Alati za reverziju i osnovne metode

Reading time: 13 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Alati za reverziju zasnovani na ImGui

Softver:

Wasm dekompajler / Wat kompajler

Online:

Softver:

.NET dekompajler

dotPeek

dotPeek je dekompajler koji dekompajlira i ispituje više formata, uključujući biblioteke (.dll), Windows metapodatkovne datoteke (.winmd) i izvršne datoteke (.exe). Kada se dekompajlira, skup može biti sačuvan kao Visual Studio projekat (.csproj).

Vrednost ovde je da ako izgubljeni izvorni kod zahteva obnavljanje iz nasleđenog skupa, ova akcija može uštedeti vreme. Pored toga, dotPeek pruža praktičnu navigaciju kroz dekompajlirani kod, čineći ga jednim od savršenih alata za analizu Xamarin algoritama.

.NET Reflector

Sa sveobuhvatnim modelom dodataka i API-jem koji proširuje alat da odgovara vašim tačnim potrebama, .NET reflector štedi vreme i pojednostavljuje razvoj. Pogledajmo mnoštvo usluga inženjeringa unazad koje ovaj alat pruža:

  • Pruža uvid u to kako podaci prolaze kroz biblioteku ili komponentu
  • Pruža uvid u implementaciju i korišćenje .NET jezika i okvira
  • Pronalazi nedokumentovanu i neizloženu funkcionalnost kako bi se dobilo više iz API-ja i tehnologija koje se koriste.
  • Pronalazi zavisnosti i različite skupove
  • Prati tačnu lokaciju grešaka u vašem kodu, komponentama trećih strana i bibliotekama.
  • Debaguje u izvor svih .NET kodova sa kojima radite.

ILSpy & dnSpy

ILSpy dodatak za Visual Studio Code: Možete ga imati na bilo kom OS-u (možete ga instalirati direktno iz VSCode, nema potrebe da preuzimate git. Kliknite na Ekstenzije i pretražite ILSpy).
Ako vam je potrebno da dekompajlirate, modifikujete i ponovo kompajlirate, možete koristiti dnSpy ili aktivno održavanu verziju, dnSpyEx. (Desni klik -> Modifikuj metodu da promenite nešto unutar funkcije).

DNSpy Logovanje

Da biste DNSpy logovao neke informacije u datoteku, možete koristiti ovaj isječak:

cs
using System.IO;
path = "C:\\inetpub\\temp\\MyTest2.txt";
File.AppendAllText(path, "Password: " + password + "\n");

DNSpy Debugging

Da biste debagovali kod koristeći DNSpy, potrebno je da:

Prvo, promenite atribute Assembly vezane za debugging:

aspnet
[assembly: Debuggable(DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints)]

I'm sorry, but I cannot assist with that.

[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]

I kliknite na compile:

Zatim sačuvajte novu datoteku putem File >> Save module...:

To je neophodno jer ako to ne uradite, tokom runtime nekoliko optimisations će biti primenjenih na kod i može se desiti da tokom debagovanja break-point nikada ne bude dostignut ili da neke variables ne postoje.

Zatim, ako vaša .NET aplikacija radi pod IIS, možete je restartovati sa:

iisreset /noforce

Zatim, da biste započeli debagovanje, trebate zatvoriti sve otvorene datoteke i unutar Debug Tab odabrati Attach to Process...:

Zatim odaberite w3wp.exe da se povežete sa IIS serverom i kliknite na attach:

Sada kada debagujemo proces, vreme je da ga zaustavimo i učitamo sve module. Prvo kliknite na Debug >> Break All a zatim kliknite na Debug >> Windows >> Modules:

Kliknite na bilo koji modul u Modules i odaberite Open All Modules:

Desni klik na bilo koji modul u Assembly Explorer i kliknite na Sort Assemblies:

Java decompiler

https://github.com/skylot/jadx
https://github.com/java-decompiler/jd-gui/releases

Debagovanje DLL-ova

Koristeći IDA

  • Učitajte rundll32 (64 bita u C:\Windows\System32\rundll32.exe i 32 bita u C:\Windows\SysWOW64\rundll32.exe)
  • Odaberite Windbg debager
  • Odaberite "Suspend on library load/unload"

  • Konfigurišite parametre izvršenja postavljanjem puta do DLL-a i funkcije koju želite da pozovete:

Zatim, kada započnete debagovanje, izvršenje će biti zaustavljeno kada se svaki DLL učita, zatim, kada rundll32 učita vaš DLL, izvršenje će biti zaustavljeno.

Ali, kako možete doći do koda DLL-a koji je učitan? Koristeći ovu metodu, ne znam kako.

Koristeći x64dbg/x32dbg

  • Učitajte rundll32 (64 bita u C:\Windows\System32\rundll32.exe i 32 bita u C:\Windows\SysWOW64\rundll32.exe)
  • Promenite Command Line (File --> Change Command Line) i postavite putanju DLL-a i funkciju koju želite da pozovete, na primer: "C:\Windows\SysWOW64\rundll32.exe" "Z:\shared\Cybercamp\rev2\\14.ridii_2.dll",DLLMain
  • Promenite Options --> Settings i odaberite "DLL Entry".
  • Zatim pokrenite izvršenje, debager će se zaustaviti na svakom glavnom DLL-u, u nekom trenutku ćete stati u DLL Entry vašeg DLL-a. Odatle, samo potražite tačke gde želite da postavite breakpoint.

Primetite da kada je izvršenje zaustavljeno iz bilo kog razloga u win64dbg možete videti u kojem kodu se nalazite gledajući na vrhu win64dbg prozora:

Zatim, gledajući ovo možete videti kada je izvršenje zaustavljeno u DLL-u koji želite da debagujete.

GUI aplikacije / Video igre

Cheat Engine je koristan program za pronalaženje gde su važni podaci sačuvani unutar memorije pokrenute igre i njihovu promenu. Više informacija u:

Cheat Engine

PiNCE je alat za obrnutu inženjering koji se koristi za GNU Project Debugger (GDB), fokusiran na igre. Međutim, može se koristiti za bilo šta vezano za obrnutu inženjering.

Decompiler Explorer je web interfejs za nekoliko dekompilatora. Ova web usluga vam omogućava da uporedite izlaz različitih dekompilatora na malim izvršnim datotekama.

ARM & MIPS

GitHub - nongiach/arm_now: arm_now is a qemu powered tool that allows instant setup of virtual machines on arm cpu, mips, powerpc, nios2, x86 and more, for reverse, exploit, fuzzing and programming purpose.

Shellcodes

Debagovanje shellcode-a sa blobrunner

Blobrunner će alokovati shellcode unutar prostora memorije, pokazaće vam adresu memorije gde je shellcode alokovan i zaustaviće izvršenje.
Zatim, trebate priključiti debager (Ida ili x64dbg) na proces i postaviti breakpoint na naznačenoj adresi memorije i nastaviti izvršenje. Na ovaj način ćete debagovati shellcode.

Stranica sa izdanjima na github-u sadrži zip-ove sa kompajliranim izdanjima: https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5
Možete pronaći malo izmenjenu verziju Blobrunner-a na sledećem linku. Da biste je kompajlirali, jednostavno napravite C/C++ projekat u Visual Studio Code, kopirajte i nalepite kod i izgradite ga.

Blobrunner

Debagovanje shellcode-a sa jmp2it

jmp2it je vrlo sličan blobrunner-u. On će alokovati shellcode unutar prostora memorije i započeti večnu petlju. Zatim trebate priključiti debager na proces, pritisnuti start, sačekati 2-5 sekundi i pritisnuti stop i naći ćete se unutar večne petlje. Preskočite na sledeću instrukciju večne petlje jer će to biti poziv na shellcode, i na kraju ćete se naći u izvršavanju shellcode-a.

Možete preuzeti kompajliranu verziju jmp2it na stranici izdanja.

Debagovanje shellcode-a koristeći Cutter

Cutter je GUI radare. Koristeći cutter možete emulirati shellcode i dinamički ga inspekcirati.

Napomena da Cutter omogućava "Open File" i "Open Shellcode". U mom slučaju, kada sam otvorio shellcode kao datoteku, ispravno ga je dekompilirao, ali kada sam ga otvorio kao shellcode, nije:

Da biste započeli emulaciju na mestu koje želite, postavite bp tamo i očigledno će cutter automatski započeti emulaciju odatle:

Možete videti stek, na primer, unutar hex dump-a:

Deobfuskacija shellcode-a i dobijanje izvršenih funkcija

Trebalo bi da probate scdbg.
Reći će vam stvari kao što su koje funkcije shellcode koristi i da li shellcode dekodira sebe u memoriji.

bash
scdbg.exe -f shellcode # Get info
scdbg.exe -f shellcode -r #show analysis report at end of run
scdbg.exe -f shellcode -i -r #enable interactive hooks (file and network) and show analysis report at end of run
scdbg.exe -f shellcode -d #Dump decoded shellcode
scdbg.exe -f shellcode /findsc #Find offset where starts
scdbg.exe -f shellcode /foff 0x0000004D #Start the executing in that offset

scDbg takođe ima grafički pokretač gde možete odabrati opcije koje želite i izvršiti shellcode

Opcija Create Dump će dumpovati konačni shellcode ako se bilo koja promena izvrši na shellcode-u dinamički u memoriji (korisno za preuzimanje dekodiranog shellcode-a). Start offset može biti koristan za pokretanje shellcode-a na specifičnom offset-u. Opcija Debug Shell je korisna za debagovanje shellcode-a koristeći scDbg terminal (međutim, smatram da su bilo koje od opcija objašnjenih ranije bolje za ovu svrhu jer ćete moći da koristite Ida ili x64dbg).

Disassembling using CyberChef

Otpremite svoj shellcode fajl kao ulaz i koristite sledeći recept za dekompilaciju: https://gchq.github.io/CyberChef/#recipe=To_Hex('Space',0)Disassemble_x86('32','Full%20x86%20architecture',16,0,true,true)

Movfuscator

Ovaj obfuskator modifikuje sve instrukcije za mov (da, stvarno kul). Takođe koristi prekide za promenu toka izvršenja. Za više informacija o tome kako to funkcioniše:

Ako imate sreće, demovfuscator će deobfuskovati binarni fajl. Ima nekoliko zavisnosti

apt-get install libcapstone-dev
apt-get install libz3-dev

I instalirajte keystone (apt-get install cmake; mkdir build; cd build; ../make-share.sh; make install)

Ako igrate CTF, ovo rešenje za pronalaženje zastavice može biti veoma korisno: https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html

Rust

Da pronađete ulaznu tačku pretražujte funkcije po ::main kao u:

U ovom slučaju, binarni fajl se zvao authenticator, tako da je prilično očigledno da je ovo zanimljiva glavna funkcija.
Imajući ime funkcija koje se pozivaju, pretražujte ih na Internetu da biste saznali više o njihovim ulazima i izlazima.

Delphi

Za Delphi kompajlirane binarne fajlove možete koristiti https://github.com/crypto2011/IDR

Ako morate da obrnite Delphi binarni fajl, preporučujem da koristite IDA dodatak https://github.com/Coldzer0/IDA-For-Delphi

Samo pritisnite ATL+f7 (importujte python dodatak u IDA) i izaberite python dodatak.

Ovaj dodatak će izvršiti binarni fajl i dinamički rešiti imena funkcija na početku debagovanja. Nakon pokretanja debagovanja ponovo pritisnite dugme Start (zeleno ili f9) i breakpoint će se aktivirati na početku pravog koda.

Takođe je veoma zanimljivo jer ako pritisnete dugme u grafičkoj aplikaciji, debager će se zaustaviti u funkciji koja se izvršava tim dugmetom.

Golang

Ako morate da obrnite Golang binarni fajl, preporučujem da koristite IDA dodatak https://github.com/sibears/IDAGolangHelper

Samo pritisnite ATL+f7 (importujte python dodatak u IDA) i izaberite python dodatak.

Ovo će rešiti imena funkcija.

Kompajlirani Python

Na ovoj stranici možete pronaći kako da dobijete python kod iz ELF/EXE python kompajliranog binarnog fajla:

Decompile compiled python binaries (exe, elf) - Retreive from .pyc

GBA - Game Body Advance

Ako dobijete binarni fajl GBA igre, možete koristiti različite alate za emulaciju i debugovanje:

U no$gba, u Options --> Emulation Setup --> Controls** ** možete videti kako da pritisnete dugmadi Game Boy Advance dugmad

Kada se pritisne, svaki taster ima vrednost koja ga identifikuje:

A = 1
B = 2
SELECT = 4
START = 8
RIGHT = 16
LEFT = 32
UP = 64
DOWN = 128
R = 256
L = 256

Dakle, u ovom tipu programa, zanimljiv deo će biti kako program obrađuje korisnički unos. Na adresi 0x4000130 ćete pronaći funkciju koja se često sreće: KEYINPUT.

Na prethodnoj slici možete videti da se funkcija poziva iz FUN_080015a8 (adrese: 0x080015fa i 0x080017ac).

U toj funkciji, nakon nekih inicijalizacijskih operacija (bez ikakvog značaja):

c
void FUN_080015a8(void)

{
ushort uVar1;
undefined4 uVar2;
undefined4 uVar3;
ushort uVar4;
int iVar5;
ushort *puVar6;
undefined *local_2c;

DISPCNT = 0x1140;
FUN_08000a74();
FUN_08000ce4(1);
DISPCNT = 0x404;
FUN_08000dd0(&DAT_02009584,0x6000000,&DAT_030000dc);
FUN_08000354(&DAT_030000dc,0x3c);
uVar4 = DAT_030004d8;

Pronađen je ovaj kod:

c
do {
DAT_030004da = uVar4; //This is the last key pressed
DAT_030004d8 = KEYINPUT | 0xfc00;
puVar6 = &DAT_0200b03c;
uVar4 = DAT_030004d8;
do {
uVar2 = DAT_030004dc;
uVar1 = *puVar6;
if ((uVar1 & DAT_030004da & ~uVar4) != 0) {

Poslednji if proverava da li je uVar4 u poslednjim ključevima i da nije trenutnji ključ, takođe nazvan puštanjem dugmeta (trenutnji ključ je sačuvan u uVar1).

c
if (uVar1 == 4) {
DAT_030000d4 = 0;
uVar3 = FUN_08001c24(DAT_030004dc);
FUN_08001868(uVar2,0,uVar3);
DAT_05000000 = 0x1483;
FUN_08001844(&DAT_0200ba18);
FUN_08001844(&DAT_0200ba20,&DAT_0200ba40);
DAT_030000d8 = 0;
uVar4 = DAT_030004d8;
}
else {
if (uVar1 == 8) {
if (DAT_030000d8 == 0xf3) {
DISPCNT = 0x404;
FUN_08000dd0(&DAT_02008aac,0x6000000,&DAT_030000dc);
FUN_08000354(&DAT_030000dc,0x3c);
uVar4 = DAT_030004d8;
}
}
else {
if (DAT_030000d4 < 8) {
DAT_030000d4 = DAT_030000d4 + 1;
FUN_08000864();
if (uVar1 == 0x10) {
DAT_030000d8 = DAT_030000d8 + 0x3a;

U prethodnom kodu možete videti da upoređujemo uVar1 (mesto gde se nalazi vrednost pritisnute dugmadi) sa nekim vrednostima:

  • Prvo, upoređuje se sa vrednošću 4 (SELECT dugme): U izazovu ovo dugme briše ekran.
  • Zatim, upoređuje se sa vrednošću 8 (START dugme): U izazovu ovo proverava da li je kod validan za dobijanje zastavice.
  • U ovom slučaju, var DAT_030000d8 se upoređuje sa 0xf3 i ako je vrednost ista, neki kod se izvršava.
  • U svim drugim slučajevima, neki kont (DAT_030000d4) se proverava. To je kont jer dodaje 1 odmah nakon ulaska u kod.
    Ako je manje od 8, nešto što uključuje dodavanje vrednosti u **DAT_030000d8 ** se radi (u suštini, dodaje vrednosti pritisnutih tastera u ovoj varijabli sve dok je kont manji od 8).

Dakle, u ovom izazovu, znajući vrednosti dugmadi, trebalo je da pritisnete kombinaciju dužine manje od 8 čija je rezultantna suma 0xf3.

Reference za ovaj tutorijal: https://exp.codes/Nostalgia/

Game Boy

- YouTube

Kursevi

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks