Andrnalin.2

又是一年寒岁至,更深月落满河星。

1. 信息收集

还是老规矩,先照我们的习惯来走一套

PEID查壳,VB程序,无壳

image-20220119112908151

打开crackme,看下程序流程。依旧是经典的Name/Serial类型

image-20220119113012008

image-20220119113032971

嗯~~~ 这次倒是对Key没有什么要求了,我们可以愉快的输入英文了。

2.程序分析

2.1 程序爆破

载入OD,查找字符串。刚好昨天看到了一篇帖子,说是VB语言是用的Unicode字符,因此查找字符串的时候需要搜素Unicode字符,而不是ASCII字符。

image-20220119114018672

搜索Unicode字符后,我们可以在中文搜索引擎中看到我们测试的时候,所看到的错误提示。

让我们来随意选中一个,双击进入函数

image-20220119114236090

根据OD的跳转提示,以及我们下面的字符提示,可以很明显的看出来这里就是我们的关键跳转。想要爆破的话,只要将这里nop掉,就可以成功爆破了

image-20220119114339792

2.2 算法分析

我一直都在强调,爆破并不是我们的最终目标,搞懂程序的算法流程才是最重要的。下面我们来继续看我们的算法部分

重新载入程序,拉到我们函数的开头部分下断,并运行,使程序断下来

image-20220119114835287

这个crackme分析的时候遇到了些问题,因为用到了太多的VB函数,但是我对VB不熟,导致分析时很难理解它的赋值等操作到底是怎么操作的。。。。

不过还好,通过它的函数,还是可以看个七七八八的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
00402126   .  FF15 20414000 call dword ptr ds:[<&MSVBVM50.__vbaVarForI>; \__vbaVarForInit	//初始化
0040212C   .  8B3D 04414000 mov edi,dword ptr ds:[<&MSVBVM50.__vbaFree>;  MSVBVM50.__vbaFreeVarList		//释放缓冲区
00402132   >  85C0          test eax,eax                               ;  循环标志
00402134   .  0F84 9C000000 je Andréna.004021D6
0040213A   .  8D55 94       lea edx,dword ptr ss:[ebp-0x6C]
0040213D   .  8D45 DC       lea eax,dword ptr ss:[ebp-0x24]
00402140   .  52            push edx
00402141   .  50            push eax
00402142   .  C745 9C 01000>mov dword ptr ss:[ebp-0x64],0x1
00402149   .  895D 94       mov dword ptr ss:[ebp-0x6C],ebx
0040214C   .  FF15 90414000 call dword ptr ds:[<&MSVBVM50.__vbaI4Var>] ;  MSVBVM50.__vbaI4Var
00402152   .  8D4D BC       lea ecx,dword ptr ss:[ebp-0x44]            ; |
00402155   .  50            push eax                                   ; |Start = 0x18F404
00402156   .  8D55 84       lea edx,dword ptr ss:[ebp-0x7C]            ; |
00402159   .  51            push ecx                                   ; |dString8 = 000000C2
0040215A   .  52            push edx                                   ; |RetBUFFER = 00000003
0040215B   .  FF15 38414000 call dword ptr ds:[<&MSVBVM50.#rtcMidCharV>; \rtcMidCharVar
00402161   .  8D45 84       lea eax,dword ptr ss:[ebp-0x7C]
00402164   .  8D4D A8       lea ecx,dword ptr ss:[ebp-0x58]
00402167   .  50            push eax                                   ; /String8 = 0018F404
00402168   .  51            push ecx                                   ; |ARG2 = 000000C2
00402169   .  FF15 70414000 call dword ptr ds:[<&MSVBVM50.__vbaStrVarV>; \__vbaStrVarVal
0040216F   .  50            push eax                                   ; /String = ""
00402170   .  FF15 0C414000 call dword ptr ds:[<&MSVBVM50.#rtcAnsiValu>; \rtcAnsiValueBstr
00402176   .  66:8985 4CFFF>mov word ptr ss:[ebp-0xB4],ax		//取用户名转为ASCII
0040217D   .  8D55 CC       lea edx,dword ptr ss:[ebp-0x34]
00402180   .  8D85 44FFFFFF lea eax,dword ptr ss:[ebp-0xBC]
00402186   .  52            push edx                                   ; /var18 = 00000003
00402187   .  8D8D 74FFFFFF lea ecx,dword ptr ss:[ebp-0x8C]            ; |
0040218D   .  50            push eax                                   ; |var28 = 0018F404
0040218E   .  51            push ecx                                   ; |saveto8 = 000000C2
0040218F   .  899D 44FFFFFF mov dword ptr ss:[ebp-0xBC],ebx            ; |
00402195   .  FF15 94414000 call dword ptr ds:[<&MSVBVM50.__vbaVarAdd>>; \__vbaVarAdd
0040219B   .  8BD0          mov edx,eax
0040219D   .  8D4D CC       lea ecx,dword ptr ss:[ebp-0x34]		//ecx = 每个用户名每个字符ASCII值相加
004021A0   .  FFD6          call esi                                   ;  MSVBVM50.__vbaVarMove
004021A2   .  8D4D A8       lea ecx,dword ptr ss:[ebp-0x58]
004021A5   .  FF15 B8414000 call dword ptr ds:[<&MSVBVM50.__vbaFreeStr>;  MSVBVM50.__vbaFreeStr
004021AB   .  8D55 84       lea edx,dword ptr ss:[ebp-0x7C]
004021AE   .  8D45 94       lea eax,dword ptr ss:[ebp-0x6C]
004021B1   .  52            push edx
004021B2   .  50            push eax
004021B3   .  53            push ebx
004021B4   .  FFD7          call edi                                   ;  MSVBVM50.__vbaFreeVarList
004021B6   .  83C4 0C       add esp,0xC
004021B9   .  8D8D E8FEFFFF lea ecx,dword ptr ss:[ebp-0x118]
004021BF   .  8D95 F8FEFFFF lea edx,dword ptr ss:[ebp-0x108]
004021C5   .  8D45 DC       lea eax,dword ptr ss:[ebp-0x24]
004021C8   .  51            push ecx                                   ; /TMPend8 = 000000C2
004021C9   .  52            push edx                                   ; |TMPstep8 = 00000003
004021CA   .  50            push eax                                   ; |Counter8 = 0018F404
004021CB   .  FF15 AC414000 call dword ptr ds:[<&MSVBVM50.__vbaVarForN>; \__vbaVarForNext
004021D1   .^ E9 5CFFFFFF   jmp Andréna.00402132

反复分析后,发现这块内容就是将我们用户名每个字符的16进制的ASCII值相加。

唉,VB函数的传参实在是太奇怪了,只知道经过函数后莫名其妙的就出来了个值,但是怎么传参和输出的搞不明白。。不会。。。。

不过也拿到了我们想要的结果了,继续往下看

1
2
3
004021E5   .  C785 5CFFFFFF>mov dword ptr ss:[ebp-0xA4],0x499602D2     ; |
004021EF   .  C785 54FFFFFF>mov dword ptr ss:[ebp-0xAC],0x3            ; |
004021F9   .  FF15 5C414000 call dword ptr ds:[<&MSVBVM50.__vbaVarMul>>; \__vbaVarMul

这里是利用了__vbaVarMul函数,将我们计算出来的值'a'+'a'+'a' = 0x123值和0x499602D2相乘,注意这里其实是10进制数据相乘

1
0x123 * 0x499602D2 = 0x53A58534B6 = 359259255990

计算出我们的值后,继续对code值进行处理替换

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
0040220F   .  51            push ecx
00402210   .  6A 04         push 0x4                                     ;  替换第4个字符
00402212   .  8D95 54FFFFFF lea edx,dword ptr ss:[ebp-0xAC]
00402218   .  6A 01         push 0x1
0040221A   .  52            push edx
0040221B   .  C785 5CFFFFFF>mov dword ptr ss:[ebp-0xA4],Andréna.00401C34 ;  -
00402225   .  C785 54FFFFFF>mov dword ptr ss:[ebp-0xAC],0x8
0040222F   .  FFD3          call ebx                                     ;  <&MSVBVM50.__vbaMidStmtVar>											//调用函数替换字符
00402231   .  8D45 CC       lea eax,dword ptr ss:[ebp-0x34]
00402234   .  8D8D 54FFFFFF lea ecx,dword ptr ss:[ebp-0xAC]
0040223A   .  50            push eax
0040223B   .  6A 09         push 0x9                                     ;  替换第9个字符
0040223D   .  6A 01         push 0x1
0040223F   .  51            push ecx
00402240   .  C785 5CFFFFFF>mov dword ptr ss:[ebp-0xA4],Andréna.00401C34 ;  -
0040224A   .  C785 54FFFFFF>mov dword ptr ss:[ebp-0xAC],0x8
00402254   .  FFD3          call ebx								  //调用函数替换字符

这里是我多次下断追踪后得到的具体对字符替换的地方,程序已经在MSVBVM50模块内了

image-20220119151506566

最后分析结束,这个crackme就是将用户名每个字符的16进制ASCII值相加后的结果,再转换为10进制然后和1234567890相乘。得到结果后,将结果的第4位与第9位分别用’-‘替换,即为最后的结果。

image-20220119152911908

2.3 注册机

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#include <stdio.h>
#include <string.h>

int main()
{
	char buff[100] = {0};
	char key[100] = {0};
	signed long long int nCode = 0;
	printf("Input Name: \r\n");
    gets(buff);
    int nLen = strlen(buff);
    if ( nLen > 0 )
    {
    	int i;
    	for (i=0; i<nLen; i++){
    		nCode += buff[i];
		}
		nCode *= 0x499602D2;
		sprintf(key,"%lld",nCode);
		key[4-1] = '-';
		key[9-1] = '-';
		printf("Key: %s\r\n",key);
    }else{
        printf("Input error!\r\n");
    }
    return 0;
}

image-20220119155432278

3. 参考链接

VB函数介绍

https://www.cnblogs.com/bbdxf/p/3780187.html

本文作者: foxcookie
发布时间: 2022-01-23
最后更新: 2023-07-21
本文标题: Andrnalin.2
本文链接: https://foxcookie.github.io/2022/01/23/Andrnalin-2/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

歪比巴卜?