CrackMe160 学习笔记 之 027

最新推荐文章于 2023-07-06 14:28:51 发布
原创 最新推荐文章于 2023-07-06 14:28:51 发布 · 230 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了一个涉及文件遍历的软件漏洞,作者通过逆向分析发现程序从D盘开始遍历各目录,并利用CreateFileA函数进行文件操作。通过修改关键跳转指令,成功绕过限制,实现对任意目录的访问。

前言

这个直接爆破了,没什么好讲的。

水博客真开心。
在这里插入图片描述

思路

看指令是作者遍历了各个目录,从D盘开始。

CeateFileA的返回值和-1比较,不想等则成功。

把这行语句改成jmp就行了。

0040138C   .  0F84 F3000000 je      00401485                         ;  关键跳

因为我这是虚拟机,所以直接爆破了。

分析

00401207   .  B8 171B4000   mov     eax, 00401B17
0040120C   .  E8 DF040000   call    <jmp.&MSVCRT._EH_prolog>
00401211   .  83EC 50       sub     esp, 50
00401214   .  53            push    ebx
00401215   .  56            push    esi
00401216   .  894D E4       mov     dword ptr [ebp-1C], ecx
00401219   .  57            push    edi
0040121A   .  68 9C304000   push    0040309C                         ;  ASCII "C:\"
0040121F   .  8D4D A4       lea     ecx, dword ptr [ebp-5C]
00401222   .  E8 79040000   call    <jmp.&MFC42.#537_CString::CStrin>
00401227   .  33DB          xor     ebx, ebx
00401229   .  68 98304000   push    00403098                         ;  ASCII "D:\"
0040122E   .  8D4D A8       lea     ecx, dword ptr [ebp-58]
00401231   .  895D FC       mov     dword ptr [ebp-4], ebx
00401234   .  E8 67040000   call    <jmp.&MFC42.#537_CString::CStrin>
00401239   .  68 94304000   push    00403094                         ;  ASCII "E:\"
0040123E   .  8D4D AC       lea     ecx, dword ptr [ebp-54]
00401241   .  C645 FC 01    mov     byte ptr [ebp-4], 1
00401245   .  E8 56040000   call    <jmp.&MFC42.#537_CString::CStrin>
0040124A   .  68 90304000   push    00403090                         ;  ASCII "F:\"
0040124F   .  8D4D B0       lea     ecx, dword ptr [ebp-50]
00401252   .  C645 FC 02    mov     byte ptr [ebp-4], 2
00401256   .  E8 45040000   call    <jmp.&MFC42.#537_CString::CStrin>
0040125B   .  68 8C304000   push    0040308C                         ;  ASCII "G:\"
00401260   .  8D4D B4       lea     ecx, dword ptr [ebp-4C]
00401263   .  C645 FC 03    mov     byte ptr [ebp-4], 3
00401267   .  E8 34040000   call    <jmp.&MFC42.#537_CString::CStrin>
0040126C   .  68 88304000   push    00403088                         ;  ASCII "H:\"
00401271   .  8D4D B8       lea     ecx, dword ptr [ebp-48]
00401274   .  C645 FC 04    mov     byte ptr [ebp-4], 4
00401278   .  E8 23040000   call    <jmp.&MFC42.#537_CString::CStrin>
0040127D   .  68 84304000   push    00403084                         ;  ASCII "I:\"
00401282   .  8D4D BC       lea     ecx, dword ptr [ebp-44]
00401285   .  C645 FC 05    mov     byte ptr [ebp-4], 5
00401289   .  E8 12040000   call    <jmp.&MFC42.#537_CString::CStrin>
0040128E   .  68 80304000   push    00403080                         ;  ASCII "J:\"
00401293   .  8D4D C0       lea     ecx, dword ptr [ebp-40]
00401296   .  C645 FC 06    mov     byte ptr [ebp-4], 6
0040129A   .  E8 01040000   call    <jmp.&MFC42.#537_CString::CStrin>
0040129F   .  68 7C304000   push    0040307C                         ;  ASCII "K:\"
004012A4   .  8D4D C4       lea     ecx, dword ptr [ebp-3C]
004012A7   .  C645 FC 07    mov     byte ptr [ebp-4], 7
004012AB   .  E8 F0030000   call    <jmp.&MFC42.#537_CString::CStrin>
004012B0   .  68 78304000   push    00403078                         ;  ASCII "L:\"
004012B5   .  8D4D C8       lea     ecx, dword ptr [ebp-38]
004012B8   .  C645 FC 08    mov     byte ptr [ebp-4], 8
004012BC   .  E8 DF030000   call    <jmp.&MFC42.#537_CString::CStrin>
004012C1   .  68 74304000   push    00403074                         ;  ASCII "M:\"
004012C6   .  8D4D CC       lea     ecx, dword ptr [ebp-34]
004012C9   .  C645 FC 09    mov     byte ptr [ebp-4], 9
004012CD   .  E8 CE030000   call    <jmp.&MFC42.#537_CString::CStrin>
004012D2   .  68 70304000   push    00403070                         ;  ASCII "N:\"
004012D7   .  8D4D D0       lea     ecx, dword ptr [ebp-30]
004012DA   .  C645 FC 0A    mov     byte ptr [ebp-4], 0A
004012DE   .  E8 BD030000   call    <jmp.&MFC42.#537_CString::CStrin>
004012E3   .  68 6C304000   push    0040306C                         ;  ASCII "O:\"
004012E8   .  8D4D D4       lea     ecx, dword ptr [ebp-2C]
004012EB   .  C645 FC 0B    mov     byte ptr [ebp-4], 0B
004012EF   .  E8 AC030000   call    <jmp.&MFC42.#537_CString::CStrin>
004012F4   .  68 68304000   push    00403068                         ;  ASCII "P:\"
004012F9   .  8D4D D8       lea     ecx, dword ptr [ebp-28]
004012FC   .  C645 FC 0C    mov     byte ptr [ebp-4], 0C
00401300   .  E8 9B030000   call    <jmp.&MFC42.#537_CString::CStrin>
00401305   .  BE 9A164000   mov     esi, <jmp.&MFC42.#800_CString::~>;  入口地址
0040130A   .  33C0          xor     eax, eax
0040130C   .  8D7D DC       lea     edi, dword ptr [ebp-24]
0040130F   .  56            push    esi
00401310   .  C645 FC 0D    mov     byte ptr [ebp-4], 0D
00401314   .  68 94164000   push    <jmp.&MFC42.#540_CString::CStrin>;  入口地址
00401319   .  AB            stos    dword ptr es:[edi]
0040131A   .  6A 01         push    1
0040131C   .  8D45 DC       lea     eax, dword ptr [ebp-24]
0040131F   .  6A 04         push    4
00401321   .  50            push    eax
00401322   .  E8 C3040000   call    004017EA
00401327   .  8D4D E8       lea     ecx, dword ptr [ebp-18]
0040132A   .  C645 FC 0E    mov     byte ptr [ebp-4], 0E
0040132E   .  E8 61030000   call    <jmp.&MFC42.#540_CString::CStrin>
00401333   .  C645 FC 0F    mov     byte ptr [ebp-4], 0F
00401337   .  895D EC       mov     dword ptr [ebp-14], ebx
0040133A   .  8D7D A4       lea     edi, dword ptr [ebp-5C]
0040133D   >  57            push    edi
0040133E   .  8D4D E8       lea     ecx, dword ptr [ebp-18]
00401341   .  E8 48030000   call    <jmp.&MFC42.#858_CString::operat>
00401346   .  FF75 E8       push    dword ptr [ebp-18]               ; /RootPathName
00401349   .  FF15 04204000 call    dword ptr [<&KERNEL32.GetDriveTy>; \GetDriveTypeA
0040134F   .  83F8 03       cmp     eax, 3
00401352   .  74 3E         je      short 00401392
00401354   .  8D45 E8       lea     eax, dword ptr [ebp-18]
00401357   .  68 58304000   push    00403058                         ;  ASCII "CD_CHECK.DAT"
0040135C   .  50            push    eax
0040135D   .  8D45 E0       lea     eax, dword ptr [ebp-20]
00401360   .  50            push    eax
00401361   .  E8 22030000   call    <jmp.&MFC42.#924_operator+>
00401366   .  8B00          mov     eax, dword ptr [eax]
00401368   .  53            push    ebx                              ; /hTemplateFile
00401369   .  53            push    ebx                              ; |Attributes
0040136A   .  53            push    ebx                              ; |Mode
0040136B   .  53            push    ebx                              ; |pSecurity
0040136C   .  6A 01         push    1                                ; |ShareMode = FILE_SHARE_READ
0040136E   .  68 00000080   push    80000000                         ; |Access = GENERIC_READ
00401373   .  50            push    eax                              ; |FileName
00401374   .  FF15 00204000 call    dword ptr [<&KERNEL32.CreateFile>; \CreateFileA
0040137A   .  83F8 FF       cmp     eax, -1                          ;  返回值和-1比较
0040137D   .  8D4D E0       lea     ecx, dword ptr [ebp-20]
00401380   .  0F9445 F3     sete    byte ptr [ebp-D]                 ;  相等时设为1.失败
00401384   .  E8 11030000   call    <jmp.&MFC42.#800_CString::~CStri>
00401389   .  385D F3       cmp     byte ptr [ebp-D], bl
0040138C   .  0F84 F3000000 je      00401485                         ;  关键跳
CrackMe160 学习笔记 之 053
02-29 586
前言 这个题目花了两天还没做出来,其中写注册机的时候涉及了矩阵的运算。 这一块不是很熟,算来算去始终算不对,我裂开了。 ] 感觉在这一块花太多的时间没有意义。 现在先存个档,以后等我研究透了线性代数再来解决注册机的问题吧。 思路 首先搜索字符串。发现作者依旧把字符串藏起来了。 不过仍然有办法,打开16进制文本编辑器。搜索失败字符串的位置。 计算得到在内存里偏移的位置,下内存断点。(或者push ...
CrackMe160 学习笔记 之 052
02-26 804
前言 这个题目做了我好几天,难度不用我说了吧。 话不多说,先放图。 输入为空 输入小于4个字符 输入大于4个字符 思路 作者没有给我们查找字符串的机会,不过可以找到这个。 很明显就是最后判断的信息。 接着全局查找这条指令,来到点击事件的入口处。 push 0041B208 首先关注的当然是比较的指令了。 00401EB7 8B5404 1C mov ed...
170621 逆向-CrackMe027
whklhhhh的博客
06-22 532
1625-5 王子昂 总结《2017年6月21日》 【连续第262天总结】 A. CrackMe B. 大概了解了一下ELF文件,Linux平台下的可执行文件,使用终端可以执行 在win平台下可以直接使用IDA进行处理 不过IDA动态调试很懵,F5不是找不到入口函数就是未定义的函数,看的几篇writeup中都直接分析了代码和算法,并没有介绍开头的基本步骤...平常不用IDA的后果就是到
MFC42.#823函数到底有什么作用
aiyun1234的博客
01-16 209
由于多次跟踪程序的时候碰到了,一直没怎么理会,今天出于好奇,进去逛了下。。。很简单,原来就是分配内存。 注释写的很清楚,而且很简单,所以不多做解释了。 6E26152C > 8BFF MOV EDI,EDI6E26152E 55 PUSH EBP6E26152F 8BEC MOV EBP,ESP...
逆向工程自学1(主流保护方式+破解交流网站+逆向工具)
Allen Roson
03-01 4295
主流的保护方式: 1)序列号模式(硬件序列号,用户名-序列号) 2)弹窗输密码(Nag Screen) 3)软件限制(次数限制,时间限制,功能限制) 4)可移动介质保护(光盘,USBkey) 5)网络验证(将用户名和注册码等发送到服务器上进行验证) 6)其它保护模式(验证文件,预览版本) 主流破解论坛或网站: 1)crackmes.de http://www...
crackme 网站
qq_22423659的博客
01-02 756
推荐逆向crackme的网站 点击打开链接
趣味CRACKME破解分析(发散思维)
lonelykin的专栏
04-14 554
标 题: 趣味CRACKME破解分析(发散思维) 作 者: 逍遥风 时 间: 2006-08-13,16:26:53 链 接: http://bbs.pediy.com/showthread.php?t=30483 破文标题】CRACKME破解分析 【破文作者】逍遥风 【破解工具】OD,计算器 【破解平台】WINXP 【软件简介】Difficulty: 2 - Needs a lit
CrackMe160 学习笔记 之 006
01-27 408
前言 根据帮助按钮的提示,这个程序需要我们消除两个按钮“OK”和“Cancella”,显现出被按钮遮住的部分。 每个按钮都需要不同的算法来验证,所以有两个验证函数。 攻破后的程序如图。 思路 找到验证函数。 对Delphi写的程序不熟,但是我们知道帮助弹窗的位置。 猜测验证函数在其附近。 在帮助弹窗上个函数位置处下断点,果不其然,在0x442EA8处断下,由此可知是第一个验证函数。 绕过验证后继...
逆向学习crackme160题-003-Cruehead-CrackMe-3的 write up
书山有路勤为径,学海无涯苦作舟
06-17 895
学逆向的必刷题crackme160题的Cruehead
逆向学习crackme160题-009-Boonz-KeygenMe#1 的 write up
书山有路勤为径,学海无涯苦作舟
07-06 714
首先我们输入一个用户名密码之后按check,会在密码的输入框弹出“Name must be 4 - 50 chars long!”,告诉我们用户名的长度必须为4-50个字节,如下图:然后再次尝试如下图,再看程序的有关信息:这些出现的字符串暂时都可以当作提示字符串便于后面寻找。
Lisp+DWX 之一 强大的 DynamicWrapperX
热门推荐
yxp 的博客
06-16 3万+
DynamicWrapperX 组件的认识,来自我的偶像 highflybird 在明经论坛里的帖子 —《在 LISP 中调用 C++, ARX 函数以及汇编语言 》,本文仅仅是个人学习笔记,水平有限,不足之处请读者指正。在 vb、vc 或者 VBScript 中,只要声明了一个 Windows API 函数,就可以在程序中任意调用这个函数,就像使用自定义函数一样方便。 但是 VisualLisp 并
逆向新手入门之CrackMe
李孝贤
01-25 1240
. 破解源 - 本次CrackMe.apk来自吾爱破解网站,无加壳,适合新手入门. 感谢 版主大大 qtfreet00!! - 本文主要是记录自己的破解思路,以供自己学习使用! 二. apk预览 1.打开进入apk,有个功能按钮,点击升级VIP 2.点击按钮后弹出提示框 三. 目标 激活vip,不让弹出提示框.. 开始破解 工具 (1)AndroidKiller V1.3.1.0 ...
160Crackme027之First CD-Check
鬼手的博客
04-13 555
文章目录查壳分析程序前置知识什么是光盘检测检测原理拆解光盘保护CD-Check分析作者低级的错误暴力破解CD-Check校验结果 查壳 程序是使用VC6写的 没有壳 分析程序 这个程序跟之前的Crackme不一样,采取的保护方式是光盘检测,如果检测通过,点击Check for CD,会提示检测通过,但是现在是失败的 我也是第一次分析这种程序,所以需要一点相关的前置知识 前置知识 以下内容出自...
CrackMe160 学习笔记 之 026
02-11 1105
前言 一开始我是这样想的,这种难度不高指令又特别多的程序,而且还是VB,调试起来真的浪费时间。 调着调着发现没有这么简单。 这个程序竟然有反调试的功能,会修改最终生成的KEY! 竟然在这里栽了个跟斗。 而且为了调试这个程序,虚拟机不知死机了多少次。 不过索性还是做出来了。 思路 整个程序并不难,就是计算并拼接字符串。 重点在于它的反调试功能。 下面是输入“test_”时,生成的KEY。 真...
CrackMe160 学习笔记 之 017
02-07 729
前言 先附上一致破解后的图。 做这个CrackMe还是花了我不少时间的。 确实难度上比其他几个有所上升。 算法本身并不难,主要是字符串并没有明文比较,以及不断套娃。 虽然这个套娃并没做什么复杂的操作,调试起来也挺心累的。 思路 首先调试程序的程序就会发现有个SMART CHECK的弹窗阻碍调试,绕过即可,下面会给绕过方法。 观察验证函数 00404E27 . FF15 6C104000 ...
CrackMe160 学习笔记 之 024
02-10 546
前言 这个程序和023是一个作者。 说实话,这个作者是真的牛逼,能用汇编写出这样的程序。 每次调他写的程序就很头疼。 然而我还是差不多只花了一天就写出了注册机。 思路 这个程序没有明显的字符串,搜索字符串在这里不管用了。 那么从API入手。 和上个程序一样,找到获取name和获取key的函数。 因为是重复同样的步骤,我这里就不啰嗦了。 找到关键跳转。 虽然我这里写了注释,但是一开始可能并不那么容...
CrackMe160 学习笔记 之 011
02-02 537
前言 这个程序并不算难,但是有点恶心人。 先附上一张成功注册后后的图片。 思路 搜索字符串。 可以看到大量的字符串,这也是等会破解的关建。 进入程序验证函数,在入口处下断点,发现一直断下。 说明这个程序每一秒都对输入做了判断。 这样的话下调试起来挺方便的。 取消断点的话ATL+B 取消,需要用的时候再把断点加回来。 翻了一下主体,这部分指令又臭又长,而且大部分是相同的。 估计是作者这样写是用来...
CrackMe160 学习笔记 之 009
01-31 521
前言 这个程序同样需要我们写出正确的KEY,是008的升级版。 附上一张破解后的图。 思路 首先输入任意字符,来到验证函数处。 004022AE . FF15 48414000 call dword ptr [<&MSVBVM50.__vbaVarTs>; \__vbaVarTstEq 看函数名猜测是判断两个字符串是否相等。 但是观察参数,并没有看到明显的字符串...
CrackMe160 学习笔记 之 032
02-13 501
前言 这个程序算法流程并不难。 主要因为它不是直接调用函数的,是通过寄存器调用的,一开始有点让人摸不着头脑。 思路 UPX壳。脱壳。 绕过检测文件。dump下来生成新程序。(懒得在虚拟机里创建 文件了) 首先当然是搜索找到获取name和key的函数。 通过观察发现,每次输入key以后都会走这个函数。 00437DD3 |> \E8 00FEFFFF call 00437BD8 ...
crackme160的解题步骤
03-30
对于一个CrackMe来说,解题的步骤会因题目难度和设计而有所不同。下面是一般情况下的解题步骤: 1. 分析题目和二进制文件:首先,需要了解题目的背景和目的,以及二进制文件的类型和结构。可以使用反汇编器、调试器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值