每天一道ctf,能多不能少
题目链接
下载好以后双击点开
发现是这么个玩意儿,但我们却没法对它进行操作,好吧,查一下壳,然后直接用ida打开,查看主函数,这里我发现主函数是这种的
学识短浅的我只能去百度,大概了解了一下:windows支持两种应用程序,一种是一种是基于控制台用户界面的应用程序(Console User Interface,简称CUI),另一种是基于图形用户界面的程序(Graphic User Interface,简称GUI)。然后main函数和WinMain函数分别是这两种应用程序的主函数(不知道这样理解做没错,原话是这样的:main函数和WinMain 函数是分别做为CUI和GUI的进入点函数被使用的。)废话不多说,继续我们的ctf。
所以我们打开主函数,然后查看反码。
这里面的函数是一个windowsAPI函数,作用是从一个对话框资源中创建一个模态对话框。参数我并不太明白,百度了一下也没百度出个结果,看了其他大佬的wp是这样说的的:
继续往下,查看代码
INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
const char *v4; // esi
const char *v5; // edi
int v7[2]; // [esp+8h] [ebp-20030h] BYREF
int v8; // [esp+10h] [ebp-20028h]
int v9; // [esp+14h] [ebp-20024h]
int v10; // [esp+18h] [ebp-20020h]
int v11; // [esp+1Ch] [ebp-2001Ch]
int v12; // [esp+20h] [ebp-20018h]
int v13; // [esp+24h] [ebp-20014h]
int v14; // [esp+28h] [ebp-20010h]
int v15; // [esp+2Ch] [ebp-2000Ch]
int v16; // [esp+30h] [ebp-20008h]
CHAR String[65536]; // [esp+34h] [ebp-20004h] BYREF
char v18[65536]; // [esp+10034h] [ebp-10004h] BYREF
if ( a2 == 272 )
return 1;
if ( a2 != 273 )
return 0;
if ( (_WORD)a3 == 1001 )
{
memset(String, 0, 0xFFFFu);
GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);
if ( strlen(String) == 8 )
{
v7[0] = 90;
v7[1] = 74;
v8 = 83;
v9 = 69;
v10 = 67;
v11 = 97;
v12 = 78;
v13 = 72;
v14 = 51;
v15 = 110;
v16 = 103;
sub_4010F0(v7, 0, 10);
memset(v18, 0, 0xFFFFu);
v18[0] = String[5];
v18[2] = String[7];
v18[1] = String[6];
v4 = (const char *)sub_401000(v18, strlen(v18));
memset(v18, 0, 0xFFFFu);
v18[1] = String[3];
v18[0] = String[2];
v18[2] = String[4];
v5 = (const char *)sub_401000(v18, strlen(v18));
if ( String[0] == v7[0] + 34
&& String[1] == v10
&& 4 * String[2] - 141 == 3 * v8
&& String[3] / 4 == 2 * (v13 / 9)
&& !strcmp(v4, "ak1w")
&& !strcmp(v5, "V1Ax") )
{
MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
}
}
return 0;
}
if ( (_WORD)a3 != 1 && (_WORD)a3 != 2 )
return 0;
EndDialog(hDlg, (unsigned __int16)a3);
return 1;
}
(总结一下新学的函数:
memset函数:
include <string.h>
void *memset(void *s, int c, unsigned long n);
初始化的万能函数,可以直接操作函数。可以将指针变量s指向的前n个字节的内存单元用一个整数c替换,这里指针是void类型,所以它几乎可以初始化任何数据。
DialogBox函数:
是一个API函数,作用是从一个对话框资源中创建一个模态对话框。
hlnstance:标识一个模块的事例该模块的可执行文件含有对话框模板。
IpTemplate:标识对话框模板。此参数可以是指向一个以NULL结尾的字符串的指针,该字符串指定对话框模板名,或是指定对话框模板的资源标识符中的一个整型值。如果此参数指定了一个资源标识符则它的高位字一定为零,且低位字一定含有标识符。一定用MAKEINTRESOURDE宏指令创建此值。
hWndParent:指定拥有对话框的窗口。
IpDialogFunc:指向对话框过程的指针。有关更详细的关于对话框过程的信息,请参见DialogProc。
GetDlgItemText函数:
该函数获取对话框中与控制有关的文本或标题。
参数:
hDlg:指向含有控制的对话框的句柄。
nlDDlgltem:指定标题或文本将被检索的控制的标识符。
IpString:指向获取标题或文本的缓冲器的指针。
nMaxCount:指定被复制到lpString参数指向的缓冲区的字符串的最大长度。如果字符串的字符最大长度超过范围,则该字符串被截断。
返回值:如果函数调用成功,则返回值表示被复制缓冲区的字符串的长度,不包括以NULL结尾的字符串。如果函数调用失败,则返回值为零。若想获得更多错误信息,请调用GetLastError函数。
备注: GetDlgltemText函数把一个WM_GETTEXT消息发送到控制。)
观察完这段代码后,我们可以得到如下信息:
- 字符串长度可能为8
- 函数 sub_4010F0 与函数 sub_401000 可能改变了字符串,需要跟进去瞅一瞅。
先看一眼 sub_4010F0 函数
okk,接下来先进sub_4010F0看看,如下:
int __cdecl sub_4010F0(int a1, int a2, int a3)
{
int result; // eax
int i; // esi
int v5; // ecx
int v6; // edx
result = a3; // 10
for ( i = a2; i <= a3; a2 = i )
{
v5 = 4 * i;
v6 = *(_DWORD *)(4 * i + a1);
if ( a2 < result && i < result )
{
do
{
if ( v6 > *(_DWORD *)(a1 + 4 * result) )
{
if ( i >= result )
break;
++i;
*(_DWORD *)(v5 + a1) = *(_DWORD *)(a1 + 4 * result);
if ( i >= result )
break;
while ( *(_DWORD *)(a1 + 4 * i) <= v6 )
{
if ( ++i >= result )
goto LABEL_13;
}
if ( i >= result )
break;
v5 = 4 * i;
*(_DWORD *)(a1 + 4 * result) = *(_DWORD *)(4 * i + a1);
}
--result;
}
while ( i < result );
}
LABEL_13:
*(_DWORD *)(a1 + 4 * result) = v6;
sub_4010F0(a1, a2, i - 1);
result = a3;
++i;
}
return result;
}
其实当我做到这里后,基本上就已经做不出来什么了,下面的解题步骤大部分还是参考的大佬的wp,由此可见一个优秀的逆向师傅基本功是一定要打好的,我这糟糕的编程能力还有狭窄的见识,唉,做题的同时也一定要打好基础!!!!!
继续干
我们将这一段代码执行以下
好了,这个函数分析完了,回到dialogfunc函数继续往下看,进入sub_401000 函数里看一看。
开头分组 后面byte_407839这个数组,通过=号可以判断这个是base64加密,继续往下看,前面v7这个数组经过处理后为:3CEHJNSZagn,所以
if ( String == v7 + 34 //String == ‘3’+34 即第一位为’U’
&& v19 == v11 //第二位为’J’
&& 4 * v20 - 141 == 3 * v9 //第三位(‘E’*3+141)/4 即’W’
&& v21 / 4 == 2 * (v14 / 9)//第四位为’P’
&& !strcmp(v4, “ak1w”) //V1Ax解码为WP1
&& !strcmp(v5, “V1Ax”) ) //ak1w解码为jMp
可以拼得flag
flag
flag{UJWP1jMp}
总结:编程能力还得有待提升啊,否则一看到大片代码跪了qaq
122
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
