攻防世界逆向高手题之mfc逆向-200

已于 2022-07-04 23:22:04 修改
阅读量2.1k 收藏 6
点赞数 6
分类专栏: CTF 逆向 文章标签: ctf
于 2022-01-02 15:05:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/122244983
版权
CTF 同时被 2 个专栏收录
173 篇文章 33 订阅
订阅专栏
逆向
99 篇文章 33 订阅
订阅专栏

攻防世界逆向高手题之mfc逆向-200

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的mfc逆向-200
在这里插入图片描述

MFC类型的题目基本没接触过,现阶段也不想入门MFC语法,所以只能大量搜寻资料学个大概了。
.
.
照例下载附件,扔入exeinfope中查看信息:
在这里插入图片描述
.
.
照例运行一下查看主要回显信息:
首先第一步看暗示,题目提示是MFC程序,这首先就是一个暗示,然后这里说Flag在控件里,这也是一个暗示。
在这里插入图片描述
.
.
在这之前我们先了解一下怎么用工具获取MFC程序的控件:(总不能为了做题而做题吧)

以下内容摘自博客:https://blog.csdn.net/nocbtm/article/details/98180065

MFC框架中,使用以下三个宏实现消息映射:

//cpp文件中
BEGIN_MESSAGE_MAP
END_MESSAGE_MAP

//头文件中
DECLARE_MESSAGE_MAP

它们综合在一起的作用,就是将要映射的消息及对应的响应函数集中放在了一个静态成员数组中。因此,我们只要找到这个数组,就能定位代码,从而进行进一步的逆向分析工作。

要在整个内存块中找出一个数组来并不容易,不过好在MFC框架为了方便其自身,定义了查表的接口:

virtual const AFX_MSGMAP* GetMessageMap() const;

因此,目的变得明确,就是要调用目标窗口对象GetMessageMap()

但是它隐藏着以下问题:
1)如何获取对方 MFC 程序的窗口对象句柄。

2)如何将 GetMessageMap 的返回结果传回 MFC SPY 程序,这涉及到进程间通信

总结:
1)获取目标 MFC 程序的窗口句柄,这里是大窗口的句柄。

2)注入对方 MFC 程序的进程,这里用 SendMessage 函数。

3)在对方进程中定位到 CWnd::FromHandlePermanent 并调用,获得窗口对象(此题未涉及)

4)调用窗口对象的 GetMessageMap() 函数,获得消息映射表(此题未涉及)

其中注入手段很关键,因为 FromHandle 函数内部的工作就是查句柄与对象指针的映射表,而这个表又是以线程为单位存放的,因此线程注入( CreateRemoteThread )是不会成功的。最方便的是用 API 提供的挂钩函数( SetWindowsHookEx )来注入,同时还要处理好同步、进程间通信问题。
(此题未涉及)
.
.
.
通过上面的资料我们可以明白 MFC 注入的大致流程,首先要获取窗口句柄,然后就是注入进去,我们可以理解为给它发信息

我们要用到两个工具:
一个是窗口、消息查看分析利器:SPY++。
另一个是专门的 MFC 内部分析工具:XSPY。

注意 XSPY 是继承于 MFCSPY 的,所以XSPY涵盖了 MFCSPY 的所有功能,我们不用去专门下载 MFCSPY,因为你可能找一天都找不到 MFCSPY 这个软件。

.
.
首先因为程序运行起来是窗口,所以我们先用窗口通用工具 spy++ 分析一下先:
在这里插入图片描述
在这里插入图片描述
.
.
得知重点在大窗口那里后就用专门的 MFC 逆向工具 XSPY 了:
在这里插入图片描述
在这里插入图片描述
.
.
那个根据前面的流程,我们获取到了大窗口 "Flag就在控件里" 的句柄 0x000801EC ,现在我们要注入进去,就是发送消息进去,然后窗口内容就变了:

// 1.cpp : 定义控制台应用程序的入口点。
//注意是MFC运行。

#include "stdafx.h"
#include<stdio.h>
#include<string.h>
#include "windows.h"

int main()
{
	HWND h = FindWindowA("944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b",NULL);
	//HWND h = FindWindowA(NULL, "Flag就在控件里");
	//HWND h = FindWindowA("944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b", "Flag就在控件里");
	//这里用到两个关键函数,一个是获取窗口句柄函数,第二个就是根据句柄发送消息函数。获取句柄的FindWindowA中第一个可以传入类名,第二个可以传入标题,因为我们两个都有,所以任意一个都可以锁定程序窗口。
	if (h)
	{
		SendMessage(h, 0x464, NULL, NULL);
		//发送函数中第二个是区别其他消息的常量值,这里题目用了自定义常量值,所以我们要对应一致。
	}
	getchar();
	return 0;
}

在这里插入图片描述
.
.
有了Des密钥和密文,直接Des解密即可:
在这里插入图片描述
.
.
所以最终flag:

thIs_Is_real_kEy_hahaaa

.
.
.
解毕!敬礼!

沐一 · 林
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
190326 逆向-MFC逆向技巧
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
逆向MFC程序
leibso的博客
07-28 3130
文章目录@[toc]1 MFC执行流程1.1 环境支持1.2 分析1.3 实践探索1.3.1 创建一个MFC程序1.3.2 下关键断点并调试1.4 转向MFC库源文件中观测2 逆向2.1 特征码的选择(比如我这里还是想找到InitInstance())2.2 使用调试工具(OD) 搜索特侦码咐语 1 MFC执行流程 1.1 环境支持 vs 2017 afxwin.h,afxcdialogex.h...
XCTF 高手进阶 mfc逆向-200
qq_41071646的博客
04-24 945
这道的参考链接https://bbs.pediy.com/thread-250802.htm 这个 其实 我也是在xctf里面做到了 然后感觉很好玩 然后就写一篇帖子 来玩玩 不过让我自己 有这样的脑洞 还是 不太现实·~~~ 我怎么也想不到这个竟然是这样写的 既然人家说的是控件 那么我们就去 寻找控件信息 然后 我就不会了。。。。 然后上面的 帖子里面 大佬的...
MFC逆向-200 wp
qq_41252520的博客
09-25 236
分析 根据提示,可用窗口嗅探器之类的工具进行查看 感觉类名很可疑,试着提交发现错了。em,再看看是不是要发送刷新控制之类的消息让它有所改变。 当发送的消息码为 1124 时控件刷新了数据,并且也暗示了控件类名时DES加密后的数据,求解得到flag。 总结 主要就是对窗口控件的消息机制做个了解和窗口嗅探工具的使用。 ...
Xspy的windows编译版本
09-03
开源工具Xspy的编译好版本,作者只公开源代码,没有exe,懒得自己编译的可以拿走。 mfcspy大概只支持到vc6.0吧,这个xspy继承mfcspy,目标是支持所有mfc版本。并且加入对ATL/WTL的简单分析。 已经开源:http://bbs.pediy.com/showthread.php?t=178253
XCTF-攻防世界CTF平台-Reverse逆向类——59、mfc逆向-200MFC编程逆向
Onlyone_1314的博客
09-08 820
先查看程序信息: Windows 32 位GUI程序,符合目中MFC编程的程序,被加了VMProtect。 运行程序: 用xspy查看程序控件信息: 获得程序窗口句柄:00170E52 类名:944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b 再观察程序的消息处理函数: 接受到以下消息: WM_SYSCOMMAND(0x112,274):当用户选择窗口菜单的一条命令或当用户选择最大化或最小化时那个窗口会收到此消息; WM_PAINT(0xf,15):
mfc逆向-200 攻防世界
re1wn
05-15 1341
mfc逆向-200 攻防世界
MFC窗口和按钮事件-正向与逆向分析
qq_20031585的博客
05-08 1781
模态窗口和非模态窗口是子窗体的两种类型。模态窗口有时会作为一种授权手段,总在最前挡住主窗体,需要注册才能使用软件,另外,通过窗体的监控,我们会更了解MFC程序的exe结构,所以走一遍看看。
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127836871
MFC 消息逆向分析 (看雪PDF文档) [评价可免费]
08-25
首先关于 [评价可免费] 的严重声明: 一、评价=评论加评价(评星星); 二、评价必须是下载完了该资源后的评价,没下载就评论无效; 三、如果正确评价了,返还积分可能需要等等,系统需要反应下。呵呵 评论时记得要评分。然后会返回给你花费的分再加1分.理论上有十分就可以下载完所有的资源了。一般人我不告诉他。 MFC 程序逆向 – 消息篇(上) 作者:szdbg Email:szdbg@sina.com 前言: 记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断 不下来,在系统模块中经常转得晕头转向,而一无所获。 MFC 程序是一种常见类型的程序,我静下心来,潜心研究了一下MFC 消息流程。弄清原委之后,一切豁然开朗,发现跟 踪MFC 程序和消息处理原来是如此。。。,跟踪按钮事件处理也由此变得特别简单。 于是,我将这些研究整理成文,以备后忘。并希望大家有所帮助,失误之处,请高手指正。 的确, .Net之类的程序必定是大势所趋,不过,就目前来说,MFC程序在软件市场还是占有重要的一席之地,所以,了解它,对于逆向和破解此类程序还是很有必要的. MFC之所以显的复杂,就在于它隐藏了它的消息的处理机制,可以说, 程序员基本上不需要懂得它的消息处理过程,就可以写出一套满足应用的软件来.这有好有坏,好的是大大简化了程序员写程序的过程,坏的一方面是,给一般程序员留下了一个迷团: 我只知道这样做,而不知道为什么这样做.心里老是觉得不踏实.
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127947532
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解技巧...
MFC逆向之CrackMe Level3 过反调试 + 写注册机
最新发布
jmm18363027827的博客
12-15 697
今天我来分享一下,过反调试的方法以及使用IDA还原代码 + 写注册机的过程由于内容太多,我准备分为两个帖子写,这个帖子主要是写IDA还原代码,下一个帖子是写反调试的分析以及过反调试和异常这个CrackMe Level3是一个朋友发我的,我也不知道他在哪里弄的,我感觉挺好玩的,对反调试 异常 以及代码还原的学习有一些帮助调试器:X64和OD反编译工具:IDAPE工具:Detect It Easy反调试插件:OD的StrongOD和虫子的ScyllaHideARK工具:Pchunter。
MFC程序逆向 – 消息篇(下)
benny5609的专栏
05-16 1275
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC中还有另外一种很常见的消息发送方式,就是SendMessage函 数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种 消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同
西湖论剑JUNKINSTRUSTION-Xspy使用和花指令
playmaker的博客
04-19 2094
拿到程序是一个MFC程序,使用IDA打开程序。搜索GetDlgItem使用crtl+x查看调用,发现了很多这个函数,查找输入错误信息得到的字符串error!,一瞬间有点迷茫,找不到关键入口。 使用工具xspy对button按钮进行检测,检测出id为03e9之后对整个MFC窗口进行检测 注意最后一行 OnCommand: notifycode=0000 id=03e9,func= 0x00A424...
MFC逆向小结
weixin_33826609的博客
03-03 573
参考来自:http://www.pediy.com/kssd/pediy12/120058.html 首先看看进入main函数的c++代码 intAFXAPIAfxWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance, _In_LPTSTRlpCmdLine,intnCmdShow) { A...
Windows逆向学习笔记——MFC原理:RTTI和消息映射 在逆向中的应用
weixin_38526180的博客
07-14 869
test
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值