吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1892|回复: 3
收起左侧

[原创] 【原创】Crackme分析过程,手写exp,payload

[复制链接]
hujiayucc 发表于 2023-9-7 18:47
本帖最后由 hujiayucc 于 2023-9-7 18:48 编辑

前言

本CM由作者本人编写,现已开源:https://github.com/hujiayucc/Crackme2


解密过程

调试环境

  • Debian buster Arm64
  • Termux OpenSSH
  • Radare 5.8
  • g++/clang++(用于编译运行payload)

注:可用gcc/clang平替g++/clang++

Crackme2

简单查看一下ELF文件,可以发现是一个UPX压缩壳,脱壳方法有很多,可以通过DUMP内存来获取源程序的代码,也可以通过UPX官方提供的工具来解压,网上教程很多不过多介绍。

解密后用Radare2分析

跳转定位到main函数

没有发现有价值的线索,简单阅读一下汇编:

str w0, [sp, 0x1c]  ; 第一个参数
str x1, [sp, 0x10]   ; 第二个参数的第二个元素数据 例如args[1]
cmp w0, 1             ; 判断第一个参数是否为1
; ...忽略为1代码段....
adrp x0, map._root_Crackme2_Crackme2.rw_ ; 将map._root_Crackme2_Crackme2.rw_地址存到x0寄存器
ldr x0, [x0, 0xfb8]   ; 将x0 + 0xfb8的地址加载到x0寄存器
str x1, [x0]               ; 将x1的数据写入x0,x0=0x5f24b05000

也就是将输入的参数赋值给了0x5f24b05000地址!

这里再讲一下ELF文件的代码执行顺序,main并非是最先执行的,也不是最后执行的,从入口进入如果有其他函数存在,就不会最先执行main,相同道理程序运行结束也是,所以之前有人粗心没注意看entry入口,说我CM写的有问题。

这里没有发现entry.init,自动忽略,直接来看到entry.fini:

汇编语法上面做了简要说明,这里不一一介绍了(懒得码字/doge)
这里是通过sym.imp.dlsym函数加载了一个外部动态库,动态库名字地址为0x5f24b05fa0,我们打印看一下

check为sym.imp.dlsym加载的函数或变量/常量,下面对check进行了传参,那说明是一个函数。
传入的数据0x5f24b05fb8正是我们输入的参数,显而易见了,是验证flag。

这里讲个小知识,在Linux中可以使用ldd命令查看可执行文件link的库文件~

libxy.so


从汇编代码中看到

stp x29, x30, [sp, -0x20]!  ; 调用了一个地址-0x20的函数
; 这里传入两个参数,第一个参数为传入的flag
stp x19, x20, [sp, 0x10]
mov x19, x0
; 第二个为flag的长度
bl sym.imp.strlen
mov w1, w0
mov x0, x19

直接转到-0x20地址

看到verify函数了,这里有一个循环判断,判断flag字符是否为第一个
有多层异或代码,反汇编看一下伪代码

简化一下代码

bool verify(long *param_1, int param_2)
{
        for (int i = 0;i < param_2)
        {
                long *l = *(0xbd0 + i);
                switch (i)
                {
                        case 0:
                                if (l != (param_2 ^ (0xc6e6 | 0xbb0000) ^ param_1[i])) return false;
                                break;
                        default:
                                if (l != (i * (0x5677 | 0x1310000) ^ param_1[i]) ^ param_2) return false;
                                break;
                }
        }
    return param_2 == 0x17;
}

这里调用了0xbd0地址的数据,循环了23次,每次往后推8个字节,由此我们可以这样做

然后我们可以写个小小的exp来输出为16进制:

#include <iostream>

using namespace std;

const long buffer[23] = {
    12306071, 20010508, 40021144, 60031765,
    80042416, 100053036, 120063727, 140074275,
    160084895, 180095570, 200106113, 220116835,
    240127410, 260138109, 280148645, 300159127,
    320169809, 340180357, 360191096, 380201633,
    400212334, 420222903, 440233552
};

int main()
{
        for (int i = 0;i < 23;i++)
    {
        cout << "0x" << hex << buffer[i] << ", ";
    }

    cout << endl;
}

也可以不转换,我这儿转换只是为了看着舒服(被编程惯坏了)

payload

根据上面解析出来的验证规则,写一个payload,实现自动输出flag

#include <iostream>

using namespace std;

const long buffer[23] = {
    0xbbc697, 0x131560c, 0x262ac98,
    0x3940315, 0x4c559b0, 0x5f6b02c,
    0x72806ef, 0x8595d23, 0x98ab39f,
    0xabc0a52, 0xbed6081, 0xd1eb763,
    0xe500db2, 0xf81647d, 0x10b2baa5,
    0x11e41097, 0x13156751, 0x1446bd85,
    0x15781478, 0x16a96aa1, 0x17dac16e,
    0x190c17b7, 0x1a3d6e50,
};

int get(long l, int i)
{
    if (i == 0) return (23 ^ (0xc6e6 | 0xbb0000) ^ l);
    else return (i * (0x5677 | 0x1310000) ^ l ^ 23);
}

int main()
{
        for (int i = 0;i < 23;i++)
    {
        cout << ((char) get(buffer[i], i));
    }

    cout << endl;
}

得到flag以后直接进行验证

验证成功!!!

挂个payload2

#include <dlfcn.h>
#include <iostream>

using namespace std;

int get(long l, int i, int ii)
{
    if (i == 0) return l ^ ((2001L*615*1950/195) ^ ii);
    return (l ^ (20010615*i)) ^ ii;
}

int main()
{
    void *handle = dlopen("libxy.so", RTLD_LAZY);
    if (handle == NULL) exit(-1);
    long *buffer = (long*) dlsym(handle, "buffer");
    char flag[23] = {};
        for (int i = 0;buffer[i] > 0;i++)
    {
        flag[i] = get(buffer[i], i, 23);
    }
        cout << flag << endl;;
    dlclose(handle);
}

总结

到处就结束了,因为还有很多不足的地方需要学习,还望各位大佬多多指教!

免费评分

参与人数 4威望 +1 吾爱币 +23 热心值 +4 收起 理由
笙若 + 1 + 1 谢谢@Thanks!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hrh123 + 1 + 1 用心讨论,共获提升!
BonnieRan + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| hujiayucc 发表于 2023-9-8 10:56
BonnieRan 发表于 2023-9-8 07:42
请问一下楼主,radare2反编译成伪C代码你用的是啥,pdc/r2dec/还是别的呀

用的r2ghidra,安装命令是 r2pm -ci r2ghidra
BonnieRan 发表于 2023-9-8 07:42
请问一下楼主,radare2反编译成伪C代码你用的是啥,pdc/r2dec/还是别的呀
BonnieRan 发表于 2023-9-8 11:31
hujiayucc 发表于 2023-9-8 10:56
用的r2ghidra,安装命令是 r2pm -ci r2ghidra

好的好的,感谢,我去试试
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:11

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表