Pic Ref:
http://soft.ccn.tw/
PS: 注意本篇文章只適用於教學文件,請勿用於破壞或者任意改變原作者的設定.
作者網頁: http://soft.ccn.tw/
目標: (1)端口端分析
(2)判斷是否為密灌,接收使用者"帳號"/"密碼"回傳到特定的server.
工具: OllyICE, WireShark
分析流程: (1)找到特定欄位 UserName, PassWord, 看是否有異常的地方.
(2) 判斷發送訊息是否跟我們web登入的封包相同.
Step (1).
先開啟 OllyICE 載入 wretchXD. 按F9 進入main函式. 會停在第一個斷點位置.
會停在這
在按F9又接回return 的地方.似乎找不到任何JMP資訊,也沒有任何關鍵字.
Step (2).
跳出OllyICE,在重新載入.不做run(F9)的動作.
做關鍵字收尋. 按右鍵 Search for -> All referenced string text.
(1). Key word "
password" 找不到 .
"
passwd" 找到摟, 記錄一下斷點資訊,跟所在的記憶體位置(0X004092F8),
判斷此記憶體的位置是否會Post到不該連上的Web.
(2). 依序向下收尋,看有沒有access這段記憶體位置
跳出 All referrnced string text,回到原本的地方, 改用constant收尋來查找.
Search for -> all constants 鍵入004092f8 (Hex)就會找出所有有用到這段記憶體區段有關的指令.
發現只有找到一個
0042294D . 68 F8924000 push 004092F8; UNICODE "&passwd="
表示只有這個地方會抓 Passwd 到某個地方,在根據這個位置往上/下找,判斷是做怎樣的動作.
會發現一堆的regular expression,
0041DD1F . BA 108D4000 mov edx, 00408D10; UNICODE "]+)""?\s*>(.+)/>"
這邊會Parse出我們所要欄位. 如 BookID, PageID, PhotoID....再來就會把這些information 透過HTTP Post 的方式傳出去. 要如何傳出去就是透過 "按鈕" (sumbit)這個動作.
發現 sumbit 的Web 為 www.wretch.cc, 代表我們的PassWd不會傳到其它非法的網站.
Wretch 抓圖參考
Ref: http://funningboy.blogspot.com/2010/03/wretch-catcher.html
在按F9又接回return 的地方.似乎找不到任何JMP資訊,也沒有任何關鍵字.
Step (2).
跳出OllyICE,在重新載入.不做run(F9)的動作.
做關鍵字收尋. 按右鍵 Search for -> All referenced string text.
(1). Key word "password" 找不到 .
"passwd" 找到摟, 記錄一下斷點資訊,跟所在的記憶體位置(0X004092F8),
判斷此記憶體的位置是否會Post到不該連上的Web.
(2). 依序向下收尋,看有沒有access這段記憶體位置
跳出 All referrnced string text,回到原本的地方, 改用constant收尋來查找.
Search for -> all constants 鍵入004092f8 (Hex)就會找出所有有用到這段記憶體區段有關的指令.
發現只有找到一個
0042294D . 68 F8924000 push 004092F8; UNICODE "&passwd="
表示只有這個地方會抓 Passwd 到某個地方,在根據這個位置往上/下找,判斷是做怎樣的動作.
會發現一堆的regular expression,
0041DD1F . BA 108D4000 mov edx, 00408D10; UNICODE "
沒有留言:
張貼留言