Reversing.Kr writeup

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Reversing.Kr writeup相关的知识,希望对你有一定的参考价值。

Reversing.Kr writeup

这个网站http://reversing.kr 学习逆向很不错。各个平台的逆向都有,最近在慢慢的刷这些题

Easy Crack

看名字就知道很简单,PEID查壳,拖入OD,找到关键代码

  1. 0040109B|.8B7C2470 mov edi,dword ptr ss:[esp+0x70];|user32.76D1D2B3
  2. 0040109F|.8D442408 lea eax,dword ptr ss:[esp+0x8];|
  3. 004010A3|.50 push eax ;|Buffer=0000000D
  4. 004010A4|.68 E8030000 push 0x3E8;|ControlID=3E8(1000.)
  5. 004010A9|.57 push edi ;|hWnd =0060157E(‘Easy CrackMe‘,class=‘#32770‘)
  6. 004010AA|. FF15 9C504000 call dword ptr ds:[<&USER32.GetDlgItemTe>; \GetDlgItemTextA
  7. 004010B0|.807C240561 cmp byte ptr ss:[esp+0x5],0x61;比较1
  8. 004010B5757E jnz shortEasy_Cra.00401135
  9. 004010B7|.6A02 push 0x2
  10. 004010B9|.8D4C240A lea ecx,dword ptr ss:[esp+0xA]
  11. 004010BD|.6878604000 push Easy_Cra.00406078; ASCII "5y"
  12. 004010C2|.51 push ecx ; user32.76D0B7D6
  13. 004010C3|. E8 88000000 call Easy_Cra.00401150
  14. 004010C8|.83C40C add esp,0xC
  15. 004010CB|.85C0 test eax,eax ;比较2
  16. 004010CD7566 jnz shortEasy_Cra.00401135
  17. 004010CF|.53 push ebx ;Easy_Cra.00401020
  18. 004010D0|.56 push esi ;Easy_Cra.00401020
  19. 004010D1|. BE 6C604000 mov esi,Easy_Cra.0040606C; ASCII "R3versing"
  20. 004010D6|.8D442410 lea eax,dword ptr ss:[esp+0x10]
  21. 004010DA|>8A10/mov dl,byte ptr ds:[eax]
  22. 004010DC|.8A1E|mov bl,byte ptr ds:[esi]
  23. 004010DE|.8ACA|mov cl,dl
  24. 004010E0|.3AD3|cmp dl,bl
  25. 004010E2|.751E|jnz shortEasy_Cra.00401102
  26. 004010E4|.84C9|test cl,cl
  27. 004010E6|.7416|je shortEasy_Cra.004010FE
  28. 004010E8|.8A5001|mov dl,byte ptr ds:[eax+0x1]
  29. 004010EB|.8A5E01|mov bl,byte ptr ds:[esi+0x1]
  30. 004010EE|.8ACA|mov cl,dl
  31. 004010F0|.3AD3|cmp dl,bl
  32. 004010F2|.750E|jnz shortEasy_Cra.00401102
  33. 004010F4|.83C002|add eax,0x2
  34. 004010F7|.83C602|add esi,0x2
  35. 004010FA|.84C9|test cl,cl
  36. 004010FC|.^75 DC \jnz shortEasy_Cra.004010DA
  37. 004010FE|>33C0 xor eax,eax
  38. 00401100|. EB 05 jmp shortEasy_Cra.00401107
  39. 00401102|>1BC0 sbb eax,eax
  40. 00401104|.83D8 FF sbb eax,-0x1
  41. 00401107|>5E pop esi ;Easy_Cra.00401020
  42. 00401108|.5B pop ebx ;Easy_Cra.00401020
  43. 00401109|.85C0 test eax,eax ;比较3
  44. 0040110B7528 jnz shortEasy_Cra.00401135
  45. 0040110D|.807C240445 cmp byte ptr ss:[esp+0x4],0x45;比较4
  46. 004011127521 jnz shortEasy_Cra.00401135
  47. 00401114|.6A40 push 0x40;/Style= MB_OK|MB_ICONASTERISK|MB_APPLMODAL
  48. 00401116|.6858604000 push Easy_Cra.00406058;|Title="EasyCrackMe"
  49. 0040111B|.6844604000 push Easy_Cra.00406044;|Text="Congratulation !!"
  50. 00401120|.57 push edi ;|hOwner =0060157E(‘Easy CrackMe‘,class=‘#32770‘)
  51. 00401121|. FF15 A0504000 call dword ptr ds:[<&USER32.MessageBoxA>>; \MessageBoxA
  52. 00401127|.6A00 push 0x0;/Result=0x0
  53. 00401129|.57 push edi ;|hWnd =0060157E(‘Easy CrackMe‘,class=‘#32770‘)
  54. 0040112A|. FF15 A4504000 call dword ptr ds:[<&USER32.EndDialog>]; \EndDialog
  55. 00401130|.5F pop edi
  56. 00401131|.83C464 add esp,0x64
  57. 00401134|. C3 retn
  58. 00401135|>6A10 push 0x10;/Style= MB_OK|MB_ICONHAND|MB_APPLMODAL
  59. 00401137|.6858604000 push Easy_Cra.00406058;|Title="EasyCrackMe"
  60. 0040113C|.6830604000 push Easy_Cra.00406030;|Text="Incorrect Password"
  61. 00401141|.57 push edi ;|hOwner =0060157E(‘Easy CrackMe‘,class=‘#32770‘)
  62. 00401142|. FF15 A0504000 call dword ptr ds:[<&USER32.MessageBoxA>>; \MessageBoxA

输入Ea5yR3versing(这就是flag)
看到这句话
技术分享
技术分享
也就是说,当运行到这里的时候,我们的输入已经入栈,首字符‘E‘存在[esp+0x4]
接下来上面的代码就是不断判断这个字符串各个位置的字符是否和程序中预先写好的一样,一旦有一个地方不一样,就直接跳转到00401135去弹出Incorrect Password窗口。根据程序中硬编码的字符串,拼接出来正确的字符串就是Ea5yR3versing
技术分享
当然,这道题直接nop掉所有相关跳转也可以暴力破解。

Easy Keygen

win32的程序,无壳,拖入IDA,反编译,看看大概逻辑

  1. int __cdecl main(int argc,constchar**argv,constchar**envp)
  2. {
  3. signedint v3;// [email protected]
  4. signedint i;// [email protected]
  5. int result;// [email protected]
  6. char v6;// [sp+Ch] [bp-130h]@1
  7. char v7;// [sp+Dh] [bp-12Fh]@1
  8. char v8;// [sp+Eh] [bp-12Eh]@1
  9. char v9;// [sp+10h] [bp-12Ch]@1
  10. char v10;// [sp+11h] [bp-12Bh]@1
  11. __int16 v11;// [sp+71h] [bp-CBh]@1
  12. char v12;// [sp+73h] [bp-C9h]@1
  13. char v13;// [sp+74h] [bp-C8h]@1
  14. char v14;// [sp+75h] [bp-C7h]@1
  15. __int16 v15;// [sp+139h] [bp-3h]@1
  16. char v16;// [sp+13Bh] [bp-1h]@1
  17. v9 =0;
  18. v13 =0;
  19. memset(&v10,0,0x60u);
  20. v11 =0;
  21. v12 =0;
  22. memset(&v14,0,0xC4u);
  23. v15 =0;
  24. v16 =0;
  25. v6 =16;
  26. v7 =32;
  27. v8 =48;
  28. sub_4011B9(aInputName);
  29. scanf(aS,&v9);
  30. v3 =0;
  31. for( i =0; v3 <(signedint)strlen(&v9);++i )
  32. {
  33. if( i >=3)
  34. i =0;
  35. sprintf(&v13, aS02x,&v13,*(&v9 + v3++)^*(&v6 + i));// aS02x==>%s%02X,指定了格式,表示长度为两位的16进制显示,并且如果有字母,字母大写
  36. }
  37. memset(&v9,0,0x64u);
  38. sub_4011B9(aInputSerial);
  39. scanf(aS,&v9);
  40. if(!strcmp(&v9,&v13))
  41. {
  42. sub_4011B9(aCorrect);
  43. result =0;
  44. }
  45. else
  46. {
  47. sub_4011B9(aWrong);
  48. result =0;
  49. }
  50. return result;
  51. }

注意sprintf的参数aS02x,通过OD的动态调试,我们可以看到这个参数的具体意思
技术分享
给出通过name计算serial的注册机代码

  1. name = raw_input()
  2. ordname =[]
  3. for i in range(len(name)):
  4. ordname.append(ord(name[i]))
  5. i =0
  6. v6 =[16,32,48]
  7. serial =[]
  8. for v3 in range(len(ordname)):
  9. if(i>=3):
  10. i =0
  11. serial.append(ordname[v3]^v6[i])
  12. i+=1
  13. flag =""
  14. for i in range(len(serial)):
  15. flag += chr(serial[i])
  16. print(flag.encode("hex").upper())

这个题目的要求是给一个serial,求出name,根据上面的代码,给出通过serial计算name的脚本

  1. serial ="5B134977135E7D13"
  2. serial =[ord(i)for i in serial.lower().decode("hex")]
  3. name =[]
  4. v6 =[16,32,48]
  5. i =0
  6. for v3 in range(len(serial)):
  7. if(i>=3):
  8. i =0
  9. name.append(serial[v3]^v6[i])
  10. i+=1
  11. print(name)
  12. namestr =""
  13. for j in range(len(name)):
  14. namestr+=chr(name[j])
  15. print(namestr)

计算结果K3yg3nm3

Replace

32位的无壳程序,先用IDA看看逻辑和一些字符串
发现有Correct!字符串,追踪交叉引再反编译,这段代码并看不懂。但是我们可以知道了这个关键字符串的地址
技术分享
在OD中找到这段代码
技术分享
这是关键代码

  1. 00401050.6A00 push 0x0;/IsSigned= FALSE
  2. 00401052.6A00 push 0x0;|pSuccess = NULL
  3. 00401054.68 EA030000 push 0x3EA;|ControlID=3EA(1002.)
  4. 00401059.56 push esi ;|hWnd =004010B0
  5. 0040105A. FF15 9C504000 call dword ptr ds:[<&USER32.GetDlgItemIn>; \GetDlgItemInt 调用API函数取得输入的内容
  6. 00401060. A3 D0844000 mov dword ptr ds:[0x4084D0],eax
  7. 00401065. E8 05360000 call Replace.0040466F;可以对ds:[0x4084D0]的内容做一个转换
  8. 0040106A.33C0 xor eax,eax
  9. 0040106C E9 1F360000 jmp Replace.00404690;无条件跳转
  10. 00401071 EB 11 jmp shortReplace.00401084
  11. 00401073.683460400>ascii "h4`@",0;Correct!
  12. 00401078.68 E9030000 push 0x3E9;|ControlID=3E9(1001.)
  13. 0040107D.56 push esi ;|hWnd =004010B0
  14. 0040107E. FF15 A0504000 call dword ptr ds:[<&USER32.SetDlgItemTe>; \SetDlgItemTextA

在在输出正确之前,有两个无条件跳转,先看第一个,这是跳转之后的代码

  1. 00404690> \A1 D0844000 mov eax,dword ptr ds:[0x4084D0]
  2. 00404695.689F464000 push Replace.0040469F
  3. 0040469A. E8 EAFFFFFF call Replace.00404689
  4. 0040469F. C705 6F464000>mov dword ptr ds:[0x40466F],0xC39000C6
  5. 004046A9. E8 C1FFFFFF call Replace.0040466F;这里程序报错了
  6. 004046AE.40 inc eax
  7. 004046AF. E8 BBFFFFFF call Replace.0040466F
  8. 004046B4. C705 6F464000>mov dword ptr ds:[0x40466F],0x6E8
  9. 004046BE.58 pop eax ;Replace.0040469F
  10. 004046BF. B8 FFFFFFFF mov eax,-0x1
  11. 004046C4.^ E9 A8C9FFFF jmp Replace.00401071

经过测试,程序在执行004046A9的call Replace.0040466F报错,进入这个函数

  1. 0040466F C600 90 mov byte ptr ds:[eax],0x90
  2. 00404672 C3 retn

这个0x90就是nop指令的16进制表示,也就是说这个指令将ds:[eax]中的指令nop掉,注意上段代码004046C4 .^ E9 A8C9FFFF jmp Replace.00401071就是跳转回这里执行
技术分享
这就是我上述的第二个无条件跳转点,只要我们用Replace.0040466F将这里的jmp指令nop掉就可以输出Correct了,所以所以说正好调用上这个Replace.0040466F函数。那么接下来我们要解决的问题就是怎么让eax=00401071。追踪eax的调用过程,首先是调用GetDlgItemIntAPI函数取得输入内容放在eax,并将eax赋给 ds:[0x4084D0]。接下来调用Replace.0040466F函数,这个函数对实现了对内存ds:[0x4084D0]的内容进行了某种转换,经过测试,我们可以认为这种转化是输入的值加上0x601605CB,这是输入值为0时,经过函数变换后ds:[0x4084D0]的值
技术分享
此外此函数还对eax加一。
接着是第一个无条件跳转指令,跳转到00404690执行mov eax,dword ptr ds:[0x4084D0]对eax赋值,接着就是进入Replace.0040466F,执行这句话0040466F C600 90 mov byte ptr ds:[eax],0x90。如果这个的eax=00401071就对了,也就是说我们要这个公式成立input+0x601605CB=0x00401071。如果上述公式成立,那么input一定是负数,但是经过测试此程序只可以输入正数。考虑eax是32位的,也就是说如果input+0x601605CB=0x100401071的话,会产生进位,但是eax=0x00401071。所以input=0x100401071-0x601605CB=2687109798,验证一下,输入上述值是正确的
技术分享

Easy_ELF

名字已经说的很明确了,Linux下的ELF文件逆向。
逻辑很简单,就是输入字符串,经过变换之后与已知值进行比较。
输入的值L1NUX

以上是关于Reversing.Kr writeup的主要内容,如果未能解决你的问题,请参考以下文章

reversing.kr学习之路-ransomeware

Reversing.kr Position分析题解

reversing.kr replace 之write up

reversing.kr easy crack 之write up

[Java代码审计]javacon WriteUp

Natas32 Writeup(Perl 远程代码执行)