旁路保护（II）：利用激活访问敏感数据

linso

文章授权地址 https://zhuanlan.zhihu.com/p/25631037
及
http://www.52pojie.cn/thread-585671-1-1.html

0x00 前言   

在本文中，我们将讨论使用在线激活来验证许可证密钥并激活软件的应用程序。激活后，服务器允许用户使用其注册信息作为身份验证将其敏感数据上传到服务器。我们将探讨创建一个激活程序，它允许我们绕过在线激活并访问其他用户已上传的敏感数据。

0x00 正文


在OllyDbg中启动该目标，并尝试使用随机名称和序列注册它。
这里我用的用户名是Adam Curylo 序列号是12345

6

出现后单击okay和nag，暂停ollydbg并跟踪调用堆栈返回应用程序代码。经过几个步骤之后，我们到达了这里



看来这是验证程序。让我们在标记为“GenerujKluczProdukti ...”的函数上设置断点，并尝试再次注册。在断点之后，我们可以进入内部并看看其他情况。
在这个例程中，我们注意到有一个循环似乎用我名字中的字符替换大于> = $ 80的字符，它们的numerical/ordinal在＆＃ordinal; 中


然后我们在dephi中重建这个函数



现在我们可以生成一个有效的序列，我们可以看看在线激活。在跳过nag例程之后，再开始准备URL以验证我们与服务器的密钥。
在这一点上，我建议断开互联网或在防火墙中阻止应用程序联网。向下滚动后，我们可以看到一个字符串：[RETURN：OK]。下面是JLE。如果我们通过设置EAX = 0来绕过这个跳转，我们的应用程序便会认为服务器验证的序列是合法的。

让我们切换CMP EAX上的断点，-1，并允许程序尝试激活。一旦我们断开这里，立即设置EAX为0.现在，我们将开始存储我们修改后的信息在注册表中。
激活数据存储在HKEY_CURRENT_USER\Software\Classes\.pkcdoc2在下列字符串值o1= encrypted namek1= encrypted serialv1= encrypted versionwk= server result (0)

除外的每个wk（sever结果）都是使用以下算法加密



此例程加密名称，密钥和版本号的每个单个字符。然后将加密字符（
即WORD（16位无符号））转换为数字字符串（inttostr），并将其添加到由空格分隔的数字字符串。我们可以以这种方式重新创建例程：


然后将此例程的结果添加到注册表中。我们可以使用TRegistry单元在delphi中做到这一点。



现在，我们可以使用此激活程序激活应用程序与任何名称（user），无需在线验证。现在应用程序已注册到软件，我们现在可以访问他已经存储在服务器上的任何数据。
这是因为服务器通过使用用户名和许可证密钥来授权对存储在服务器上的信息的访问。

由于每个许可用户只有一个可以使用的许可证密钥，并且每个用户的名称都与其结果一起发布，因此我们可以简单地使用其名称激活软件以访问其数据。

Tomatoman

看不到图啊！！！能再来一发嘛？让后辈学习下

××××××××××××××××××××××××××××××
原来可以到  知乎  上看啊！

spv999

不错不错！！！！！！！！！！

www.52pojie.cn

很高端的样子

Hmily

@linso 图片无法访问，你这个是原创吗？这么感觉像很老的文章。

daocao

感谢分享，支持

吾爱的大神

谢谢楼主

温柔你的兔子哥

感谢楼主分享

1025170214

图片是外链的 无法查看