成都信息工程学院第八届信息安全技术大赛--crackme1爆破分析

下载地址:https://files.cnblogs.com/tk091/crackme1.7z

得到一个crackme,首先我们要对其进行分析,从而考虑如何下手,首先查壳,当然是无壳的了,然后运行程序,了解大致的情况。

发现这是一个控制台程序,载入OD运行,看下OD的注释,发现有

 1 0040139E  |.  52            push edx                                 ; /pWSAData
 2 0040139F  |.  68 02020000   push 0x202                               ; |RequestedVersion = 202 (2.2.)
 3 004013A4  |.  E8 07020000   call <jmp.&WS2_32.#115>                  ; \WSAStartup
 4 004013A9  |.  6A 00         push 0x0                                 ; /Protocol = IPPROTO_IP
 5 004013AB  |.  6A 01         push 0x1                                 ; |Type = SOCK_STREAM
 6 004013AD  |.  6A 02         push 0x2                                 ; |Family = AF_INET
 7 004013AF  |.  E8 F6010000   call <jmp.&WS2_32.#23>                   ; \socket
 8 004013B4  |.  8985 60FAFFFF mov [local.360],eax
 9 004013BA  |.  66:C785 50FAF>mov word ptr ss:[ebp-0x5B0],0x2
10 004013C3  |.  68 BE150000   push 0x15BE                              ; /NetShort = 15BE
11 004013C8  |.  E8 D7010000   call <jmp.&WS2_32.#9>                    ; \ntohs
12 004013CD  |.  66:8985 52FAF>mov word ptr ss:[ebp-0x5AE],ax
13 004013D4  |.  68 54304200   push crackme1.00423054                   ; /127.0.0.1
14 004013D9  |.  E8 C0010000   call <jmp.&WS2_32.#11>                   ; \inet_addr
15 004013DE  |.  8985 54FAFFFF mov [local.363],eax
16 004013E4  |.  6A 10         push 0x10                                ; /AddrLen = 10 (16.)
17 004013E6  |.  8D85 50FAFFFF lea eax,[local.364]                      ; |
18 004013EC  |.  50            push eax                                 ; |pSockAddr
19 004013ED  |.  8B8D 60FAFFFF mov ecx,[local.360]                      ; |
20 004013F3  |.  51            push ecx                                 ; |Socket
21 004013F4  |.  E8 9F010000   call <jmp.&WS2_32.#4>                    ; \connect

网络连接的函数,考虑是基于本地网络验证的,在本地验证中,肯定有一个发送注册码和接受验证码的情况。

我们只需要爆破接受的结果即可。

OD载入

1 00401D56  |.  52            push edx
2 00401D57  |.  A1 F8654200   mov eax,dword ptr ds:[0x4265F8]
3 00401D5C  |.  50            push eax
4 00401D5D  |.  8B0D F4654200 mov ecx,dword ptr ds:[0x4265F4]
5 00401D63  |.  51            push ecx
6 00401D64  |.  E8 A1F2FFFF   call crackme1.0040100A                   ;  主函数入口

我们跟进去,单步

1 00401281  |.  50            push eax
2 00401282  |.  68 74304200   push crackme1.00423074                   ;  %s
3 00401287  |.  E8 94090000   call crackme1.00401C20                   ;  这里是scanf

走到scanf,输入key然后回车确定,中断后继续分析

1 0040128C    83C4 08         add esp,0x8
2 0040128F    8D8D 00FEFFFF   lea ecx,dword ptr ss:[ebp-0x200]
3 00401295    51              push ecx
4 00401296    E8 05090000     call crackme1.00401BA0
5 0040129B    83C4 04         add esp,0x4
6 0040129E    83F8 10         cmp eax,0x10                             ; 比较key的长度

这里我们发现有一个和注册码长度的对比,原来是看注册码是否满足16位,那我们就来修改代码,让程序无法验证长度

1 0040129E    83F8 10         cmp eax,0x10                             ; 比较key的长度
2 004012A1    74 0C           je crackme1.004012AF                    ; 关键跳
3 004012A3    E8 5DFDFFFF     call crackme1.00401005
4 004012A8    33C0            xor eax,eax
5 004012AA    E9 E5010000     jmp crackme1.00401494                    ; 跳转到结束

我们把比较的地方修改为

1 0040129E  |.  3BC0          cmp eax,eax

这样就OK 了,我们保存文件,重新载入,发现程序可以正常运行。

我们继续跟踪,一直到recv为止

1 00401437  |.  6A 00         |push 0x0                                ; /Flags = 0
2 00401439  |.  68 FF000000   |push 0xFF                               ; |BufSize = FF (255.)
3 0040143E  |.  8D85 00FFFFFF |lea eax,[local.64]                      ; |
4 00401444  |.  50            |push eax                                ; |Buffer
5 00401445  |.  8B8D 60FAFFFF |mov ecx,[local.360]                     ; |
6 0040144B  |.  51            |push ecx                                ; |Socket
7 0040144C  |.  E8 3B010000   |call <jmp.&WS2_32.#16>                  ; \recv

继续向下,看有没有跳转

1 0040146A  |.  52            push edx
2 0040146B  |.  68 40304200   push crack.00423040                      ;  ASCII "Sycflowercompany"
3 00401470  |.  E8 4B050000   call crack.004019C0
4 00401475  |.  83C4 08       add esp,0x8
5 00401478  |.  85C0          test eax,eax
6 0040147A  |.  75 11         jnz  crack.0040148D                      ;  关键跳
7 0040147C  |.  68 28304200   push crack.00423028                      ;  ASCII "Congratulations!!!
8 "

这样,我们就可以爆破了。

posted @ 2012-05-02 19:58  r3call  阅读(403)  评论(1编辑  收藏  举报