吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2278|回复: 3
收起左侧

[其他转载] 关于数字证书在软件验证里的应用思路和破解思路

[复制链接]
xieyi1393 发表于 2020-4-16 19:00
现在晚上流传了很多软件验证源码,RSA的不少,但我看了很多都感觉不尽人意,比如从X站上下的一套易语言开源软件验证源码,标明RSA,内部做工还算靠谱,接着一串网址亮瞎了吾眼,再仔细一分析,这程序居然用百度做时间同步源???!!!直接抓包改包秒变永久使用这软件验证也写的太不靠谱了吧


于是,我运用现有知识,给大家整理出来这篇文章


一.对于RSA证书
对于RSA证书,建议使用X.509格式而不是自己编纂一个(少造轮子),以及,扩展密钥用途必须包含"客户端身份验证"(方便日后通过客户端认证访问其他服务器),以及加入CRL验证备用


二.对于时间戳的验证
时间戳验证不采用任何不被信任的措施,而是使用第三方CA机构的TSA服务器颁发当前时间.客户端通过一个主题为一串随机字符串的CSR发送到第三方CA机构的TSA服务器上.由TSA服务器签名后返回客户端,客户端验证证书有效后取出其中签名的时间

破解思路:
替换掉软件里面的信任证书/修改内存达到破解的目的

今天就发这篇文章,好了继续溜

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| xieyi1393 发表于 2020-4-16 20:57
其实使用第三方CA的TSA服务器另外一方面也是为了抗被打,他们的服务器应该特抗打
ram1325 发表于 2020-4-24 01:11
 楼主| xieyi1393 发表于 2020-4-24 12:20
ram1325 发表于 2020-4-24 01:11
请问时间戳的验证怎么破

也是更换信任证书,然后抓包改包,或者直接走OD绕过验证逻辑
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-17 04:47

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表