一个go语言crackme分析

一个go语言crackme分析
by anhkgg(公众号：汉客儿)
2019年2月23日

0x01.先看看

直接运行看看，尝试输入，看看结果。

1.png

一个console的程序，有提示信息，入手点应该很明显，找字符串，或者printf，scanf之类的函数。

查个壳，是tElock 1.0 (private) -> tE! *，没脱过，常规脱壳方法尝试弄不掉，百度一番看到挺多经验分享的，但都是0.9x版本的分析，不适用于本版本，那就放弃脱壳了（求脱壳大佬分享技巧）。

0.png

OD加载后直接运行，通过字符串搜索去查找，并未找到提示信息“口令解码失败”。

尝试再命令窗口输入bp printf，然后F9，OD断下，此时参数如下，OD并没有解析出中文字符，用工具查看一番，发现是UTF-8编码。

2.png

所以前面OD解析“口令解码失败”编码问题，搜索不到。再次尝试进入内存(M)窗口，Ctrl+B后在HEX输入字符的UTF-8编码，然后搜索，果然找到了。

另外找到一篇讨论OD编码问题的文章，有兴趣的可以看看：https://bbs.pediy.com/thread-181118.htm

3.png

不过此处也没什么用了，因为bp printf也能找到关键代码。

在输入uid和口令之后，在printf断下，查看此时调用堆栈。

调用堆栈 
地址       堆栈       函数过程 / 参数                       调用来自                      结构
1104BE80   00461BBD   <jiubugao.printf>                     jiubugao.00461BB8
1104BE84   1104C160     format = ""
1104BE88   110101B0
1104BEA4   004635DD   jiubugao.00461AD0                     jiubugao.004635D8
1104BEC4   00462FA1   jiubugao.004635A0                     jiubugao.00462F9C
1104BEF8   0047BA5A   包含jiubugao.00462FA1                   jiubugao.0047BA58
1104BF28   0047BAF5   jiubugao.0047B9F0                     jiubugao.0047BAF0
1104BF4C   0048C220   <jiubugao.printf>                     jiubugao.0048C21B
1104BF50   1104BF9C     format = "?J"
1104BF54   00000001
1104BFCC   0042609A   包含jiubugao.0048C220                   jiubugao.00426098

此时做了一番思考，作为console程序，整个代码都在main中完成，可能大概代码结构如下：

int main() {
    printf("【春节】解题领红包之三\n");
    printf("请输入您的吾爱破解uid:);
    scanf("%s", &uid);
    printf("请输入您的口令:);
    scanf("%s", &code);
    if(check(uid, code)) {
        printf("口令解码失败");    
    } else {
        //
    }
}

那么通过调用栈回溯到mian，真个代码结构就会很清楚了，算法分析也应该会更简单。

在OD中回溯直到0048C220看到结构类似上面猜测的代码，然后dump出来，通过IDA查看确认了一下，应该没错了。

4.png

分析算法

开始分析算法，通过OD调试确认，前面一部分都是输入输出相关代码，直接跳过。

直到看到下面几个特征，明显看出是hash算法相关特征了，一番搜索之后确认之后是sha1。

5.png

调试结果和py计算结果一致，将输入的uid通过sha1算法得到一个hash值。

6.png

看到这个特别的返回值方式，以及字符串中这种xxx.go的字符，我才意识到这是一个go语言写的程序。

7.png

继续检查输入的口令长度，小于0x10则输出"口令解码失败"。

输入长于0x10的口令之后，重新开始，然后看下一个函数。看到这个ABCD...+/特征，很明显就是base64编码，第一个反应是把口令编码。

8.png

结果发现并不是我想的那样，结果如下。

9.png

看到输出"口令解码失败"意识到这可能是base64解码函数，生成一个base64编码字符输入尝试一下。

10.png

>>> base64.b64encode('1234567890')
'MTIzNDU2Nzg5MA=='

果然，调试中看到解码正确。

11.png

继续往下走，到48BC80，输入刚才解码的口令以及uid的hash，先直接F8跳过。

12.png

程序异常提示出一些信息，可以看出这个在AesDecrypt的时候出错。

13.png

所以意识到48BC80是AES解密算法。那么输入的口令结构应该是这样的才能解密成功。

输入口令=Base64Encode(AesCrypt(口令，sha1(uid)))

找了一段aes加密的python代码，构造一个口令，如下：

python aes.py
kJgRdtADqzjDKXiHHr770g== 11111111

在口令出输入kJgRdtADqzjDKXiHHr770g==之后，再次尝试，果然解密成功。

14.png

继续往下，看到判断解密的口令长度是不是0x1A，如果不是则错误。

15.png

所以加密前口令长度应该0x1A，先修改标志让OD正常继续执行，到402000，三个参数，解密后口令，HappyNewYearFrom52PoJie.CnLine Islands Standa，以及口令长度，很明显是一个字符串比较函数。

16.png

结合长度限制0x1A，那么口令应该是HappyNewYearFrom52PoJie.Cn，用python加密后输入尝试一下。

python aes.py
9D7boJcaCbENFCpf6YRBmJFZjPsPyUot8sHdR5YTChw= HappyNewYearFrom52PoJie.Cn

果然成功。

17.png

彩蛋

最后已经完成了，我用IDA打开了原始程序看一看，没想到看到了这个。

18.png

IDA完全支持go语言IDL符号解析，然后最开始PEID查的啥壳啊，完全是忽悠人的。

所以如果刚开我就用IDA来分析这个代码，是不是更快呢！

第一次分析go的坑，以后会长记性了。