U
UnderD0g
Original poster
Как розы падают на мокрый асфальт так я начинаю очередной раз учить вас реверсу, но на этот раз на линуксе... Да да вот мы и дошли к финальному боссу этой арки под названием "Беги сука, беги". Мы будем использовать программу radare2 так как других на линуксе я просто не знаю или не помню, а вот CrackMe я взял с сайта HTB.
Radare2 — свободный кроссплатформенный фреймворк для реверс-инжиниринга, написанный на Си, который включает дизассемблер, шестнадцатеричный редактор, анализатор кода и т. д. Используется при реверсе и отладке вредоносного ПО и прошивок. Звучит как член в жопе, но думаю нам понравиться.
Давайте сначала узнаем информацию о нашем файле! Для этого пишем:
rabin2 -I название вашего файла
Если мы видим надписать bintype elf - то это бинарь
На HTB написали что есть несколько путей с помощью которых можно пройти это дерьмо:
А так как мы ГЕИ мы будем искать пытаться найти строки и в них сам ключ Для поиска строк надо написать: rabin2 -zqq название файла
Нас тут морально хотели наебать и написать Dont run `strings` on this challenge, that is not the way!!!!
Но нам как бы похуй... Так что давайте попробуем написать abcde122313
Вот мы и красавчики, но давайте теперь попробуем по-взрослому... Пишем r2 название файла для запуска так сказать IDA:
Теперь давайте напишем aaa чтобы он нам показал все функции:
Ну и осталось написать,s main чтобы перейти к входу и это зачастую функция main ну и после этого нам надо будет написать VV:
Ммм красиво... Теперь мы можем видеть всю нам нужную информацию :/
Так же мы могли использовать программу hexdump
Hexdump - это шестнадцатеричное представление компьютерных данных из ОЗУ, компьютерного файла или устройства хранения. Просмотр шестнадцатеричного дампа данных обычно выполняется в контексте отладки или обратного проектирования
Пишем hexdump -C название файла и смотрим на такую фотокарточку:
Теперь вам осталось найти нужный нам ключ:
Вот такой у нас забавный CrackMe от HTB. Статья маленькая, но надеюсь людям которые будут проходить этот Члениндж поможет ;D