【原创】 如何破解windows下实达(锐捷)认证2.4正式版[附补丁程序]?
注:实达认证star supplicant现已更名为锐捷认证rui jie supplicant ,两者是等价的.
作者:jdg@wonyen.net
仅以此文献给心爱的小文论坛(wonyen.net),祝论坛越办越好!!!
声明,本文仅做学习和研究之用!!!!!!!!!!!!!!
大家好,我是jdg.今天介绍一下如何破解windows下实达认证2.4正式版。
首先介绍一下实达认证软件.
IEEE 802.1x标准在IEEE 802网络结构的基础上,定义了一种基于工作站/服务器模式的输入控制机制和认证协
议,约束网络服务只向那些允许进行访问的用户提供,克服传统网桥的安全性弱点。
实达认证主要是基于802.1x,服务器上绑定IP,MAC,端口号,限制客户端使用代理,多网卡.
客户端supplicant2.4检测机器是否安装多网卡,设置代理,若有,则提示"目前系统工作环境与软件运行环境相冲
突,软件不能正常运行!\n(Code: 1)”类似的信息出现,其返回Code值表示了冲突的原因。
Code=2,您安装了多块网卡,和服务器要求的不符合
Code=4,您安装了代理服务器,和服务器要求的不符合
"
现在许多学校多采用这种方式!!
下面介绍如何利用ollydbg解除客户端的多网卡,代理限制.
1.首先利用peid发现该软件没有加壳,且用VC编写.
2.装载主程序8021x.exe,利用参考找到三处,与之相关的.
分别将它们指令改为nop
运行8021x.exe,发现有一处,改为NOP时,在有多网卡,代理的情况下并不报错,排除该处,看来余下的两处就是我
们所要找的.
容易验证(00407A28)是代理限制,(00408724)是双网卡限制.
相关代码如下:静态分析这段代码,发现只要把00407A28处改为jmp 8021x.00407AEB,即可跳过code4.
00407A25 > 83F8 04 CMP EAX,4
00407A28 . 0F85 BD000000 JNZ 8021x.00407AEB (jmp 8021x.00407AEB)
00407A2E . 8B8E 7C010000 MOV ECX,DWORD PTR DS:[ESI+17C]
00407A34 . 85C9 TEST ECX,ECX
00407A36 . 74 05 JE SHORT 8021x.00407A3D
00407A38 . E8 93E2FFFF CALL 8021x.00405CD0
00407A3D > 6A 04 PUSH 4
00407A3F . 8BCE MOV ECX,ESI
00407A41 . C786 7C010000 >MOV DWORD PTR DS:[ESI+17C],0
00407A4B . E8 70010000 CALL 8021x.00407BC0
00407A50 . 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
00407A54 . 6A 06 PUSH 6
00407A56 . 50 PUSH EAX
00407A57 . E8 A4C5FFFF CALL 8021x.00404000
00407A5C . 8BC8 MOV ECX,EAX
00407A5E . E8 2DC6FFFF CALL 8021x.00404090
00407A63 . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
00407A67 . C74424 20 0300>MOV DWORD PTR SS:[ESP+20],3
00407A6F . E8 6CFC0000 CALL <JMP.&MFC42.#540>
00407A74 . 6A 04 PUSH 4
00407A76 . 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
00407A7A . 68 90224200 PUSH 8021x.00422290 ; ASCII "(Code:%d)"
00407A7F . 51 PUSH ECX
00407A80 . C64424 2C 04 MOV BYTE PTR SS:[ESP+2C],4
00407A85 . E8 C2FC0000 CALL <JMP.&MFC42.#2818>
00407A8A . 83C4 0C ADD ESP,0C
00407A8D . 8D5424 0C LEA EDX,DWORD PTR SS:[ESP+C]
00407A91 . 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
00407A95 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
00407A99 . 52 PUSH EDX
00407A9A . 50 PUSH EAX
00407A9B . 51 PUSH ECX
00407A9C . E8 C9FC0000 CALL <JMP.&MFC42.#922>
00407AA1 . 50 PUSH EAX
00407AA2 . 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
00407AA6 . C64424 24 05 MOV BYTE PTR SS:[ESP+24],5
00407AAB . E8 60FC0000 CALL <JMP.&MFC42.#858>
00407AB0 . 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
00407AB4 . C64424 20 04 MOV BYTE PTR SS:[ESP+20],4
00407AB9 . E8 16FC0000 CALL <JMP.&MFC42.#800>
00407ABE . 8B5424 04 MOV EDX,DWORD PTR SS:[ESP+4]
00407AC2 . 6A 00 PUSH 0
00407AC4 . 6A 00 PUSH 0
00407AC6 . 52 PUSH EDX
00407AC7 . E8 70FD0000 CALL <JMP.&MFC42.#1200>
00407ACC . 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
00407AD0 . C64424 20 03 MOV BYTE PTR SS:[ESP+20],3
00407AD5 . E8 FAFB0000 CALL <JMP.&MFC42.#800>
00407ADA . C74424 20 FFFF>MOV DWORD PTR SS:[ESP+20],-1
00407AE2 . 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4]
00407AE6 > E8 E9FB0000 CALL <JMP.&MFC42.#800>
00407AEB > 8B4C24 18 MOV ECX,DWORD PTR SS:[ESP+18]
00407AEF . 5E POP ESI
同样双网卡限制代码:静态分析这段代码,发现只要把00408724处改为JMP 8021x.004087F3,即可跳过code2.
00408722 |. 85C0 TEST EAX,EAX
00408724 |. 0F84 C9000000 JE 8021x.004087F3 (改为JMP 8021x.004087F3)
0040872A |. 8B8D 7C010000 MOV ECX,DWORD PTR SS:[EBP+17C]
00408730 |. 85C9 TEST ECX,ECX
00408732 |. 74 05 JE SHORT 8021x.00408739
00408734 |. E8 97D5FFFF CALL 8021x.00405CD0
00408739 |> 6A 02 PUSH 2
0040873B |. 8BCD MOV ECX,EBP
0040873D |. C785 7C010000 >MOV DWORD PTR SS:[EBP+17C],0
00408747 |. E8 74F4FFFF CALL 8021x.00407BC0
0040874C |. 8D5424 18 LEA EDX,DWORD PTR SS:[ESP+18]
00408750 |. 6A 06 PUSH 6
00408752 |. 52 PUSH EDX
00408753 |. E8 A8B8FFFF CALL 8021x.00404000
00408758 |. 8BC8 MOV ECX,EAX
0040875A |. E8 31B9FFFF CALL 8021x.00404090
0040875F |. 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
00408763 |. C68424 3C03000>MOV BYTE PTR SS:[ESP+33C],2
0040876B |. E8 70EF0000 CALL <JMP.&MFC42.#540>
00408770 |. 6A 02 PUSH 2
00408772 |. 8D4424 20 LEA EAX,DWORD PTR SS:[ESP+20]
00408776 |. B3 03 MOV BL,3
00408778 |. 68 90224200 PUSH 8021x.00422290 ; ASCII "(Code:%d)"
0040877D |. 50 PUSH EAX
0040877E |. 889C24 4803000>MOV BYTE PTR SS:[ESP+348],BL
00408785 |. E8 C2EF0000 CALL <JMP.&MFC42.#2818>
0040878A |. 83C4 0C ADD ESP,0C
0040878D |. 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
00408791 |. 8D5424 18 LEA EDX,DWORD PTR SS:[ESP+18]
00408795 |. 8D4424 20 LEA EAX,DWORD PTR SS:[ESP+20]
00408799 |. 51 PUSH ECX
0040879A |. 52 PUSH EDX
0040879B |. 50 PUSH EAX
0040879C |. E8 C9EF0000 CALL <JMP.&MFC42.#922>
004087A1 |. 50 PUSH EAX
004087A2 |. 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
004087A6 |. C68424 4003000>MOV BYTE PTR SS:[ESP+340],4
004087AE |. E8 5DEF0000 CALL <JMP.&MFC42.#858>
004087B3 |. 8D4C24 20 LEA ECX,DWORD PTR SS:[ESP+20]
004087B7 |. 889C24 3C03000>MOV BYTE PTR SS:[ESP+33C],BL
004087BE |. E8 11EF0000 CALL <JMP.&MFC42.#800>
004087C3 |. 8B4C24 18 MOV ECX,DWORD PTR SS:[ESP+18]
004087C7 |. 6A 00 PUSH 0
004087C9 |. 6A 00 PUSH 0
004087CB |. 51 PUSH ECX
004087CC |. E8 6BF00000 CALL <JMP.&MFC42.#1200>
004087D1 |. 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
004087D5 |. C68424 3C03000>MOV BYTE PTR SS:[ESP+33C],2
004087DD |. E8 F2EE0000 CALL <JMP.&MFC42.#800>
004087E2 |. 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
004087E6 |. C68424 3C03000>MOV BYTE PTR SS:[ESP+33C],1
004087EE |. E8 E1EE0000 CALL <JMP.&MFC42.#800>
004087F3 |> 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
004087F7 |. C68424 3C03000>MOV BYTE PTR SS:[ESP+33C],0
004087FF |. E8 D0EE0000 CALL <JMP.&MFC42.#800>
这样supplicant2.4正式版的两个限制就解除了,客户端多台机器就可组成局域网,只用一个帐号就能上网了.
2.4正式版与2.31版相比,破解要困难一些,2.31版连"目前系统工作环境与软件运行环境相冲突,软件不能正常
运行!"这样的参考都有,参考具多!!
当然也可以用另外的破解思路,举个例子,软件是用VC编写的,出错为messageboxa函数,bpx messageboxa后就可
以把它拦截,动态跟踪,改变标志寄存器,同样可以找到,异曲同工.
软件在win98,win2000+sp4,winxp,下测试通过!!!!
欢迎大家与我交流。
再次声明:本文仅作学习和研究使用,务作非法之用.
破解程序下载后请于24小时内删除,任何损失,作者不负任何责任!!
版权所有2004 wonyen.net (转载必须有以上字样!)
————————全文完——————————
 分享到:
|