.NET P****** CMS 逆向工程
(应一些园友建议,我把敏感字段去掉)
其实当初我的目的是很纯洁的,只是想找一个简单的网站生成模板,由于对.net更熟悉一点,就去搜索了.net框架的CMS,看它的介绍挺强大的,符合最初的目的,但是下下来之后发现最新版本是要钱的,低一级的版本免费,但是免费的生成出来的东西会有他们公司的版权,这就让我不能忍了,免费就免费啊,搞个纯净点的不行啊,GOOGLE是强大的,所以我尝试的去搜索看有没有破解的版本,发现搜出来的一律都是免费版的去掉版权的版本,擦,去个版权就叫破解了么,而且还是低一级的版本,略微坑爹。.NET的东西理论上没有什么不可以破解的,之前由于项目需要,偶尔也会去破解一些商业的.NET软件,学习学习嘛,破解也不是什么罪大恶极的事,只要你不破坏别人的利益就行,所以我就抱着学习的心态去看了一下P*****的源代码,罪过罪过。只是学习。
本人声明,下面的内容只是个人研究所用,不作为任何商业目的,如果有人看了本篇文章做出任何违法之事,本人不负任何责任责任。by Zengg
破解所需软件:Reflector,ILSpy,de4dot
Reflector和ILSpy其实是一个性质的,都是用来查看别人的源代码,由于有时我发现Reflector查看方法的时候会出现一些错误,所以就用ILSPY配合着用。
de4dot,脱壳和反混搅的利器,一般商业软件都会加壳或者用了混搅代码,让一些人就算看到代码也不明白写的是什么,有了这个神器,妈妈再也不用担心我看到乱码了。。。当然有时也不是万能的,90%都能还原吧。
P******版本:V3.0
这是V3.0的基本样貌
按照官网的说法,只要把域名和对应的注册码填到web.config里面就可以了。
Web.config
可以看到Url是域名,License就是填写注册码的地方,由于域名是唯一的,我们不难想象出Url肯定是作为生成注册码的主要参照物,说个题外话,破解嘛,看你是要暴力破解还是文艺破解,暴力破解就是把代码注入他的DLL,从而绕过他的验证达到注册的目的,文艺嘛,就是大家有话好好说,不改动他的DLL,但是需要根据他提供的一些信息去推测软件作者的加密思想,只要你明白了加密核心思想,就能从源码中找出蛛丝马迹,由于软件里的源码肯定只存在解密的步骤,加密的步骤就需要大家反推出来了,有木有一种当侦探的赶脚。。。。。当然,本人只是业余人士,大牛们看到心里鄙视就好,不用说出来。。会打击人的.by Zengg
言归正传,我们已经知道了URL是生成注册码的参照物,以后就按着这个线索去查找,其实上面还有一个重要的线索,”License”,由于注册码肯定是要从配置文件读取,读取之后就是验证的步骤,这验证的步骤就是我们需要去的地方,读取License的值,大家会想一下.NET的做法,是不是ConfigurationManager.AppSettings["License"],现在由于程序员的水平高低不齐,一般来说都会像上述那样去写,这样就暴露了获取验证码的地方,我们就可以定位到所有有”License”内容的代码段去,所以说,以后大家写核心解密代码的时候多留一个心眼,把敏感字段写入资源里面,至少给破解的人增加一点难度。
Bin目录下有很多的DLL,其中一个肯定就是藏有解密的地方
当然由于我已经破解过了,筛选DLL的过程就不描述了,P*******.web.dll,就是解密的地方,用de4dot先给DLL脱壳。
然后我们用ILSPY打开这个DLL
会看到。。尼玛还是这么坑爹,所有东西基本都是乱码,让人不能直视,具体为什么我也没研究过,由于我们也不需要去明白这些乱码写的是神马,按照上面的思路我们要查找所有含有License字段的代码段,这步骤可以用软件实现。
利用ILSPY,在SEARCH里填上License,就可以看到出来很多方法,当初很疑惑为什么有这么多地方用到验证注册码,验证的算法都是一样的,难道作者以为你各个角落都验证一遍就不能破解了么。。
仔细看了搜索出来的结果,他是一些重要的表操作时就会去验证一遍,挺谨慎的嘛,上面标蓝的地方就是登陆的时候主页验证,我们从这里开始。
点击进入该方法
从上面代码可以看出,其实注册码分为两个部分,以’g’字符隔开,前面一部分是由MD5加密,后面一部分暂时不清楚,前面我们推论注册码是由URL来的,我们有理由怀疑
的this.j3G1XJp4Xe, this.EsQ1WjnrPD肯定有一个是URL字段,至于另一个是什么得去寻找,一般来说我们初始化的时候会在类的构造函数初始化,相信在构造函数里面,我们会知道这两个字段的意思,忘记了这是web,我们应该从Page_load页面加载里面去寻找:
protected void Page_Load(object sender, EventArgs e) { string connectionString; int[] num; while (true) { IL_24F: this.Qi911iK25u = ":" + master_login.tDhwcmhvMr4nRqlEc9G(base.Request)["SERVER_PORT"]; while (true) { IL_232: if (this.Qi911iK25u == ":80") { this.Qi911iK25u = ""; } this.EsQ1WjnrPD = this.Jbr136aAXj(master_login.MpkoQbh7EvS0PEFh1B3(master_login.rEXTLBh8uXG8glkV91p(ConfigurationManager.AppSettings, "Url").ToString())); master_login.xncn9GhN2hVekNKKcgK(); if (!master_login.DMFvcGhZ55jZPl06Jhl()) { goto IL_FA; } goto IL_215; IL_1CA: bool flag; while (!(flag = (base.Request.Form["username"] == null))) { this.NTR1li2VG4(); this.Yqx1ac8tvS = new Conn(); connectionString = master_login.lPkTddhObfF6vvZs9Ta(this.Yqx1ac8tvS); num = new int[] { 41, 0, 6, 4, 26, 3, 12, 8, 13, 93, 28, 38, 44 }; while (true) { this.j3G1XJp4Xe = this.Yqx1ac8tvS.GetString(num); num = new int[] { 87, 4, 17, 17, 14, 17, 76, 34, 13, 21, 0, 11, 8, 3, 73, 37, 8, 2, 4, 13, 18, 4 }; this.DDU1A3AUYe = this.Yqx1ac8tvS.GetString(num); int expr_AA = 7; if (master_login.xncn9GhN2hVekNKKcgK()) { switch (expr_AA) { case 0: goto IL_232; case 2: case 4: goto IL_FA; case 3: case 8: goto IL_215; case 5: goto IL_176; case 6: continue; case 7: goto IL_276; case 9: goto IL_2AE; case 10: goto IL_1CA; case 11: goto IL_24F; case 12: goto IL_2F5; case 13: return; } break; } break; } goto IL_187; } return; IL_FA: this.KpC1B5ZX4p = this.Jbr136aAXj(master_login.tDhwcmhvMr4nRqlEc9G(master_login.rnmK14hAjv0aZay85lt(this))["SERVER_NAME"].ToLower()); if (!master_login.MAaokyhM2irc0iduDgg(this.KpC1B5ZX4p, "localhost")) { goto IL_1CA; } int num2 = this.KpC1B5ZX4p.IndexOf(this.EsQ1WjnrPD); string a; if (num2 >= 0) { a = this.KpC1B5ZX4p.Substring(num2, this.KpC1B5ZX4p.Length - num2); goto IL_176; } master_login.a6dZyFh3MrLLslJyyx5(this).Write("<script>location.href='http://" + this.EsQ1WjnrPD + this.Qi911iK25u + "/e/master/login.aspx';</script>"); goto IL_215; IL_187: if (!flag) { this.KpC1B5ZX4p = this.EsQ1WjnrPD; goto IL_1CA; } master_login.a6dZyFh3MrLLslJyyx5(this).Write("<script>location.href='http://" + this.EsQ1WjnrPD + this.Qi911iK25u + "/e/master/login.aspx';</script>"); base.Response.End(); goto IL_1CA; IL_215: master_login.a6dZyFh3MrLLslJyyx5(this).End(); goto IL_1CA; IL_176: flag = !(a == this.EsQ1WjnrPD); goto IL_187; } } IL_276: num = new int[] { 87, 4, 17, 17, 14, 17, 76, 34, 13, 21, 0, 11, 8, 3, 73, 28, 14, 15, 24, 17, 8, 6, 7, 19 }; this.wht18BDAPc = this.Yqx1ac8tvS.GetString(num); num = new int[] { 75, 41, 14, 22, 4, 17, 4, 3, 93, 1, 24, 93, 41, 0, 6, 4, 26, 3, 12, 8, 13, 93, 28, 38, 44 }; IL_2AE: this.eA41Kphpj9 = this.Yqx1ac8tvS.GetString(num); this.kwo1i4CnR3 = this.ne91erSgMV(); this.GqT1YHkWWq = new OleDbConnection(connectionString); master_login.qOyjNXhFe7tECUDuWP7(this.GqT1YHkWWq); this.gII1QQxT9S(); this.aK41NqyDHj(); this.Tov1vquSFP(); IL_2F5: this.GqT1YHkWWq.Close(); }
仔细看上面的代码,我们会发现,this.EsQ1WjnrPD就是URL,但是经过了一些处理,即去掉了域名前面的“WWW.”,this.j3G1XJp4Xe是经过特殊算法得出字符串。by Zengg
算法源码:
{ int[] num = new int[]{ 41, 0, 6, 4, 26, 3, 12, 8, 13, 93, 28, 38, 44 }; this.j3G1XJp4Xe = GetString(num); } public string GetString(int[] num) { string text = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789~!@#$%^&*()_+-={}[]:\";'<>?,./\\| "; StringBuilder stringBuilder = new StringBuilder(); string result; if (num.Length > 0) { for (int i = 0; i < num.Length; i++) { stringBuilder.Append(text[num[i]]); } result = stringBuilder.ToString(); } else { result = ""; } return result; }
MD5算法:
public class Md5 { public string Get_Md5(string s) { MD5 mD = new MD5CryptoServiceProvider(); Encoding encoding = Encoding.GetEncoding("UTF-8"); string s2 = "pageadmin cms"; byte[] array = mD.ComputeHash(encoding.GetBytes(s)); byte[] array2 = mD.ComputeHash(encoding.GetBytes(s2)); StringBuilder stringBuilder = new StringBuilder(32); for (int i = 0; i < array.Length; i++) { stringBuilder.Append(((int)(array[i] + array2[i])).ToString("x").PadLeft(2, '0')); } return stringBuilder.ToString(); } public string Md5_Num(string s) { string text = ""; for (int i = 0; i < s.Length; i++) { if (i == s.Length - 1) { text += this.GetNum(s[i].ToString()).ToString(); } else { text = text + this.GetNum(s[i].ToString()).ToString() + ","; } } return text; } private int GetNum(string C) { string text = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789~!@#$%^&*()_+-={}[]:\";'<>?,./\\| "; int num = text.IndexOf(C); int result; if (num < 0) { result = -1; } else { result = num; } return result; } }
第一部分的注册码其实已经得出来的,即this.j3G1XJp4Xe+this.EsQ1WjnrPD的字符串经过MD5加密就是第一部分的注册码,下面我们去寻找第二部分的线索,重新回到上次搜索"License"的列表,经过一个个的排查,发现了重要线索。
进入这个方法
从上面的代码可以推出,后部分注册码,其实就是URL的长度乘以2,到这里其实注册码差不多已经出来了,基本格式
MD5(this.j3G1XJp4Xe+this.EsQ1WjnrPD)+“g”+URL.Length*2+?....注册码例子:ef12a131357bb3e67396e01061141385da5149g143
剩余核心算法:
private static bool g031FKBmaF(string A_1) { string[] array = new string[5]; array[0] = "^127[.]0[.]0[.]1$"; array[1] = "^localhost$"; array[2] = "^10[.]\\d{1,3}[.]\\d{1,3}[.]\\d{1,3}$"; array[3] = "^172[.]((1[6-9])|(2\\d)|(3[01]))[.]\\d{1,3}[.]\\d{1,3}$"; array[4] = "^192[.]168[.]\\d{1,3}[.]\\d{1,3}$"; string[] array2 = array; int num = 0; IL_45: if (num >= array2.Length) { bool result = false; return result; } if (A_1 != null) { goto IL_64; } string arg_58_0 = ""; IL_55: if (Regex.IsMatch(arg_58_0, array2[num])) { bool result = true; return result; } num++; goto IL_45; IL_64: arg_58_0 = A_1; goto IL_55; } private static string Jbr136aAXj(string A_1) { bool arg_27_0; if (g031FKBmaF(A_1)) { arg_27_0 = false; goto IL_27; } arg_27_0 = (A_1.IndexOf(".") >= 0); IL_27: string result; if (!arg_27_0) { result = "localhost"; } else { result = A_1.Replace("www.", ""); } return result; }
写了这么多也够了,最后一个数字3代表的是.net后缀的域名,这里就不提供完整的程序源码,可能会涉及一些侵权,我写的其实也够详细了,
核心算法也贴出来,大家自己去写一个注册机吧,如果有想要域名对应的注册码的,请邮电我说明正当理由,我会考虑是否给你。
如果您看了本篇博客,觉得对您有所收获,请点击右下角的 [推荐]
如果您想转载本博客,请注明出处
如果您对本文有意见或者建议,欢迎留言
感谢您的阅读,请关注我的后续博客 Zengg
作者:Zengg
出处:http://www.cnblogs.com/01codeworld/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
