【Reversing.kr】Replace
Reversing.kr是韩国的一个逆向题目网站有分国度的排行榜,还是挺有意思的
本题即来自于第五关Replace
http://reversing.kr/challenge.php可以下载到文件
先查一波壳,还好没有
运行,是一个GUI程序,下面Label框中显示Wrong!,说明没法找Msgbox了呢
随便输入后点Check,就停止运行了……嗯?这么暴力的,输错就GG吗惯例拖入IDA,WinMain中只有构造窗口的DialogBoxParamA函数,回调函数使用了DialogFunc搜索字符串发现Correct!在DialogFunc中有引用,遂查看代码并反编译:
// write access to const memory has been detected, the output may be wrong!
BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
BOOL result; // eax@2
if ( a2 == 273 )
{
if ( (unsigned __int16)a3 == 2 )
{
EndDialog(hDlg, 2);
result = 1;
}
else if ( (unsigned __int16)a3 == 1003 )
{
input = GetDlgItemInt(hDlg, 1002, 0, 0);
sub_40466F();
((void (__cdecl *)(void *))loc_404689)(&loc_40469F);
*(_DWORD *)sub_40466F = -1013972794;
sub_40466F();
sub_40466F();
*(_DWORD *)sub_40466F = 1768;
result = 1;
}
else
{
result = 0;
}
}
else
{
result = 0;
}
return result;
}
查了一波API手册,发现回调函数其实叫DialogProc,参数说明只能知道a2为指定消息uMsg,a3为指定消息的其他信息wParam
想研究一波前面判断的具体信息,但是没找到相关手册说明uMsg的对应表
内层循环体的GetDlgItemInt很明显就是获取对话框的值
输入了一下试试,发现只能接受数字,字母和符号都是无法输入的
在OD中下断DialogFunc,发现窗口开启状态下会不停地断到,说明消息是不断传送的。似乎是当焦点在窗口上方时a2=273,点击按钮时a3=3。
参数不搞明白倒是不怎么影响啦,在内层循环体下断可以在点击按钮后断到
将输入送入0x4084d0后就call 0040466F了
这个call是一个很关键很有趣的点,需要慢慢地仔细分析
首先回忆一下汇编中函数调用的相关知识
当call某处时,首先将下一条指令的地址压入栈中,然后将EIP改至该行
即相当于
push eip+x ;x是本次指令的长度
jmp n ;n是函数地址
函数运行完以后执行retn,将栈中之前的地址pop出栈,送入EIP中,继续运行
即相当于
pop eip
下面分析代码
0040466F $E8 06000000 call Replace.0040467A
00404674 81 db 81
00404675 .05 D0844000 add eax,Replace.004084D0
0040467A .C705 16604000>mov dword ptr ds:,0x619060EB
00404684 .E8 00000000 call Replace.00404689
00404689/$FF05 D0844000 inc dword ptr ds:
0040468F\.C3 retn
00404690 >A1 D0844000 mov eax,dword ptr ds:
00404695 .68 9F464000 push Replace.0040469F
0040469A .E8 EAFFFFFF call Replace.00404689
0040469F .C705 6F464000>mov dword ptr ds:,0xC39000C6
004046A9 .E8 C1FFFFFF call Replace.0040466F
004046AE .40 inc eax
004046AF .E8 BBFFFFFF call Replace.0040466F
004046B4 .C705 6F464000>mov dword ptr ds:,0x6E8
004046BE .58 pop eax ;Replace.00401020
004046BF .B8 FFFFFFFF mov eax,-0x1
004046C4 .^ E9 A8C9FFFF jmp Replace.00401071
进去就call 40467A
为另外一处赋值以后继续call 404689
在这里为我们的输入+1,然后ret n,即回到刚才call的下一行:404689
于是输入再+1,然后ret n,即回到最外层call的下一行:404674
关键来了,404674是db 81,即未被分析的数字
这里单步执行会发现直接跳到了40467E
http://img.blog.csdn.net/20170925180719382?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd2hrbGhoaGg=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast
也就是说,这一次执行复用了本来的404675处的指令
从机器码可以看出指令内容应该是81 05 D0 84 40 00 C7 05 16 60
于是我就去百度了好久的机器码跟汇编对应指令,也没研究明白……
最后乖乖用自动工具了囧
http://img.blog.csdn.net/20170925180611850?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd2hrbGhoaGg=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast
后面其余的指令没什么意义,再往后执行又同样call了404689,对4084D0+2
即整个call对地址4084D0增加了4+0x601605C7
出来后jmp到了404690
00404690 > \A1 D0844000 mov eax,dword ptr ds:
00404695 .68 9F464000 push Replace.0040469F
0040469A .E8 EAFFFFFF call Replace.00404689
0040469F .C705 6F464000>mov dword ptr ds:,0xC39000C6
004046A9 .E8 C1FFFFFF call Replace.0040466F
004046AE .40 inc eax
004046AF .E8 BBFFFFFF call Replace.0040466F
004046B4 .C705 6F464000>mov dword ptr ds:,0x6E8
004046BE .58 pop eax ;Replace.00401020
004046BF .B8 FFFFFFFF mov eax,-0x1
004046C4 .^ E9 A8C9FFFF jmp Replace.00401071
这里把值先送到了eax里
然后push 40469F,这个是为了之后retn准备的,倒是不用在意
call 404689又为4084D0加了一
然后为40466F赋值,再call 40466F
很明显这个call是刚赋值过即更改了指令的,我们跟随过去看一眼:
0040466F $C600 90 mov byte ptr ds:,0x90
00404672 ?C3 retn
对eax指向的内容赋值90
这里很明显就是之前随手输入报错的原因了:eax指向的地址不合法
我们修改一下eax使得它可以继续运行,找一个隔壁空的地址写入eax就可以了
之后程序对eax+1,再次call 40466F。也就是说一次对两个字节的内存写入90
pwn做多了马上就能反应过来\x90是NOP的机器码,也就是说这个call可以抹消两个字节的指令
暂时不知道用处在哪里,我们继续往下运行
还原40466F后jmp 401071:
00401071 /EB 11 jmp short Replace.00401084
00401073 |68 34604000 push Replace.00406034 ;Correct!
00401078 |68 E9030000 push 0x3E9 ; |ControlID = 3E9 (1001.)
0040107D . |56 push esi ; |hWnd = 004000D0
0040107E . |FF15 A0504000 call dword ptr ds:[<&USER32.SetDlgItemTe>; \SetDlgItemTextA
00401084 > \B8 01000000 mov eax,0x1
00401089 .90 nop
0040108A .90 nop
0040108B .90 nop
0040108C .90 nop
0040108D .90 nop
0040108E .90 nop
0040108F .90 nop
00401090 .5E pop esi ;Replace.004000D0
00401091 .5D pop ebp
00401092 .C2 1000 retn 0x10
我们可以看到,Correct的显示是通过SetDlgItemTextA的,现在执行近在咫尺,却又有一个jmp跳过了它。
并且注意OD显示,这个API前方到jmp之间是没有跳转落点的
也就是说,正常执行情况下,最多跳到401071,然后jmp走
那么很明显,要显示Correct,我们就要爆破掉这个jmp
而程序正好自己提供了两个字节的NOP来爆破
也就是说我们只需要计算好地址,使得call 40466F正好抹掉这个jmp就行了
它的地址是00401071,中间的计算是加0x601605CB(注意虽然最后有一个对内存的+1,但是40466F的操作数是eax,所以最终仍然是+4)
加数比得数大,因此需要利用eax的溢出
正好win10的计算器方便的不行,提供了程序员模块,将类型改至DWORD,就得到了结果:
http://img.blog.csdn.net/20170925183538464?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd2hrbGhoaGg=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast
注意输入的是十进制DEC,并且去掉负号哦~
为啥没人回复等着我来坐沙发? Poner 发表于 2017-9-27 16:36
为啥没人回复等着我来坐沙发?
{:301_1004:}大概太无聊了 谢谢版主沙发~ 感谢分享
页:
[1]