• STATISTIQUES
  • Il y a eu un total de 0 membres et 29283 visiteurs sur le site dans les dernières 24h pour un total de 29 283 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] dcode
    dcode.fr est le site indispensable pour décoder des messages, tricher aux jeux de lettres, résoudre des énigmes...
    Outils / Add-on
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster
    [FR] Kalkulators
    Ce projet a plusieurs buts, le premier étant l’étude de toutes formes cryptographiques, le cot&ea...
    Cryptographie
    [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités
    [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking
    [EN] Gekko
    Site de challenge présenter sous la forme d'une quête. Vous êtes un agent secret qui répond sous le nom...
    Challenges
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[CRACKME] Ringzer0 Crackme1
12-09-2014, 15h00 (Modification du message : 12-09-2014, 15h02 par sakiir.)
Message : #1
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
[CRACKME] Ringzer0 Crackme1
Bonjour à tous .
Aujourd'hui on s'attaque à un Crackme de ringzer0team.com, il s'agit d'un Crackme Windows assez simple mais je l'ai trouvé assez original.

Lien du crackme : http://ringzer0team.com/files/c42bdc8fa6...8227c1.exe

Il s'agit d'un des touts premiers niveau , donc on va directement le charger dans olly puisqu'il n'est sans doute pas packé.
On peut voir en le lançant qu'il ne se passe absolument rien de spécial mise à part l'affichage d'une boite de dialogue:


Citation :---------------------------
Windows
---------------------------
Microsoft Windows is a series of graphical interface operating systems developed, marketed, and sold by Microsoft.
Microsoft introduced an operating environment named Windows on November 20,
1985 as a graphical operating system shell for MS-DOS in response to the growing interest in graphical user interfaces (GUI).
Microsoft Windows came to dominate the world's personal computer market with over 90% market share,
overtaking Mac OS, which had been introduced in 1984.
---------------------------
OK
---------------------------


Un message trèsx50 interessant ..
Allons voir dans olly les export :

[Image: 8uQTXLd.png]

On peut voir des appels à FindResourceA(), WriteFile(), CreateFileA, MessageBoxA().
A première vu, le fichier va aller chercher quelque chose dans ses "resources".
Utilisons ResHacker pour voir de quoi il s'agit :


[Image: X1DcLbV.png]


En regardant en diagonale la taille du fichier et la structure on s'apercoit qu'il s'agit d'un binaire .. allons voir maintenant ce que le programme en fais.

[Image: 4WtIfyr.png]

On Récapitule :
- Le prog load un binaire en mémoire
- Il créer un fichier contenant la resource
- Arguments de CreateFileA :
Citation :0028FEA0 007C2BB0 |FileName = "C:\Users\Sakiir\AppData\Roaming\us2dr0a00k.dll"
0028FEA4 40000000 |Access = GENERIC_WRITE
0028FEA8 00000000 |ShareMode = 0
0028FEAC 00000000 |pSecurity = NULL
0028FEB0 00000002 |Mode = CREATE_ALWAYS
0028FEB4 00000080 |Attributes = NORMAL
0028FEB8 00000000 \hTemplateFile = NULL

- Il s'agit donc d'une DLL(abrégé de Dynamic Link Library) une dll est en quelques sortes un binaire qui contient des fonctions qui seront executées par d'autres programmes .

Maintenant on va s'interesser à cette DLL .
En allant voir dans %appdata% (Là ou est créée la DLL) on peut voir qu'une série de dll est apparues ! (ca depend de combien de fois vous avez lancé le programme puisqu'il utilise un nom aléatoire à chaque fois .. ^^)

[Image: 5iDag8L.png]

On en met une de coté et on vas voir un peut ce qu'elle contient, pour ça , on va utiliser un programme qui s'appel dllexp.
( Si non on peut utiliser Olly pour lister les fonctions contenue dans la dll .. )

[Image: gnKuxHn.png]

Voyons voir ... Une fonction qui s'appel DisplayMessage() .
Comment voir ce qu'elle fais cette fonctions ? On va faire un petit programme en C qui va l'executer en utilisant l'API LoadLibraryA().

Code C :

#include <windows.h>
#include <stdio.h>
 
typedef int (__cdecl *MYPROC)(LPWSTR); // Typedef pour la fonction
 
int main(int argc, char **argv)
{
    HINSTANCE hinstLib; // Instance de la DLL
    MYPROC DisplayMessage; // Pointeur sur fonction de la fonction DisplayMessage()
    hinstLib = LoadLibrary("slk53nyeoo.dll"); // On Charge la DLL
    DisplayMessage = (MYPROC) GetProcAddress(hinstLib, "DisplayMessage"); // On charge la fonction dans ProcAdd
    DisplayMessage(); // On l'execute ..  
}
 


On Compile , on execute notre programme , Then on tombe sur une boite de dialogue :

[Image: UozQcH1.png]

J'ai caché le FLAG pour que vous le faites vous même sans valider bêtement .
Bonne journée
+1 (9) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [IDA] Remote GDB d'un crackme thxer 1 211 11-12-2013, 14h49
Dernier message: sakiir

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut