home *** CD-ROM | disk | FTP | other *** search
/ Cracking 2 / Cracking II..iso / Texty / crackme / cosh3.txt < prev    next >
Encoding:
Text File  |  2000-01-24  |  8.7 KB  |  209 lines
  1.                 *****************************************
  2.                 *                                       *
  3.                 *          RingZer0   Presents          *
  4.                 *                                       *
  5.                 *     "CoSH Crackme3"  by PUSILLUS      *
  6.                 *              23/2/99                 *
  7.                 *****************************************
  8.  
  9.  
  10. Sorry for my bad english :(
  11.  
  12. Tools:
  13.  
  14.   SoftIce.
  15.  
  16.  
  17.  
  18.  
  19. Run the program, enter in SIce and type TASK:
  20.  
  21. Taskname      SS:SP       StackTop   StackBot   StackLow   TaskDB   hQueue   Events 
  22. crackme3    0000:0000     005ED000   05F0000                11DE    0E47     0000
  23. ...
  24.  
  25. Type "HWND crackme3" to get handles of our program:
  26.  
  27. Window-Handle   hQueue    SZ    QOwner   Class_Name       Window Procedure
  28. 03AC(1)         OE47      32    CRACKME3 #32770 (Dialog)  1457:00000694
  29.  03CC(2)        OE47      32    CRACKME3 Button           ...
  30.  03A8(2)        OE47      32    CRACKME3 Static           ...
  31.  0400(2)        OE47      32    CRACKME3 Static           ...
  32.  03FC(2)        OE47      32    CRACKME3 Edit             ... 
  33.  03E0(2)        OE47      32    CRACKME3 Edit             ... 
  34.  ...
  35.  
  36. Put a breakpoint at "BMSG 03fc WM_GETTEXT" and exit Sice.
  37.  
  38. Type some values in edit controls of the dialogbox, for example 
  39. "pusillus" and "00000000", and click on "OK" button. The debugger break in
  40. Kernel.alloc with F12 we return from various calls and we can see the MFC42
  41. calling at GetWindowTextA.
  42. before this call there are some instructions:
  43. ....
  44. PUSH EAX 
  45. PUSH DWORD PTR [ESI+20]
  46. GetWindowTextA
  47. ....
  48. we can put a break in PUSH EAX to get the address where the edit control text is
  49. stored.
  50. When I've executed the program for the first time  I've pressed one more time F12
  51. to go back in the crackme code, and I've explored the contents of registers, 
  52. ECX contain the location of stored text ;). 
  53. for the first call to MFC GetWindowTextA at address 00401533, ECX is 00760A7C (the address of
  54. name), and for the second call at 00401548 ECX is 00760A9C (the address off password)
  55.  
  56.  
  57. ---------------------------
  58. :00401521 8B45E0                  mov eax, dword ptr [ebp-20]
  59. :00401524 05E0000000              add eax, 000000E0
  60. :00401529 50                      push eax
  61. :0040152A 8B4DE0                  mov ecx, dword ptr [ebp-20]
  62. :0040152D 81C1A0000000            add ecx, 000000A0
  63.  
  64. * Reference To: MFC42.Ordinal:0F22, Ord:0F22h
  65.                                   |
  66. :00401533 E866030000              Call 0040189E                <----- read the Name
  67. :00401538 8B4DE0                  mov ecx, dword ptr [ebp-20]
  68. :0040153B 81C1E4000000            add ecx, 000000E4
  69. :00401541 51                      push ecx
  70. :00401542 8B4DE0                  mov ecx, dword ptr [ebp-20]
  71. :00401545 83C160                  add ecx, 00000060
  72.  
  73. * Reference To: MFC42.Ordinal:0F22, Ord:0F22h
  74.                                   |
  75. :00401548 E851030000              Call 0040189E                <----  read the Pwd
  76. :0040154D 8B55E0                  mov edx, dword ptr [ebp-20]
  77. :00401550 81C2E0000000            add edx, 000000E0
  78. :00401556 52                      push edx
  79. :00401557 8D4DE4                  lea ecx, dword ptr [ebp-1C]
  80. ---------------------------
  81.  
  82. with F10 walk through the code, at address 00401570 the program resets all registers
  83. and at 0040157D  it move in EAX the address of the name:  
  84.  
  85.  
  86. ---------------------------
  87. :00401570 33C0                    xor eax, eax        
  88. :00401572 33DB                    xor ebx, ebx          
  89. :00401574 33C9                    xor ecx, ecx
  90. :00401576 B901000000              mov ecx, 00000001            <--  cl=1
  91. :0040157B 33D2                    xor edx, edx
  92. :0040157D 8B45E4                  mov eax, dword ptr [ebp-1C]  <--  EAX=00760A7C
  93.  
  94. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  95. |:0040158B(C)
  96. |
  97. :00401580 8A18                    mov bl, byte ptr [eax]       <-- bl=byte pointed by EAX       
  98. :00401582 32D9                    xor bl, cl                   <-- xor bl , cl  
  99. :00401584 8818                    mov byte ptr [eax], bl       <-- byte pointed by EAX is
  100.                                    replaced with bl
  101. :00401586 41                      inc ecx                      <-- ECX + 1      
  102. :00401587 40                      inc eax                      <-- EAX + 1
  103. :00401588 803800                  cmp byte ptr [eax], 00
  104. :0040158B 75F3                    jne 00401580                 <-- processing all values 
  105.                                    in the string
  106. ---------------------------                                                               
  107.                                                                   
  108. in my example:
  109.  
  110. 00760A7C =             70 75 73 69 6c 6c 75 73          (pusillus)
  111.            XOR cl      01 02 03 04 05 06 07 08
  112. 00760A7C =             71 77 70 6d 69 6a 72 7b
  113.  
  114.  
  115. proceding with F10, we reach the code where the pwd is processed:
  116.  
  117. ---------------------------
  118. :0040158D 33C0                    xor eax, eax
  119. :0040158F 33DB                    xor ebx, ebx
  120. :00401591 33C9                    xor ecx, ecx
  121. :00401593 B90A000000              mov ecx, 0000000A            <-- ECX=0A
  122. :00401598 33D2                    xor edx, edx
  123. :0040159A 8B45F0                  mov eax, dword ptr [ebp-10]  <-- EAX=00760A9C 
  124.  
  125. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  126. |:004015A8(C)
  127. |
  128. :0040159D 8A18                    mov bl, byte ptr [eax]       <-- bl= byte pointed by eax
  129. :0040159F 32D9                    xor bl, cl                   <-- xor bl , cl
  130. :004015A1 8818                    mov byte ptr [eax], bl       <-- byte pointed by eax = bl
  131. :004015A3 41                      inc ecx
  132. :004015A4 40                      inc eax
  133. :004015A5 803800                  cmp byte ptr [eax], 00       <-- looping for all the string 
  134. :004015A8 75F3                    jne 0040159D                     
  135. ---------------------------
  136.  
  137. password processing is the same but CL is initialized with 0A:
  138.  
  139.  
  140. 00760A9C =             30 30 30 30 30 30 30 30          (00000000)
  141.            XOR cl      0A 0B 0C 0D 0E 0F 10 11
  142. 00760A9C =             3A 3B 3C 3D 3E 3F 20 21
  143.  
  144.  
  145. The two modified strings are compared:
  146.  
  147. ---------------------------
  148. :004015AA 8B45E4                  mov eax, dword ptr [ebp-1C]  <-- 00760A7C
  149. :004015AD 8B55F0                  mov edx, dword ptr [ebp-10]  <-- 00760A9C
  150.  
  151. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  152. |:004015BF(C)
  153. |
  154. :004015B0 33C9                    xor ecx, ecx
  155. :004015B2 8A18                    mov bl, byte ptr [eax]       <-- bl= byte pointed by eax
  156. :004015B4 8A0A                    mov cl, byte ptr [edx]       <-- cl= byte pointed by edx
  157. :004015B6 3AD9                    cmp bl, cl                   <-- comparison
  158. :004015B8 7509                    jne 004015C3                 <-- not equals jump to "ERROR"
  159. :004015BA 40                      inc eax
  160. :004015BB 42                      inc edx
  161. :004015BC 803800                  cmp byte ptr [eax], 00       <-- end string control
  162. :004015BF 75EF                    jne 004015B0                 <-- cycling all the string 
  163. :004015C1 EB16                    jmp 004015D9                 <-- jump to "YOU DID IT"         
  164.  
  165. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
  166. |:00401503(U), :0040151C(U), :004015B8(C)
  167. |
  168. :004015C3 6A00                    push 00000000
  169.  
  170. * Possible StringData Ref from Data Obj ->"ERROR"
  171.                                   |
  172. :004015C5 686C304000              push 0040306C
  173.  
  174. * Possible StringData Ref from Data Obj ->"One of the Details you entered "
  175.                                         ->"was wrong"
  176.                                   |
  177. :004015CA 6840304000              push 00403040
  178. :004015CF 8B4DE0                  mov ecx, dword ptr [ebp-20]
  179.  
  180. * Reference To: MFC42.Ordinal:1080, Ord:1080h
  181.                                   |
  182. :004015D2 E8BB020000              Call 00401892
  183. :004015D7 EB14                    jmp 004015ED
  184.  
  185. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
  186. |:004015C1(U)
  187. |
  188. :004015D9 6A00                    push 00000000
  189.  
  190. * Possible StringData Ref from Data Obj ->"YOU DID IT"
  191.                                   |
  192. :004015DB 6834304000              push 00403034
  193.  
  194. * Possible StringData Ref from Data Obj ->"Well done,Cracker"
  195.                                   |
  196. :004015E0 6820304000              push 00403020
  197. ---------------------------
  198.  
  199. Ok we can calculate a valid serial for name "pusillus":
  200.  
  201.         71 77 70 6d 69 6a 72 7b  <-- values calculated by the program for "pusillus"
  202.         0A 0B 0C 0D 0E 0F 10 11  <-- xoring
  203.         7B 7C 7C 60 67 65 62 6A  <-- correct password: {||`gebj
  204.         
  205.         
  206. Please visit our Italian cracking homepage at http://ringzer0.cjb.net
  207.  
  208.  
  209. Pusillus.