我的问题是我不理解某一行代码
当这个 envp 参数出现在 main 上时,我正在对一个 crackme 进行逆向工程,然后程序开始使用它,这让我不明白如何解决 crackme 的第二部分(我正在使用 c 反编译器来分析破解版)。我仍然通过修补二进制文件解决了 crackme,但我不明白这行是什么意思,这让我很烦....
int __cdecl main(int argc, const char **argv, const char **envp){
char *Format; // [esp+0h] [ebp-98h]
char v5; // [esp+20h] [ebp-78h]
_alloca((size_t)Format);
__main();
printf("IOLI Crackme Level 0x06\n");
printf("Password: ");
scanf("%s", &v5);
check(&v5, (int)envp);
return 0;
}
int __cdecl check(char *Str, int a2){
size_t v2; // eax
char Src; // [esp+1Bh] [ebp-Dh]
unsigned int i; // [esp+1Ch] [ebp-Ch]
int v6; // [esp+20h] [ebp-8h]
int v7; // [esp+24h] [ebp-4h]
v6 = 0;
for ( i = 0; ; ++i ){
v2 = strlen(Str);
if ( i >= v2 )
break;
Src = Str[i];
sscanf(&Src, "%d", &v7);
v6 += v7;
if ( v6 == 16 )
parell(Str, a2);}
return printf("Password Incorrect!\n");
}
int *__cdecl parell(char *Src, int a2){
int *result; // eax
int i; // [esp+10h] [ebp-8h]
int v4; // [esp+14h] [ebp-4h]
sscanf(Src, "%d", &v4);
result = (int *)dummy(v4, a2);
if ( result )
{
for ( i = 0; i <= 9; ++i ){
if ( !(v4 & 1) ){
printf("Password OK!\n");
exit(0);
}
result = &i;
}
}
return result;
}
signed int __cdecl dummy(int a1, int a2)
{
int v2; // ecx
int v5; // [esp+14h] [ebp-4h]
v5 = 0;
while ( *(_DWORD *)(4 * v5 + a2) ) // 1 == True
{
v2 = 4 * v5++; // 4 or 0
if ( !strncmp(*(const char **)(v2 + a2), "LOLO", 3u) )
return 1;
}
return 0;
}
它从 main 到 check 再到 parallel(如果你正确地满足条件,然后到 dummy,这会创建一个无限循环,除了: if//!strncmp(*(const char **)(v2 + a2), "LOLO", 3u) == 1 问题是我//不明白 a2 是什么意思,它来自//main) 中的这个 envp 变量
这是解决方案的提示,正如我所说的,我陷入了第二个条件(无限循环开启): 级别 0x06:与 5 相同的算法,但 envp LOLO=1
最佳答案
What is the const char **envp supposed to do?
正如@Vlad 在评论中告诉您的那样,envp 类似于argv,但它不是程序参数,而是将进程的环境变量传递给它。这些是相同的键/值对,可以通过 getenv() 函数访问或通过 putenv() 函数设置。该进程通常通过简单地继承其父环境的副本从其父进程接收它们。 Shell 有一个用于操作这些的用户界面;例如,在 bash 中,可以使用命令 LOLO=1 将名为“LOLO”的环境变量(之前不需要存在)设置为值“1” . Windows shell 对同一事物有不同的语法。
如果您分析您提供的代码,您会发现 envp 只是(作为一个 int)通过几个函数级别,直到最终它是(仅)在 dummy() 中使用。你会进一步注意到 dummy() 没有使用它的 other 参数——它所做的只是分析它的第二个参数(转换回指针)所指向的数据) 点。特别是,它看起来像是在扫描整个环境,寻找名称以“LOL”开头的任何环境变量——如果找到一个,则返回 1,否则返回 0。这解释了您询问的提示: 仅找出密码是不够的; 不 除非设置适当的环境变量(设置为任何值),否则不接受密码。 “LOLO”将是此类变量的名称。
实际的密码检查是在函数 check 和 parell 中进行的。前者对密码字符串中的十进制数字进行预检查,按数字加起来为 16。如果满足要求(即使这发生在密码结束之前),那么它会将整个密码传递给函数 parell 用于进一步测试。这里是执行环境检查的地方,如果通过则将密码的前导十进制数字转换为数字,只要该数字是偶数,就接受密码。
然后,假设反编译器准确地完成了它的工作,只要设置了环境变量,就会接受许多密码:
88
4444
23452
包括一些利用 check 和 parell 执行的解析中的怪癖,例如
0d79
2pwned!!
此外,在 main() 中输入的密码似乎会发生缓冲区溢出,因此您可以从完全不同的方向来解决问题。
关于c - const char **envp 应该做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57009937/