首先下载文件打开
![](https://img-blog.csdnimg.cn/img_convert/fe78caef9442c0d7b9aaca898e851799.png)
接下来按照惯例拖入exe
![](https://img-blog.csdnimg.cn/img_convert/886f1540bc4a604437842468b0d363ad.png)
使用ida打开
![](https://img-blog.csdnimg.cn/img_convert/39e0e9955a2c839ceb5e01b8036200aa.png)
按f5反编译
![](https://img-blog.csdnimg.cn/img_convert/73d45cbbff9613b310e30e182f84a58a.png)
找到DialogFunc函数跟进
![](https://img-blog.csdnimg.cn/img_convert/d775c3ce4f76d9706b28456e78201452.png)
由strlen(String) == 8 得flag有八位,下面出现一个 sub_4010F0(v7, 0, 10);对v7进行处理,跟进看一下,
![](https://img-blog.csdnimg.cn/img_convert/866036b9197bea32502ec0a514642abf.png)
出现以下界面对v7进行处理,转换成语言看一下处理出来的v7是什么结果,
#include<stdio.h>
int sub_4010F0(int *a1, int a2, int a3);
int main()
{
int v7[11]={90,74,83,69,67,97,78,72,51,110,103};
sub_4010F0(v7 ,0 ,10);
for(int i=0;i<11;i++){
printf("%d ",v7[i]);
}
return 0;
}
int sub_4010F0(int *a1, int a2, int a3)
{
int result; // eax
int i; // esi
int v5; // ecx
int v6; // edx
result = a3;
for ( i = a2; i <= a3; a2 = i )
{
v5 = i;
v6 = a1[i];
if ( a2 < result && i < result )
{
do
{
if ( v6 > a1[result] )
{
if ( i >= result )
break;
++i;
a1[v5] =a1[result];
if ( i >= result )
break;
while ( a1[i] <= v6 )
{
if ( ++i >= result )
goto LABEL_13;
}
if ( i >= result )
break;
v5 = i;
a1[result] = a1[i];
}
--result;
}
while ( i < result );
}
LABEL_13:
a1[result] = v6;
sub_4010F0(a1, a2, i - 1);
result = a3;
++i;
}
return result;
}
运行结果为
![](https://img-blog.csdnimg.cn/img_convert/24df8ce60f33a2a5953b375fdcac1427.png)
接着回到Dialogfunc函数分析,
![](https://img-blog.csdnimg.cn/img_convert/680f64bffd881b5650654513a9abe835.png)
由
String[0] == v7[0] + 34可以得出flag第一位,v7[0]为51+34,字符则为‘U’,
&& String[1] == v10可以得出flag第二位,v10为74,字符则为‘J’;
接下来发现有两个字符串"ak1w","V1Ax";
双击跟进看一下
![](https://img-blog.csdnimg.cn/img_convert/938c530adf5961b08084af734e7ba603.png)
发现BCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=,所以猜测
"ak1w","V1Ax"是由base64加密,接下来借助工具
![](https://img-blog.csdnimg.cn/img_convert/e988848c60228cde03a440cc7812f9c5.png)
![](https://img-blog.csdnimg.cn/img_convert/b6566919ffb04f752b98c11fa7cbce15.png)
接下来接着分析if语句,
if ( String[0] == v7[0] + 34
&& String[1] == v10
&& 4 * String[2] - 141 == 3 * v8
&& String[3] / 4 == 2 * (v13 / 9)
&& !strcmp(v4, "ak1w")
&& !strcmp(v5, "V1Ax") )
由,
&& 4 * String[2] - 141 == 3 * v8,处理后的v8为69,得出flag第三位为87,字符为W
,&& String[3] / 4 == 2 * (v13 / 9),处理后v13为80,字符为P;
所以flag为flag{UJWP1jMp}.