注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

调试2k的smb认证  

2014-06-05 17:03:41|  分类: 一些练习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

我是在住处无网电脑调试2k的,在没有msv1_0.dll符号的情况下调试的。

所以下断点成了问题?这时如果知道模块的话,直接静态反汇编就可以,

我喜欢用OD来看他的导入函数参考等。

结合wireshark以及windbg调试,用之前已知的函数advapi32!SystemFunction009作为开始,

然后从点到面找到所有相关地方。

2k作为被调试服务端时,

产生挑战的地方,计算客户发过来挑战的地方,校验客户响应的地方;

*smb_xp_2k.x

*xp=>2k,2k as server
bp 782dad20 ".echo =srv_random=;db @edi l8;g"
*bp 782dad20 ".echo =srv_random=;db @edi l8;f @edi l8 11;g"
bp 782d6e3b "r @$t1=poi(@esp);r @$t2=poi(@esp+4);r @$t3=poi(@esp+8);.echo =srvcha=;db @$t1 l8;.echo =clicha=;db @$t2 l8;g"
bp 782d6e40 ".echo =encha=;db @$t3 l8;g"
bp 782dbbe1 ".echo =009=;dd esp l4;r @$t1=poi(@esp);r @$t2=poi(@esp+4);r @$t3=poi(@esp+8);.echo =encha=;db @$t1 l8;.echo =srvhash=;db @$t2 l10;g"
bp 782dbbe6 ".echo =009response=;db @$t3 l18;g"
bp 782dbbf5 ".echo =cmp=;dd esp l4;r @$t1=poi(@esp);r @$t2=poi(@esp+4);.echo =cli009=;db @$t1 l18;.echo =srv009=;db @$t2 l18;g"

一些调试输出

=srv_random=
000b4da0  71 b7 50 c1 8f 29 1b 45
=srvcha= 服务器产生的挑战
000b65e4  71 b7 50 c1 8f 29 1b 45
=clicha= 客户端发过来的挑战
000b6646  8f f0 82 e1 e5 94 6e 5c
=encha=
00fdf580  d0 85 bb 4e f5 3c 1c 90
=009=
00fde948  00fdf580 00fdee9c 00fde960 00fdeebc
=encha=
00fdf580  d0 85 bb 4e f5 3c 1c 90                       
=srvhash= 服务端管理员nthash
00fdee9c  dc 00 c9 01 5a f2 5c 3c-8e e9 2f 15 82 0e 36 6c
=009response= 用管理员nthash加密后的响应
00fde960  bb ab 5b 2c 7f 87 93 a2-24 ac a6 4b 72 19 c3 ba
00fde970  15 aa 7e 5d 6e 90 98 af                       
=cmp=
00fde948  000b662e 00fde960 00000018 00fdeebc
=cli009= 客户端发过来的响应
000b662e  8e 9a f0 2a 8b d2 00 67-7d 48 9f 1a 62 cb ac 98
000b663e  ce 24 30 85 c3 d8 17 1a                       
=srv009=
00fde960  bb ab 5b 2c 7f 87 93 a2-24 ac a6 4b 72 19 c3 ba
00fde970  15 aa 7e 5d 6e 90 98 af                       

2k作为被调试客户端时,

接收服务端挑战的地方,产生客户挑战的地方,计算客户响应的地方;

*smb_2k_xp.x

*xp<=2k,2k as client
bp 782d2fda ".echo =cli_random=;db @ebp-44 l8;g"
*bp 782d2fda ".echo =cli_random=;db @ebp-44 l8;f @ebp-44 l8 22;g"
bp 782d2fef "r @$t1=poi(@esp);r @$t2=poi(@esp+4);r @$t3=poi(@esp+8);.echo =srvcha=;db @$t1 l8;.echo =rndcha=;db @$t2 l8;g"
bp 782d2ff4 ".echo =encha=;db @$t3 l8;g"
bp 782d3009 ".echo =009=;dd @esp l4;r @$t1=poi(@esp);r @$t2=poi(@esp+4);r @$t3=poi(@esp+8);.echo =encha=;db @$t1 l8;.echo =clihash=;db @$t2 l10;g"
bp 782d300e ".echo =cli009=;db @$t3 l18;g"

 

一些调试输出

=cli_random=
00fdd5b4  2c ec 99 c3 1a 9b 69 dd                         
=srvcha= 服务端发过来的挑战
00fdd668  ff c6 da dc 81 7d 0b 80                         
=rndcha= 客户端产生的挑战
00fdd5b4  2c ec 99 c3 1a 9b 69 dd                         
=encha=
00fdd668  dd 4b 71 47 58 89 16 54                         
=009=
00fdd2bc  00fdd668 00085ae8 00fdd548 00000000
=encha=
00fdd668  dd 4b 71 47 58 89 16 54                         
=clihash= 客户端nthash
00085ae8  dc 00 c9 01 5a f2 5c 3c-8e e9 2f 15 82 0e 36 6c 
=cli009=  客户端加密后的响应
00fdd548  61 c1 ad 00 4c 22 d1 16-28 61 de 64 d5 76 1e 7c 
00fdd558  6d 78 91 94 c9 e7 7c 32                         

  评论这张
 
阅读(79)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017