某系统是网上最常见也是目前最好用的旅游站系统之一,5.1版本之前采用的maxtocode加壳后可以用de4dot反混淆后破解。5.1版本以后用de4dot无法脱壳。

本文仅限学习和讨论,请勿做侵权使用。

在这里说一种不脱壳破解的办法,我们分析早期版本的授权验证方式,以5.0为例,我们看下install的验证方法:

if (!flag || step2.smethod_0(this.key, lower))

                        {

                            //此处为安装代码,省略...

                            this.Response.Redirect("step3.aspx");

                        }

                        else

                        {

                            this.ClientScript.RegisterStartupScript(this.GetType(), "", "<script language='javascript'>alert('注册码错误!');</script>");

                        }

  

 public static bool smethod_0(string string_0, string string_1)

        {

            string str = "髆@b驖b~!蘯鸛0&饕)";

            return ((string_0.Equals(Utils.MD5(string.Concat("ωāр", string_1, str), 32).ToLower()) || string_0.Equals(Utils.MD5(string.Concat(string_1, str), 32).ToLower()) ? true : false) ? true : false);

        }

可以看出使用了一个Key和域名MD5以后生成序列号进行验证。所以只要找到Key就可以算出序列号。

在不脱壳的前提下,如何找到这个Key?

我们再分析TourEx.Pages.Dll 找到 BasePage

private static void old_acctor_mc()

{

    __ENCList = new List<WeakReference>();

    LineOrderLock = RuntimeHelpers.GetObjectValue(new object());

    OrderLock = RuntimeHelpers.GetObjectValue(new object());

    WriteLock = RuntimeHelpers.GetObjectValue(new object());

    checkkey = "髆@b驖b~!蘯鸛0&饕)";

    includeWap = false;

}

当然这是分析旧版本脱壳后的代码,如果没有脱壳,就通过反射调用BasePage后输出checkkey,就可以得到。

然后,我们悲催的发现5.1以后checkkey不见了,写在了方法内部,这样是没法通过反射读出来的。

到这里,我们不得不介绍下dnSpy这款神器,这款神器是de4dot的作者开发,可以动态调试.net的EXE,非常强大。

我们先分析BasePage中的验证方法:

// TourEx.Pages.BasePage

// Token: 0x0600005B RID: 91 RVA: 0x00007684 File Offset: 0x00005884

public static bool smethod_0()

{

	bool result;

	if (HttpContext.Current.Server.MapPath(HttpContext.Current.Request.Url.AbsolutePath).IndexOf("wap") != -1)

	{

		if (!(result = (Operators.CompareString(BaseConfig.WebKey, TourEx.Common.Utils.MD5("ωāр" + BaseConfig.WebDomain + BasePage.checkkey, 32).ToLower(), false) != 0)))

		{

			BasePage.includeWap = true;

		}

	}

	else if (result = (Operators.CompareString(BaseConfig.WebKey, TourEx.Common.Utils.MD5("ωāр" + BaseConfig.WebDomain + BasePage.checkkey, 32).ToLower(), false) != 0))

	{

		result = (Operators.CompareString(BaseConfig.WebKey, TourEx.Common.Utils.MD5(BaseConfig.WebDomain + BasePage.checkkey, 32).ToLower(), false) != 0);

	}

	else

	{

		BasePage.includeWap = true;

	}

	return result;

}

这个方法返回了验证结果和includeWap,我尝试用dnSpy写了IL代码

发现保存的时候失败了。

既然我们找对了地方,那就可以想别的办法,dnSpy有个很牛X的HEX编辑功能,可以找到方法对应的十六进制代码


用旧的版本修改IL代码,找到相关的十六进制分复制过来保存后,发现代码成功修改了!





测试成功打开网页,破解完成。
这个只是一个思路了,破解之道在于坚持不泄,找到洞洞,然后注入精华代码。。嗯,就是这么回事了~看起来是不是自然万物是不是都一样的道理?扯远了。。
																

最新文章
	

    
						
  1. 用scikit-learn和pandas学习线性回归
		
    2. 
						
  2. C++11异常处理 noexcept
		
    3. 
						
  3. Problem list
		
    4. 
						
  4. Oracle的if else if
		
    5. 
						
  5. grootJs 系统常用API接受
		
    6. 
						
  6. STM32F0xx_DAC输出电压配置详细过程
		
    7. 
						
  7. ol3简介
		
    8. 
						
  8. Sublime Text 3快捷键
		
    9. 
						
  9. Emule使用Upnp,解决Lowid和port not reachable的问题
		
    10. 
						
  10. java向文件写数据的3种方式
		
    11. 
						
  11. oc随笔六:字典
		
    12. 
						
  12. JAVA按字节读取文件
		
    13. 
						
  13. mysql集群安装配置
		
    14. 
						
  14. STM32 PWM波
		
    15. 
						
  15. RMAN中FILESPERSET设置对备份速度的影响
		
    16. 
						
  16. c#配置文件的简单操作
		
    17. 
						
  17. hashMap4种遍历方式
		
    18. 
						
  18. oldboy s21day11
		
    19. 
						
  19. Python的闭包和装饰器
		
    20. 
						
  20. hadoop配置笔记
		
    21. 
		

	


热门文章
	

    
									
  1. const 与 指针
			
    2. 
						
  2. 检索数据(mysqli的面向对象用法)
			
    3. 
						
  3. python gevent使用例子
			
    4. 
						
  4. Jquery滑动门实现
			
    5. 
						
  5. Java学习笔记2、环境变量配置与初学者常见错误
			
    6. 
						
  6. 获取SQL Server的安装时间
			
    7. 
						
  7. DDL语句--改动表
			
    8. 
						
  8. No suitable driver found for jdbc:mysql://localhost:3306/hibernate_basic
			
    9. 
						
  9. swift2.0中文版教程
			
    10. 
						
  10. memcache基础知识-stats参数
			
    11.