Не важно, как медленно ты продвигаешься, главное, что ты не останавливаешься.


Monday, 15 June 2015

Top Hat Sec : Reversing Mini Series Part 3

Kembali lagi dengan Top Hat Sec reversing mini series, yang kali ini aplikasi yang diupload sedikit berbeda dengan crackme2, yang ditambahkan pada crackme3 ialah input dari magic number. Ya, lagi-lagi tebakan magic number, namun sepertinya ada beberapa magic number yang perlu ditebak dengan benar. (Crackme3 dapat diunduh melalui lin ini : Crackme3)

Gambar 1 : Crackme 3
Terlihat di gambar 1, crackme3 meminta urutan bilangan yang pertama, artinya akan ada bilangan selanjutnya yang harus ditebak. Jika angka yang ditebak pada urutan pertama salah, maka crackme3 akan langsung menutup dengan memberi pesan [NOT ACCEPTED].

Langsung saja saya analisis melalui immunity debugger, untuk mempercepat proses pencarian address dimana kondisi tersebut dijalankan, cukup dengan mencari text "top-hat" pada text string references yang ada pada crackme3. Klik Play kemudian cari semua references text strings.

Gambar 2 : Text String References
Pada text string references, cari text yang menjadi ciri khas crackme3, maka didapat header [*] Top-Hat-Sec pada alamat 0x0046A8AA, follow alamat (Tekan Enter) tersebut diassembly.

Gambar 3 : Search for Text String References
Jika dilihat dari gambar 3, maka akan ada tiga magic number yang harus ditebak, dan jika salah satu dari urutan magic number salah maka crackme akan mencetak [NOT ACCEPTED] kemudian exit, sebaliknya jika berhasil maka di masing-masing step akan muncul pesan [ xxx NUMBER ACCEPTED].

Gambar 4 : Alamat 046A88AA
Pada gambar 4, dapat dilihat terdapat beberapa CMP operation dimana nilai input x dibandingkan dengan bilangan pasti dalam bentuk hex. berikut CMP operation yang ada pada gambar 4:

CMP x,539
CMP y,7CF
CMP z,421
(x,y,z merupakan input user)

Gambar 5 : CMP operation
Setelah bilangan dicompare, terdapat string bertuliskan x number accepted. Maka ada kemungkinan bilangan yang dicompare merupakan kondisi yang 'true', jika bilangan yang ada pada CMP dikonversi menjadi bilangan desimal, maka hasilnya:

CMP x,539  = 1337
CMP y,7CF = 1999
CMP z,421  = 1057

Setelah saya coba memasukkan bilangan tersebut secara berurutan maka hasilnya :

Gambar 6 : hasil uji coba
[NUMBERS ACCEPTED, GOOD JOB!]

Demikian artikel sederhana ini saya sajikan, semoga bermanfaat.

5 λ .: Top Hat Sec : Reversing Mini Series Part 3 Kembali lagi dengan Top Hat Sec reversing mini series, yang kali ini aplikasi yang diupload sedikit berbeda dengan crackme2, yang ditambahka...

No comments:

Post a comment

< >