测试输入nome和codice发现nome最多可以输入10个字符,codice没有限制
用PEiD查壳,无壳并且发现是Delphi编写的程序
作者在这里提示说要隐藏OK和cancella按钮,最后就可以看到Ringzer0 logo
这里总结对Delphi下断点的方法:
(1)找到Delphi的按钮事件然后下断点
OD载入后,CTRL+G,转到00401000处
然后就CTRL+B,查找特征码740E8BD38B83????????FF93????????然后就会找到下面的地方:
然后就在下面的CALL处下断吧.
下面的工作就是不断的CTRL+L继续查找和F2下断了.
(2)逆向Delphi有个神器DeDe,用DeDe分析
在窗体这里观察,在这里可以看到对codice这个编辑框有个事件叫CodiceOnchange,这个很关键
转到过程,这可以看到CodiceOnchange这个事件,并且有它的地址,还有OkClick事件,复制下它的地址,转到OD里下断点
比较使用的下断点的方法就介绍到这里,现在开始真正的逆向这个程序:
运行程序,输入nome和codice:
刚输入完codice,程序就停在了刚下的断点处:
进入到这个call里:先判断长度是否小于等于5,是的话就直接退出,所以nome长度必须大于5
这里过程比较多,首先对nome进行处理,可以看到里面有个循环,还原成c代码大致为:
for(int i = 1,sum = 0; i <= len;i++)
sum+=nome[i-1] * nome[i] * i + (len - i);最后得到的sum放在ebx中,然后有一个call将codice的值转换为16进制放在eax中,最后ebx-eax,结果等于0x29A则说明结果正确
对应的代码如下:
nome = raw_input()
sum = len(nome)
for i in range(len(nome)):
sum += ord(nome[i-1])* ord(nome[i])*i
print sum-0x29a运行结果:
虽然成功让ok显示出来了,但是点击一下后有变成了灰色,并且cancella没有隐藏。根据相同思路,对cancella下断点
可以看到,那个call是关键跳转,进去后可以看到相应代码,取nome中第五个字符取余7再加上2,然后对这个数计算阶乘。取出nome长度,循环计算,最后得到一个值在ebx中,用ebx减去codice,差值为0x7A69则通过
对应的代码如下:
k = ord(nome[4])
k %= 7
k += 2
temp = 1
for i in range(1,k+1):
temp *= i
print temp
sum = 0
for i in range(len(nome)):
sum+=ord(nome[i])*temp运行,输入我们算好的codice,点击cancella,结果如下:
虽然cancella没有了,但是OK还在,所以我们还没有成功,按照逻辑来说,应该是要同时满足上述的两个条件,只能穷举攻击了
攻击代码如下:
nome=[]
def aLoNg3x(nome):
#nome = raw_input()
sum1 = len(nome)
for i in range(len(nome)):
sum1 += ord(nome[i-1])* ord(nome[i])*i
#print "Ok的codice:"
sum1 -= 0x29a
k = ord(nome[4])
k %= 7
k += 2
temp = 1
for i in range(1,k+1):
temp *= i
sum2 = 0
for i in range(len(nome)):
sum2 +=ord(nome[i])*temp
#print "Cancella的codice:"
sum2 -= 0x7A69
if sum1==sum2:
print nome
print sum1
if __name__=='__main__':
word=['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', ]
str = []
for i in word:
for j in word:
for k in word:
for l in word:
for m in word:
for n in word:
nome=i+j+k+l+m+n
if len(nome)==6:
aLoNg3x(nome)
扫一扫
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
