新推荐文章于 2019-05-04 17:19:44 发布
最新推荐文章于 2019-05-04 17:19:44 发布
阅读量574 收藏
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78669215
版权
这篇博客讲述了对一个无壳VB程序的逆向分析过程,以找出所需的用户名和密码。通过使用VB Decompiler反编译,作者发现了检查密码的算法,涉及字符串截取、ASCII相加和模运算。动态调试揭示了密码长度为12,并存在两处校验:字符间的ASCII相加和首末字符ASCII相乘。最终,作者编写了爆破脚本来解密密码。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2017年11月28日》 【连续第424天总结】
A. 哈密顿行动Level4
B.
http://game6.iok.la/mission.asp?level=4

你的工作让我们看到了希望。通过明文,我们知道这应该是个配置文件。很明显的,我们通过文件信息里包含了应用程序的路径找到了那个神秘的EXE文件,我们立即调试它。但遗憾的是,当运行时,要求一组用户名和密码。我们不知道这个程序的用意,也许是黑客安装的后门。或许黑客通过后门进入了该电脑,又通过CUTEFTP连接了存放重要资料的主机。你的任务是分析该程序,提供一个合法的名字和密码。

很明显,逆向这个EXE得到用户名和密码

下载下来首先查壳,发现无壳,但是是VB写的
这样的话IDA就比较无力了,对于NativeCode来说

于是用VB Decompiler反编译,找到按钮点击事件:
这里写图片描述

虽然反编译的效果不是太好,不过比起汇编来说可读性已经提高很多了

倒着从结果逆推,可以看到关键的check语句是

  loc_00408B68: If (var_54 = True) = 0 Then GoTo loc_00408BD1

var_54是标记变量,再往上看可以找到这里

  loc_004088AD: var_248 = CBool((var_68 = var_64) And (var_34 = &H407814))

向上看可以发现:var_68就是username.text,var_64则是在最开头由字符串截取生成

  loc_004080F3: var_44 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
  loc_0040816F: var_FC = Mid(var_44, 40, 1)
  loc_00408280: var_64 = Mid(var_44, 13, 1) + Mid(var_44, 41, 1) + var_FC + Mid(var_44, 45, 1) + Mid(var_44, 46, 1) + Mid(var_44, 31, 1) + Mid(var_44, 44, 1)

可以自己写脚本复现,也可以直接在OD中dump

而var_34则是由password计算生成:

  loc_004086C9: var_29E = Asc(CStr(Mid(var_74, CLng(Mod(var_FC, var_21C, var_24 + 1, var_12C) + 1), )))
  loc_004086E6: var_29E = var_29E + Asc(CStr(Mid(var_68, CLng(Mod(var_9C, var_1DC, var_24, var_CC, Me, Me, Me, Me, Me) + 1), )))
  loc_0040871D: var_34 = var_34 + Chr(var_29E - 0064h)

一堆反编译失败的Mod运算,卡了我很久

最后在OD中动态调试,通过测试字符串看出了规律:
这里写图片描述
这里断的是Mid,就是取password的部分
观察可以发现,第一次取0、1,第二次取1、2,…最后一次取n、0
然后将两个字符转ascii后相加,-0x64,再以字符形式连接
要求结果与0x407814处相同:

这里写图片描述

可以看出来,长度很明显为12

分析算法可以发现,满足结果的字符串有无数个,每个字符都可以生成一个字符串

n = [82, 108, 51, 19, 24, 55, 104, 94, 58, 20, 55, 78]

def order(i):
    return chr((n[i]+0x64)-ord(flag[i]))
test=ord('0')
flag = [chr(test) for x in range(12)]
for i in range(12):
    flag[(i+1)%12] = order(i)

当时还没想明白,后来发现后面还有一处校验:
这里写图片描述

取首字符和末字符的ASCII相乘后,setz bl,这就有点没头没尾了
实际上反编译少了一句,OD中可以看到:
这里写图片描述

因此写出爆破脚本:

for test in range(33, 126):
    flag = [chr(test) for x in range(12)]
    # print(flag)
    for i in range(12):
        flag[(i+1)%12] = order(i)
    if(ord(flag[0])*ord(flag[11])==0x1df1):
        print("".join(flag))

选取全可见字符的作为flag,成功

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
凯莱-哈密顿定理
dwb18505113983的博客
11-30 1458
凯莱-哈密顿定理 设σ是n维向量空间V上一个线性变换,f(x)是σ的特征多项式.那么f(σ) = θ. 证明 引理1 τ 是n维向量空间V上一个线性变换, ξ∈Vξ\in Vξ∈V,存在正整数s,使得τs(ξ)=0τ^s(ξ) = 0τs(ξ)=0, 而τs−1(ξ)≠0τ^{s-1}(ξ) \neq 0τs−1(ξ)​=0,那么ξ,τ(ξ),...,τs−1(ξ)ξ,τ(ξ),...,τ^{s-1}(ξ)ξ,τ(ξ),...,τs−1(ξ)线性无关。 引理1证明 反证法证明, 假设ξ,τ(ξ),...,
有趣的安全游戏--哈密顿行动(四)突破程序的锁
Rorschach:Blog
09-12 1613
第四题据说已经加强了终于来了道逆向题····虽然是PE的,好吧,还是不擅长题目信息: 题目啥都没说,就是一道注册类题,不过难度不大先开始用IDA分析,看着真蛋疼,搜了一些函数符号,发现是VB的(起始图标很明显了)下了个VB的分析工具,VB Decompiler,反汇编查看 可以好好看看这个校验函数,结合IDA可以动态调试,会用OD的应该更简单。整个过程有三处做校验,分别对应为用户名校验、密码加密
哈密顿行动(黑客/安全体验游戏,服务器已恢复)
a815064247的博客
09-06 726
前段时间设计了一款计算机安全技术体验游戏,以一个虚拟的故事为背景,有兴趣的可以试试 涉及 密码学,协议欺骗,脚本攻击,入侵检测,文件伪装,逆向工程等等 哈密顿行动 http://game6.iok.la 目前内测,服务器开放时间7:00——23:00
有趣的安全游戏--哈密顿行动(零)图灵测试
Rorschach:Blog
09-11 2470
看到论坛里有人发了一个叫做哈密顿行动的安全游戏,点进去看了下是一个安全类体验游戏,链接地址:http://game6.iok.la/reg.asp 带着好玩的心态进去开始玩耍 第零关:注册成为会员 前面大篇幅的废话....从这里开始,是注册题目。 大意就是输入两串数,输出计算结果 分析规律,发现里面涉及了异或和比较两种计算方法得到结果,贴下解密的代
有趣的安全游戏--哈密顿行动(一)神秘的网页
Rorschach:Blog
09-11 1487
高高兴兴注册成功后,进来第一题就是一个输入密码的页面 点开查看源码后发现主要逻辑集中在js中,我看到的第一眼简单,随便写了个解密脚本运行得到ORAFEBETLFAEBERFETOLLLRAF然后提交结果显示wrong 难道JS还有隐藏语法这一说?后来才发现下面还有代码 对于这种我果断选择了忽略,那怎么解题呢?想到一种做法,直接将网页源码复制,然后在网页中插入显示密码,如 运行我的网页,得
开始行动
weixin_34272308的博客
01-08 84
老实说,走上程序之路,完全是我没有设想过的人生。从2012年夏天开始,至今已有一年半的时间。每天几乎都在重复着一件事情,那就是与计算机面对面地交流,或者看视频,或者敲代码。人生就是这样,不是你想如何就如何,也不是你想不如何就不如何的,我没有想到自己会天天面对计算机和代码,也没有想到这条自学之路走得是如此艰难。上周五晚上,和媳妇儿一起跟两个朋友吃饭,那两个朋友是自己开公司的,做...
pyphs:Python中的多物理端口-哈密顿系统的建模,仿真和代码生成
02-03
4. **仿真接口**:PyPhS支持与其他数值求解器的集成,如Scipy的odeint,允许用户对模型进行时间步进的动态仿真。 5. **文档生成**:对于教育和报告需求,PyPhS还可以将模型导出为LaTeX格式,生成详细的模型描述和...
图论- 图的遍历- 哈密顿问题.rar
09-16
哈密顿问题是图论中的一个重要概念,它涉及到寻找一个图中经过每个顶点恰好一次的路径,这样的路径称为哈密顿回路。 图的遍历是指在图中顺序访问每个顶点的方法,常见的遍历算法有深度优先搜索(DFS)和广度优先...
基于状态误差端口-哈密顿理论的直流传动系统控制策略
03-18
基于状态误差端口-哈密顿理论的直流传动系统控制策略研究 直流传动系统作为一种常见的动力传输方式,在工业控制领域中应用广泛。对于这类系统的控制策略研究,一直是电力电子与控制工程领域的热点问题。文章《基于...
论文研究-哈密顿路径问题的一种基于有穷自动机的DNA算法.pdf
09-08
提出了一种基于有穷自动机的解决哈密顿路径问题的DNA算法,将有穷自动机的状态用含有DNA限制性内切酶的识别位点的DNA双链分子来编码,通过限制性内切酶的生物化学反应来实现状态的转移。算法的创新之处在于用DNA计算...
图灵测试小游戏
wasdzjh的博客
09-27 3074
本人也知识偶然得到一个小游戏的网址,看了下里面的小游戏 还是值得去玩的。  哈密顿行动 - 一个虚拟的、在线的计算机安全技术体验游戏,通过该游戏,可以测试您的计算机安全技能。这个游戏从一个虚拟的故事开始 当您阅读下面的话时,时间正在一分一秒流逝。我们是一家全球知名的、从事人工智能开发的计算机公司,这些年来,我们的技术、我们的产品为人工智能的发展做出了卓越贡献。前些天,我们正准备推出新一
有趣的安全游戏--哈密顿行动(二)不该存在的配置文件
Rorschach:Blog
09-11 1561
查看第二题,还有个提示猜测这题如提示描述一般就是构造HTTP报文,获取到sm.dat文件,然后查看cuteftp软件和这个文件的关系。访问页面提示需要特定的浏览器、系统以及渠道,抓个包看看 红框内的就是需要构造的信息,用python实现一个:# -*- coding: cp936 -*- import urllib2,sys url = "http://game6.iok.la/Other/Lev
有趣的安全游戏--哈密顿行动(三)加密的文件
Rorschach:Blog
09-11 879
这题关键就是提示 下载文件查看后缀是.ini,千万别看文件名,容易走上歧路。 搜索相关文件格式介绍(http://blog.csdn.net/laoyang360/article/details/46764715)看了眼文件内容,从第一个字节若匹配’[‘的话,则需要异或或者减去0x10,尝试下,写出解密代码import os,sysfp = open("ODBC.ini","rb")s = fp
# 行动、任务、项目概念区分
rainbowzhouj的博客
12-09 6308
行动、任务、项目概念区分 1、行动(todo或action) 行动就是确定时间节点,可以立即去做的事情。行动容易操作和衡量。 2、任务(task) 任务通常指所接受的工作,所担负的职责,是指为了完成某个有方向性的目的而产生的活动。任务有明确的执行目标和执行人,相比于项目,任务侧重于结果,也会有时间的约束性。任务里面可以嵌套任务,即一个主任务下面可以细分成若干个子任务,由这些子任务的完成结果组成为主...
翘课行动
技术博客
05-04 189
题目链接:https://nanti.jisuanke.com/t/A1053 题目 自从上了大学,苏苏就学会了翘课=。=!但是,他在翘课时还是有所选择的,某些课程,跪着也要听完啊。现在,给出某天的课程序列,用1表示一门重要的课程,用0表示一门不太重要的课程。苏苏总是按照如下规则来翘课: 绝不敲重要课程,never!; 在第一节重要课程之前的所有课全部敲掉; 若有两节或两节以上的非重要课...
【题解】【最短路】行动行动
ezoixx130's Blog
06-04 4567
行动行动! Description 大CX国的大兵Jack接到一项任务:敌方占领了n座城市(编号0~n-1),有些城市之间有双向道路相连。Jack需要空降在一个城市S,并徒步沿那些道路移动到T城市。虽然Jack每从一个城市到另一个城市都会受伤流血,但大CX国毕竟有着“过硬”的军事实力,它不仅已经算出Jack在每条道路上会损失的血量,还给Jack提供了k个“简易急救包”,一个包可以让Jac
图灵测试
weixin_30596343的博客
01-16 596
图灵测试(英语:Turing test,又译图灵试验)是图灵于 1950 年提出的一个关于判断机器是否能够思考的著名试验,测试某机器是否能表现出与人等价或无法区分的智能。测试的谈话仅限于使用唯一的文本管道,例如计算机键盘和屏幕,这样的结果是不依赖于计算机把单词转换为音频的能力。 起源 1950年,阿兰·图灵在那篇名垂青史的论文《计算机械与智力》的开篇说:“我建议大家考虑这个问题:‘机器能思考吗?’...
"完整约束体系的哈密顿力学-勒让德变换及物理模型转换
Contemporary Hamiltonian mechanics is a powerful framework for understanding complex mechanical systems by defining the system's total energy in terms of conjugate or canonical variables....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值