我的问题是我没有弄清楚一行特殊的代码
当这个envp参数出现在main上时,我反向工程了一个crackme,然后程序开始使用它,这使我不明白如何解决crackme的第二部分(我当时正在使用c反编译器来分析密码。破解)。我仍然通过修补二进制文件解决了破解问题,但我不了解这行的含义,这很困扰我。...
int __cdecl main(int argc, const char **argv, const char **envp){
char *Format; // [esp+0h] [ebp-98h]
char v5; // [esp+20h] [ebp-78h]
_alloca((size_t)Format);
__main();
printf("IOLI Crackme Level 0x06\n");
printf("Password: ");
scanf("%s", &v5);
check(&v5, (int)envp);
return 0;
}
int __cdecl check(char *Str, int a2){
size_t v2; // eax
char Src; // [esp+1Bh] [ebp-Dh]
unsigned int i; // [esp+1Ch] [ebp-Ch]
int v6; // [esp+20h] [ebp-8h]
int v7; // [esp+24h] [ebp-4h]
v6 = 0;
for ( i = 0; ; ++i ){
v2 = strlen(Str);
if ( i >= v2 )
break;
Src = Str[i];
sscanf(&Src, "%d", &v7);
v6 += v7;
if ( v6 == 16 )
parell(Str, a2);}
return printf("Password Incorrect!\n");
}
int *__cdecl parell(char *Src, int a2){
int *result; // eax
int i; // [esp+10h] [ebp-8h]
int v4; // [esp+14h] [ebp-4h]
sscanf(Src, "%d", &v4);
result = (int *)dummy(v4, a2);
if ( result )
{
for ( i = 0; i <= 9; ++i ){
if ( !(v4 & 1) ){
printf("Password OK!\n");
exit(0);
}
result = &i;
}
}
return result;
}
signed int __cdecl dummy(int a1, int a2)
{
int v2; // ecx
int v5; // [esp+14h] [ebp-4h]
v5 = 0;
while ( *(_DWORD *)(4 * v5 + a2) ) // 1 == True
{
v2 = 4 * v5++; // 4 or 0
if ( !strncmp(*(const char **)(v2 + a2), "LOLO", 3u) )
return 1;
}
return 0;
}
从main到检查到parell(如果正确填写条件,然后到dummy会创建一个无限循环,除了:if //!strncmp(*(const char **)(v2 + a2),“ LOLO“,3u)== 1,问题是我///不了解a2的含义来自// main中的envp变量)
这是解决方案的提示,因为我说我陷入了第二种情况(无限循环): 0x06级:与5级算法相同,但envp LOLO = 1
答案 0 :(得分:0)
const char ** envp应该做什么?
正如@Vlad在评论中告诉您的那样,它envp与argv类似,但是它不是程序参数,而是向其传达过程的环境变量。这些是相同的键/值对,可以通过getenv()函数访问或通过putenv()函数设置。该进程通常从其父级那里接收它们,通常是简单地继承其父级环境的副本。外壳具有用于操作这些外壳的用户界面。例如,在bash中,可以使用命令LOLO=1将以前不需要的环境变量“ LOLO”设置为值“ 1”。 Windows Shell对同一事物的语法不同。
如果您分析所提供的代码,您会发现envp只是通过多个功能级别传递(作为int),直到最终(仅)在{ {1}}。而且,您还会注意到dummy()不使用其 other 参数,它所做的只是分析第二个参数(转换回指针)所指向的数据。特别是,它看起来像是在扫描整个环境,查找名称以“ LOL”开头的任何环境变量-如果找到一个,则返回1,否则返回0。这解释了您询问的提示:仅找出密码是不够的;除非设置了适当的环境变量(任何值),否则不接受 密码。 “ LOLO”将是此类变量的名称。
实际的密码检查在功能dummy()和check中。前者对密码字符串中的十进制数字进行预检查,将数字逐位加起来为16。如果满足(即使在密码末尾发生),则将整个密码移交给功能{{1 }}进行进一步测试。在这里进行环境检查,如果通过了检查,则密码的前十进制数字将转换为数字,只要该数字是偶数,就可以接受密码。
那么,假设反编译器准确地完成了其工作,只要设置了环境变量,就会接受许多密码:
parell包括一些利用parell和88
4444
23452
执行的解析中的怪癖的东西,例如
check此外,似乎parell中输入的密码可能会发生缓冲区溢出,因此您可能可以从完全不同的方向解决该问题。