160個crackme(6)----aLoNg3x(詳細非暴力破解)
測試輸入nome和codice發現nome最多可以輸入10個字元,codice沒有限制
用PEiD查殼,無殼並且發現是Delphi編寫的程式
作者在這裡提示說要隱藏OK和cancella按鈕,最後就可以看到Ringzer0 logo
這裡總結對Delphi下斷點的方法:
(1)找到Delphi的按鈕事件然後下斷點
OD載入後,CTRL+G,轉到00401000處
然後就CTRL+B,查詢特徵碼740E8BD38B83????????FF93????????然後就會找到下面的地方:
然後就在下面的CALL處下斷吧.
下面的工作就是不斷的CTRL+L繼續查詢和F2下斷了.
(2)逆向Delphi有個神器DeDe,用DeDe分析
在窗體這裡觀察,在這裡可以看到對
轉到過程,這可以看到CodiceOnchange這個事件,並且有它的地址,還有OkClick事件,複製下它的地址,轉到OD裡下斷點
比較使用的下斷點的方法就介紹到這裡,現在開始真正的逆向這個程式:
執行程式,輸入nome和codice:
剛輸入完codice,程式就停在了剛下的斷點處:
進入到這個call裡:先判斷長度是否小於等於5,是的話就直接退出,所以nome長度必須大於5
這裡過程比較多,首先對nome進行處理,可以看到裡面有個迴圈,還原成c程式碼大致為:
for(int i = 1,sum = 0; i <= len;i++) sum+=nome[i-1] * nome[i] * i + (len - i);
最後得到的sum放在ebx中,然後有一個call將codice的值轉換為16進位制放在eax中,最後ebx-eax,結果等於0x29A則說明結果正確
對應的程式碼如下:
nome = raw_input()
sum = len(nome)
for i in range(len(nome)):
sum += ord(nome[i-1])* ord(nome[i])*i
print sum-0x29a執行結果:
雖然成功讓ok顯示出來了,但是點選一下後有變成了灰色,並且cancella沒有隱藏。根據相同思路,對cancella下斷點
可以看到,那個call是關鍵跳轉,進去後可以看到相應程式碼,取nome
對應的程式碼如下:
k = ord(nome[4])
k %= 7
k += 2
temp = 1
for i in range(1,k+1):
temp *= i
print temp
sum = 0
for i in range(len(nome)):
sum+=ord(nome[i])*temp執行,輸入我們算好的codice,點選cancella,結果如下:
雖然cancella沒有了,但是OK還在,所以我們還沒有成功,按照邏輯來說,應該是要同時滿足上述的兩個條件,只能窮舉攻擊了
攻擊程式碼如下:
nome=[]
def aLoNg3x(nome):
#nome = raw_input()
sum1 = len(nome)
for i in range(len(nome)):
sum1 += ord(nome[i-1])* ord(nome[i])*i
#print "Ok的codice:"
sum1 -= 0x29a
k = ord(nome[4])
k %= 7
k += 2
temp = 1
for i in range(1,k+1):
temp *= i
sum2 = 0
for i in range(len(nome)):
sum2 +=ord(nome[i])*temp
#print "Cancella的codice:"
sum2 -= 0x7A69
if sum1==sum2:
print nome
print sum1
if __name__=='__main__':
word=['A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', ]
str = []
for i in word:
for j in word:
for k in word:
for l in word:
for m in word:
for n in word:
nome=i+j+k+l+m+n
if len(nome)==6:
aLoNg3x(nome)