网页证书过期给chrome.dll动手术【治愈您的时钟太快了】

查看 183|回复 11
作者:冥界3大法王   
用百度那饭桶搜索出一网页.


image.png (96.18 KB, 下载次数: 0)
下载附件
2022-11-27 12:10 上传

点击打开就看到了这!


image.png (181.43 KB, 下载次数: 0)
下载附件
2022-11-27 13:27 上传

再点高级,就会看到证书的过期时间(心里记录一下),到系统时钟里修改成那天,网页就打开了。
也就是说什么时钟快了,完全在扯犊子么,只是网页的制作者的证书又该续费了。。。
所以咱们就用x64dbg来解决这个问题吧。
不然改来改去,多麻烦啊。。。
百度净给蒙爹的答案。
还是法王姥爷教授大家如何手术治愈吧。
不喜欢时间改来改去的,所以说楼主痛的,你的才痛呢~~

费话说完,开始动手:
用x64dbg直接打开,建议到虚拟里,重新拷贝一个chrome复本过去,并删除掉配置
不然启动一堆网页一堆进程,怎么调试的明白?
直接F9让程序运行起来,此时chrome.dll 才会被加载
Alt+E模块窗口中双击 chrome.dll  并搜索字符串
第1次是 clock
第2次是 Certificat
接下来,去网页中打开那个链接https://www.delphitop.com/html/kongjian/5519.html吧。
在上面的证书相关的断点列表中,会被断到多处。
上来第一次调试先断着看,因为并不知接下来出现啥?
接下来,顺势往下走,走到上面的地方,该是可疑的地方不远了。
这里有些用了,记录下来
[Asm] 纯文本查看 复制代码000007FEE578D0C | 75 2F                 | jne chrome.7FEE578D0FE              |
000007FEE578D0C | C74424 20 01000000    | mov dword ptr ss:[rsp+20],1         |
000007FEE578D0D | 48:8D0D FA6F7703      | lea rcx,qword ptr ds:[7FEE8F040D8]  | 000007FEE8F040D8:"interstitial.ssl.clockstate.network3"
000007FEE578D0D | BA 01000000           | mov edx,1                           |
000007FEE578D0E | 41:B8 09000000        | mov r8d,9                           | 9:'\t'
000007FEE578D0E | 41:B9 0A000000        | mov r9d,A                           | A:'\n'
000007FEE578D0E | E8 1C4C0FFC           | call chrome.7FEE1881D10             |
000007FEE578D0F | 48:89C1               | mov rcx,rax                         |
000007FEE578D0F | 48:8905 AA411404      | mov qword ptr ds:[7FEE98D12A8],rax  |
000007FEE578D0F | 48:8B01               | mov rax,qword ptr ds:[rcx]          |
000007FEE578D10 | 89FA                  | mov edx,edi                         |
000007FEE578D10 | FF50 28               | call qword ptr ds:[rax+28]          |
000007FEE578D10 | 48:8B0D A3411404      | mov rcx,qword ptr ds:[7FEE98D12B0]  |
000007FEE578D10 | 48:85C9               | test rcx,rcx                        |
000007FEE578D11 | 75 2F                 | jne chrome.7FEE578D141              |
000007FEE578D11 | C74424 20 01000000    | mov dword ptr ss:[rsp+20],1         |
000007FEE578D11 | 48:8D0D DC6F7703      | lea rcx,qword ptr ds:[7FEE8F040FD]  | 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"
向F8 单步向下走
上面有个bad_clock
[Asm] 纯文本查看 复制代码000007FEE4B2AAB | 48:8BBC24 F8000000    | mov rdi,qword ptr ss:[rsp+F8]       | [rsp+F8]:&"https://www.delphitop.com/html/kongjian/5519.html"
000007FEE4B2AAB | 48:8B05 0380C304      | mov rax,qword ptr ds:[7FEE9762AC8]  |
000007FEE4B2AAC | 48:31E0               | xor rax,rsp                         |
000007FEE4B2AAC | 48:898424 80000000    | mov qword ptr ss:[rsp+80],rax       |
000007FEE4B2AAD | 48:8D15 B0131404      | lea rdx,qword ptr ds:[7FEE8C6BE87]  | rdx:"bad_clock", 000007FEE8C6BE87:"bad_clock"
000007FEE4B2AAD | 48:8D6C24 50          | lea rbp,qword ptr ss:[rsp+50]       |
000007FEE4B2AAD | 48:89E9               | mov rcx,rbp                         |
000007FEE4B2AAD | E8 567AD3FC           | call chrome.7FEE186253A             |
000007FEE4B2AAE | C64424 20 00          | mov byte ptr ss:[rsp+20],0          |
000007FEE4B2AAE | 4C:8D6424 68          | lea r12,qword ptr ss:[rsp+68]       |
000007FEE4B2AAE | 4C:89E1               | mov rcx,r12                         |
000007FEE4B2AAF | 48:89DA               | mov rdx,rbx                         | rdx:"bad_clock"
000007FEE4B2AAF | 49:89F8               | mov r8,rdi                          | rdi:&"https://www.delphitop.com/html/kongjian/5519.html"
接下来,点网页中的调用系统时钟时,调到下面的地方 :
[Asm] 纯文本查看 复制代码000007FEE482E7D | 48:8D05 9BD74304      | lea rax,qword ptr ds:[7FEE8C6BF74]  | 000007FEE8C6BF74:"SSLInterstitial.Advanced"
000007FEE482E7D | EB 7B                 | jmp chrome.7FEE482E856              |
000007FEE482E7D | 41:0FB687 97000000    | movzx eax,byte ptr ds:[r15+97]      |
000007FEE482E7E | 84C0                  | test al,al                          |
000007FEE482E7E | 79 07                 | jns chrome.7FEE482E7EE              |
000007FEE482E7E | 49:8B87 88000000      | mov rax,qword ptr ds:[r15+88]       |
000007FEE482E7E | 48:83F8 09            | cmp rax,9                           | 9:'\t'
000007FEE482E7F | 75 6F                 | jne chrome.7FEE482E863              |
000007FEE482E7F | 48:C74424 20 09000000 | mov qword ptr ss:[rsp+20],9         | 9:'\t'
000007FEE482E7F | 4C:8D0D 83D64304      | lea r9,qword ptr ds:[7FEE8C6BE87]   | r9:"bad_clock", 000007FEE8C6BE87:"bad_clock"
继续先记录。。。
系统时钟修改完之后,再次打开网页,看这次又是断到了何处?


image.png (267.98 KB, 下载次数: 0)
下载附件
2022-11-27 12:00 上传

这次断到了这里。
[Asm] 纯文本查看 复制代码000007FEE578D11 | 75 2F                 | jne chrome.7FEE578D141              | yes
000007FEE578D11 | C74424 20 01000000    | mov dword ptr ss:[rsp+20],1         |
000007FEE578D11 | 48:8D0D DC6F7703      | lea rcx,qword ptr ds:[7FEE8F040FD]  | 000007FEE8F040FD:"interstitial.ssl.clockstate.build_time"
000007FEE578D12 | BA 01000000           | mov edx,1                           |
000007FEE578D12 | 41:B8 04000000        | mov r8d,4                           |
000007FEE578D12 | 41:B9 05000000        | mov r9d,5                           | r9d:&"PE"
000007FEE578D13 | E8 D94B0FFC           | call chrome.7FEE1881D10             |
000007FEE578D13 | 48:89C1               | mov rcx,rax                         |
000007FEE578D13 | 48:8905 6F411404      | mov qword ptr ds:[7FEE98D12B0],rax  |
000007FEE578D14 | 48:8B01               | mov rax,qword ptr ds:[rcx]          |
000007FEE578D14 | 89F2                  | mov edx,esi                         |
000007FEE578D14 | FF50 28               | call qword ptr ds:[rax+28]          |
000007FEE578D14 | FFCF                  | dec edi                             |
000007FEE578D14 | 83FF 08               | cmp edi,8                           |
000007FEE578D14 | 77 17                 | ja chrome.7FEE578D167               | keyi 1)修改这里成功了
ja==>改成jmp


image.png (84.42 KB, 下载次数: 0)
下载附件
2022-11-27 12:13 上传

改完之后,出来了这,还需要点一次【高级、继续前往】。。。
也就是说大体的思路是正确的,细节还需要再分析下,或许可以更进一步。
那我们接着修改。。。

interstitial.ssl_nonoverridable.is_recurrent_error.ct_error
CERT_DATE_INVALID
最后放出遇到此问题的作弊码:回复后可见。
懒鬼和不会逆向的朋友可以自己尝试。
在上述链接中先按F5刷新,接着在页面数中输入作弊码thisisunsafe,即可直接通关。

网页, 时钟

有理想的程序员   

感谢分享                                                                                       
bachelor66   

还是法王厉害啊                                                         
caitounb   

好牛逼,学习一下
52new   

解决大问题了
guohuanxian   

过来看看
delicioussky   

学习了,感谢楼主分享
mxx12   

感谢楼主的帮助
arighteye   

谢谢分享,点赞保存
eer123   

太棒了,改完以后给你发个钓鱼网站
您需要登录后才可以回帖 登录 | 立即注册

返回顶部