【攻防世界】Reverse系列之logmein

【攻防世界】Reverse系列之logmein

该文件需要让你输入密码进行判断,运行结果如下

对其进行安全机制检查,只有NX开启的

是一个ELF64文件

我们使用IDA反汇编打开其程序,然后对main函数进行反汇编获取其伪代码,结果如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
void __fastcall __noreturn main(int a1, char **a2, char **a3)
{
size_t v3; // rsi
int i; // [rsp+3Ch] [rbp-54h]
char s[36]; // [rsp+40h] [rbp-50h] BYREF
int v6; // [rsp+64h] [rbp-2Ch]
__int64 v7; // [rsp+68h] [rbp-28h]
char v8[28]; // [rsp+70h] [rbp-20h] BYREF
int v9; // [rsp+8Ch] [rbp-4h]

v9 = 0;
strcpy(v8, ":\"AL_RT^L*.?+6/46"); //v8=":\"AL_RT^L*.?+6/46"
v7 = 0x65626D61726168LL;
v6 = 7;
printf("Welcome to the RC3 secure password guesser.\n");
printf("To continue, you must enter the correct password.\n");
printf("Enter your guess: ");
__isoc99_scanf("%32s", s);
v3 = strlen(s); //v3为输入长度
if ( v3 < strlen(v8) ) //strlen(v8)=18
sub_4007C0();
for ( i = 0; i < strlen(s); ++i )
{
if ( i >= strlen(v8) )
sub_4007C0();
if ( s[i] != (char)(*((_BYTE *)&v7 + i % v6) ^ v8[i]) )
sub_4007C0();
}
sub_4007F0();
}

上面两个函数sub_4007c0()和sub_4007F0()代码如下

1
2
3
4
5
6
7
8
9
10
void __noreturn sub_4007C0()
{
printf("Incorrect password!\n");
exit(0);
} //错误输入
void __noreturn sub_4007F0()
{
printf("You entered the correct password!\nGreat job!\n");
exit(0);
} //正确输入

所以要想通过判断,要满足以下条件

  • 输入字符长度等于18
  • s[i] ==(char)(*((_BYTE *)&v7 + i % v6) ^ v8[i])

这里需要注意的是v7转换为字符串为ebmarah只有7个字节,但要与后面v818个字符想计算的话自然满足不了的,所以需要对v7进行处理,即循环将其补齐成18个字符,v7=harambeharambehara(v7是小端模式,字符串读取是从高字节向低字节读,但在栈中存取则是相反的)

下面编写代码反推获取正确的输入

1
2
3
4
5
6
v7 = "harambeharambehara"
v8= ":\"AL_RT^L*.?+6/46"
s = ""
for i in range(17):
s += chr((ord(v7[i])) ^ ord(v8[i]))
print(s)

得到RC3-2016-XORISGUD

打赏
  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!
  • Copyrights © 2021-2024 John Doe
  • 访问人数: | 浏览次数:

让我给大家分享喜悦吧!

微信