jueves, 5 de mayo de 2016

Solucion al Crackme De Sadfud De Indetectables.Net Con Ollyscript 2.0.1

Hola amigos aquí de nuevo con otro tutorial donde resolveremos un crackme sencillo de nuestro amigo sadfud de el foro de indetectables.net aquí la url de su publicación:

http://www.indetectables.net/viewtopic.php?f=80&t=53966

bueno para descargarlo tendrán que estar registrados, pero sino se quieren registrar lo pueden descargar desde Aqui

ya que tenemos el crackme descargado lo abriremos con el ollydbg dando clic en el icono de la carpetita y luego elegimos el crackme así


ahora buscaremos las string dando clic derecho y seleccionamos lo siguiente


y nos muestra lo siguiente



y como ven hay dos string que disen "Muy bien" y una llamada a la api vbaStrCmp que es una api de visual basic que se encarga de comparar 2 string y creo que es la que comparara la clave que ingresemos con la clave correcta, así que daremos doble clic al string "Muy bien" que se encuentra por debajo de dicha api y nos lleva hasta aquí


como ven la api esta en la linea 00401E23 y mas abajo esta un salto JE y unas lineas mas abajo el mensaje "Muy bien" asi que si las string o sea las claves son iguales no salta y si son diferentes nos manda al cartelito incorrecto.

bueno asi que pondremos un breakpoint con F2 en la linea 00401E23 y damos F9, para luego ingresar como serial "123456" y presionamos el boton "ya lo tengo" para luego detenernos en la linea donde pusimos el breakpoint



como ven en el stack se alcanza a ver nuestro serial "123456" que es el argumento 2 y creo que por lógica el argumento 1 es el serial correcto y para visualizar la clave solo daremos clic derecho y después en FOLLOW IN DUMP así como en la imagen



luego después de esto la clave se mostrara en la parte del DUMP del ollydbg aqui




bueno ya sabemos que la clave es "]õõ[.-2*[ó´?"

ahora si queremos usar  ollyscript para extraer dicha clave, primeramente tendremos que tener el plugin del ollyscript, lo pueden descargar Aqui Versión 2.0.1

ya que lo tengan descargado el archivo DLL lo ponen en su carpeta de plugins y reinician el ollydbg y tendra que apareserles asi en el ollydbg



NOTA: Estoy usando OllyDbg 2.01 y Windows 8.1

bueno ahora si queremos extraer el contenido de la dirección 00401B60 que es donde se encuentra la clave usaremos el comando DM asi

DM dirección , tamaño, archivo

y nos quedaria asi:


DM 00401B60,18,"C:\Users\Flamer\Desktop\dump.txt"    // NOTA: cambian Flamer por su nombre


esto lo escribiremos en el bloc de notas y lo aguardaremos con la extencion .osc  yo lo llamare Script.osc y lo almacenare en el escritorio

y para ejecutarlo lo aremos así




y buscamos nuestro script en el lugar donde lo aguardamos





y al seleccionarlo automáticamente nos creara el archivo dump.txt en el escritorio con la contraseña


ahora si no queremos extraer la contraseña solo lo queremos crackear el salto, usaremos el comando

REPL dirección, búsqueda, reemplazo, longitud

el cual remplazara el salto JE por un JNZ y para ejecutarlo usaremos el comando  RUN  y quedaria así

REPL 00401E63, #74#, #75#, 1
RUN

aguardamos los cambios y lo ejecutamos igual




al presionar el botón "Ya lo tengo" nos muestra el cartelito correcto

bueno aquí tienen un script un poco mas amplio


MSGYN "Desea Dumpear La Contraseña"  //pregunta si desea dumpear
CMP $RESULT, 0  // comprueba si es 0 
JE brincar           // si es 0 salta al evento brincar
DM 00401B60,18,"C:\Users\Flamer\Desktop\dump.txt"   //dumpea la direccion 00401B60 y crea el archivo dump.txt en el escritorio
RET   // finaliza el script

brincar:
MSGYN "2-Desea Solo Crackear El Salto"  //pregunta si quiere crackear el salto
CMP $RESULT, 0  // comprueba si es 0 
JE sigue    // si es 0 salta al evento sigue
REPL 00401E63, #74#, #75#, 1   // remplaza 74 que es el JE  por 75 que es JNZ
RUN  // ejecuta el programa

sigue:
RUN    // ejecuta el programa


Bueno amigos eso es todo y espero le halla gustado

Saludos Flamer

No hay comentarios.:

Publicar un comentario