继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的mfc逆向-200
MFC类型的题目基本没接触过,现阶段也不想入门MFC语法,所以只能大量搜寻资料学个大概了。
.
.
照例下载附件,扔入exeinfope中查看信息:
.
.
照例运行一下查看主要回显信息:
首先第一步看暗示,题目提示是MFC程序,这首先就是一个暗示,然后这里说Flag在控件里,这也是一个暗示。
.
.
在这之前我们先了解一下怎么用工具获取MFC程序的控件:(总不能为了做题而做题吧)
以下内容摘自博客:https://blog.csdn.net/nocbtm/article/details/98180065
MFC框架中,使用以下三个宏实现消息映射:
//cpp文件中 BEGIN_MESSAGE_MAP END_MESSAGE_MAP //头文件中 DECLARE_MESSAGE_MAP
它们综合在一起的作用,就是将要映射的消息及对应的响应函数集中放在了一个静态成员数组中。因此,我们只要找到这个数组,就能定位代码,从而进行进一步的逆向分析工作。
要在整个内存块中找出一个数组来并不容易,不过好在MFC框架为了方便其自身,定义了查表的接口:
virtual const AFX_MSGMAP* GetMessageMap() const;
因此,目的变得明确,就是要调用某个窗口对象的 GetMessageMap()。
但是它隐藏着以下问题:
1)如何获取对方 MFC 程序的窗口对象,这涉及到注入
2)如何将 GetMessageMap 的返回结果传回 MFC SPY 程序,这涉及到进程间通信
总结:
1)获取目标 MFC 程序的窗口句柄
2)注入对方 MFC 程序的进程
3)在对方进程中定位到 CWnd::FromHandlePermanent 并调用,获得窗口对象
4)调用窗口对象的 GetMessageMap() 函数,获得消息映射表
其中注入手段很关键,因为 FromHandle 函数内部的工作就是查句柄与对象指针的映射表,而这个表又是以线程为单位存放的,因此线程注入( CreateRemoteThread )是不会成功的。最方便的是用 API 提供的挂钩函数( SetWindowsHookEx )来注入,同时还要处理好同步、进程间通信问题。
.
.
.
通过上面的资料我们可以明白 MFC 注入的大致流程,首先要获取窗口句柄,然后就是注入进去,我们可以理解为给它发信息。
我们要用到两个工具:
一个是窗口、消息查看分析利器:SPY++。
另一个是专门的 MFC 内部分析工具:XSPY。
注意 XSPY 是继承于 MFCSPY 的,所以XSPY涵盖了 MFCSPY 的所有功能,我们不用去专门下载 MFCSPY,因为你可能找一天都找不到 MFCSPY 这个软件。
.
.
首先因为程序运行起来是窗口,所以我们先用窗口通用工具 spy++ 分析一下先:
.
.
得知重点在大窗口那里后就用专门的 MFC 逆向工具 XSPY 了:
.
.
那个根据前面的流程,我们获取到了大窗口 "Flag就在控件里" 的句柄 0x000801EC ,现在我们要注入进去,就是发送消息进去,然后窗口内容就变了:
// 1.cpp : 定义控制台应用程序的入口点。 //注意是MFC运行。 #include "stdafx.h" #include#include #include "windows.h" int main() { HWND h = FindWindowA("944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b",NULL); //HWND h = FindWindowA(NULL, "Flag就在控件里"); //HWND h = FindWindowA("944c8d100f82f0c18b682f63e4dbaa207a2f1e72581c2f1b", "Flag就在控件里"); //这里用到两个关键函数,一个是获取窗口句柄函数,第二个就是根据句柄发送消息函数。获取句柄的FindWindowA中第一个可以传入类名,第二个可以传入标题,因为我们两个都有,所以任意一个都可以锁定程序窗口。 if (h) { SendMessage(h, 0x464, NULL, NULL); //发送函数中第二个是区别其他消息的常量值,这里题目用了自定义常量值,所以我们要对应一致。 } getchar(); return 0; }
.
.
有了Des密钥和密文,直接Des解密即可:
.
.
所以最终flag:
thIs_Is_real_kEy_hahaaa
.
.
.
解毕!敬礼!
