【Reversing.kr】Replace

whklhh

Reversing.kr是韩国的一个逆向题目网站
有分国度的排行榜，还是挺有意思的
本题即来自于第五关Replace
http://reversing.kr/challenge.php可以下载到文件

先查一波壳，还好没有
运行，是一个GUI程序，下面Label框中显示Wrong！，说明没法找Msgbox了呢
随便输入后点Check，就停止运行了……嗯？这么暴力的，输错就GG吗惯例拖入IDA，WinMain中只有构造窗口的DialogBoxParamA函数，回调函数使用了DialogFunc搜索字符串发现Correct!在DialogFunc中有引用，遂查看代码并反编译：

[C++] 纯文本查看 复制代码

// write access to const memory has been detected, the output may be wrong!
BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  BOOL result; // eax@2

  if ( a2 == 273 )
  {
    if ( (unsigned __int16)a3 == 2 )
    {
      EndDialog(hDlg, 2);
      result = 1;
    }
    else if ( (unsigned __int16)a3 == 1003 )
    {
      input = GetDlgItemInt(hDlg, 1002, 0, 0);
      sub_40466F();
      ((void (__cdecl *)(void *))loc_404689)(&loc_40469F);
      *(_DWORD *)sub_40466F = -1013972794;
      sub_40466F();
      sub_40466F();
      *(_DWORD *)sub_40466F = 1768;
      result = 1;
    }
    else
    {
      result = 0;
    }
  }
  else
  {
    result = 0;
  }
  return result;
}

查了一波API手册，发现回调函数其实叫DialogProc，参数说明只能知道a2为指定消息uMsg，a3为指定消息的其他信息wParam

想研究一波前面判断的具体信息，但是没找到相关手册说明uMsg的对应表

内层循环体的GetDlgItemInt很明显就是获取对话框的值
输入了一下试试，发现只能接受数字，字母和符号都是无法输入的

在OD中下断DialogFunc，发现窗口开启状态下会不停地断到，说明消息是不断传送的。似乎是当焦点在窗口上方时a2=273，点击按钮时a3=3。

参数不搞明白倒是不怎么影响啦，在内层循环体下断可以在点击按钮后断到

将输入送入0x4084d0后就call 0040466F了
这个call是一个很关键很有趣的点，需要慢慢地仔细分析
首先回忆一下汇编中函数调用的相关知识
当call某处时，首先将下一条指令的地址压入栈中，然后将EIP改至该行
即相当于
push eip+x ;x是本次指令的长度
jmp n　　　;n是函数地址

函数运行完以后执行retn，将栈中之前的地址pop出栈，送入EIP中，继续运行
即相当于
pop eip

下面分析代码

[Asm] 纯文本查看 复制代码

0040466F   $  E8 06000000   call Replace.0040467A
00404674      81            db 81
00404675   .  05 D0844000   add eax,Replace.004084D0
0040467A   .  C705 16604000>mov dword ptr ds:[0x406016],0x619060EB
00404684   .  E8 00000000   call Replace.00404689
00404689  /$  FF05 D0844000 inc dword ptr ds:[0x4084D0]
0040468F  \.  C3            retn
00404690   >  A1 D0844000   mov eax,dword ptr ds:[0x4084D0]
00404695   .  68 9F464000   push Replace.0040469F
0040469A   .  E8 EAFFFFFF   call Replace.00404689
0040469F   .  C705 6F464000>mov dword ptr ds:[0x40466F],0xC39000C6
004046A9   .  E8 C1FFFFFF   call Replace.0040466F
004046AE   .  40            inc eax
004046AF   .  E8 BBFFFFFF   call Replace.0040466F
004046B4   .  C705 6F464000>mov dword ptr ds:[0x40466F],0x6E8
004046BE   .  58            pop eax                                  ;  Replace.00401020
004046BF   .  B8 FFFFFFFF   mov eax,-0x1
004046C4   .^ E9 A8C9FFFF   jmp Replace.00401071

进去就call 40467A
为另外一处赋值以后继续call 404689
在这里为我们的输入+1，然后ret n，即回到刚才call的下一行：404689
于是输入再+1，然后ret n，即回到最外层call的下一行：404674
关键来了，404674是db 81，即未被分析的数字
这里单步执行会发现直接跳到了40467E

也就是说，这一次执行复用了本来的404675处的指令
从机器码可以看出指令内容应该是81 05 D0 84 40 00 C7 05 16 60
于是我就去百度了好久的机器码跟汇编对应指令，也没研究明白……
最后乖乖用自动工具了囧

后面其余的指令没什么意义，再往后执行又同样call了404689，对4084D0+2

即整个call对地址4084D0增加了4+0x601605C7

出来后jmp到了404690

[Asm] 纯文本查看 复制代码

00404690   > \A1 D0844000   mov eax,dword ptr ds:[0x4084D0]
00404695   .  68 9F464000   push Replace.0040469F
0040469A   .  E8 EAFFFFFF   call Replace.00404689
0040469F   .  C705 6F464000>mov dword ptr ds:[0x40466F],0xC39000C6
004046A9   .  E8 C1FFFFFF   call Replace.0040466F
004046AE   .  40            inc eax
004046AF   .  E8 BBFFFFFF   call Replace.0040466F
004046B4   .  C705 6F464000>mov dword ptr ds:[0x40466F],0x6E8
004046BE   .  58            pop eax                                  ;  Replace.00401020
004046BF   .  B8 FFFFFFFF   mov eax,-0x1
004046C4   .^ E9 A8C9FFFF   jmp Replace.00401071

这里把值先送到了eax里
然后push 40469F，这个是为了之后retn准备的，倒是不用在意
call 404689又为4084D0加了一
然后为40466F赋值，再call 40466F

很明显这个call是刚赋值过即更改了指令的，我们跟随过去看一眼：

[Asm] 纯文本查看 复制代码

0040466F   $  C600 90       mov byte ptr ds:[eax],0x90
00404672   ?  C3            retn

对eax指向的内容赋值90

这里很明显就是之前随手输入报错的原因了：eax指向的地址不合法

我们修改一下eax使得它可以继续运行，找一个隔壁空的地址写入eax就可以了
之后程序对eax+1，再次call 40466F。也就是说一次对两个字节的内存写入90

pwn做多了马上就能反应过来\x90是NOP的机器码，也就是说这个call可以抹消两个字节的指令

暂时不知道用处在哪里，我们继续往下运行
还原40466F后jmp 401071：

[Asm] 纯文本查看 复制代码

00401071     /EB 11         jmp short Replace.00401084
00401073     |68 34604000   push Replace.00406034                    ;  Correct!
00401078     |68 E9030000   push 0x3E9                               ; |ControlID = 3E9 (1001.)
0040107D   . |56            push esi                                 ; |hWnd = 004000D0
0040107E   . |FF15 A0504000 call dword ptr ds:[<&USER32.SetDlgItemTe>; \SetDlgItemTextA
00401084   > \B8 01000000   mov eax,0x1
00401089   .  90            nop
0040108A   .  90            nop
0040108B   .  90            nop
0040108C   .  90            nop
0040108D   .  90            nop
0040108E   .  90            nop
0040108F   .  90            nop
00401090   .  5E            pop esi                                  ;  Replace.004000D0
00401091   .  5D            pop ebp
00401092   .  C2 1000       retn 0x10

我们可以看到，Correct的显示是通过SetDlgItemTextA的，现在执行近在咫尺，却又有一个jmp跳过了它。
并且注意OD显示，这个API前方到jmp之间是没有跳转落点的
也就是说，正常执行情况下，最多跳到401071，然后jmp走

那么很明显，要显示Correct，我们就要爆破掉这个jmp
而程序正好自己提供了两个字节的NOP来爆破

也就是说我们只需要计算好地址，使得call 40466F正好抹掉这个jmp就行了

它的地址是00401071，中间的计算是加0x601605CB（注意虽然最后有一个对内存的+1，但是40466F的操作数是eax，所以最终仍然是+4）

加数比得数大，因此需要利用eax的溢出
正好win10的计算器方便的不行，提供了程序员模块，将类型改至DWORD，就得到了结果：

注意输入的是十进制DEC，并且去掉负号哦~

Poner

为啥没人回复  等着我来坐沙发？

whklhh

Poner 发表于 2017-9-27 16:36
为啥没人回复  等着我来坐沙发？

大概太无聊了 谢谢版主沙发~

luasky

感谢分享