re学习（23）BUUCTF 刮开有奖(中间变量的获取)

INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
{
  const char *v4; // esi
  const char *v5; // edi
  int v7[2]; // [esp+8h] [ebp-20030h] BYREF 虽然看名称不连续，但是通过看偏移地址，可知，这些变量在内存中是连续的，以v7为首
  int v8; // [esp+10h] [ebp-20028h]
  int v9; // [esp+14h] [ebp-20024h]
  int v10; // [esp+18h] [ebp-20020h]
  int v11; // [esp+1Ch] [ebp-2001Ch]
  int v12; // [esp+20h] [ebp-20018h]
  int v13; // [esp+24h] [ebp-20014h]
  int v14; // [esp+28h] [ebp-20010h]
  int v15; // [esp+2Ch] [ebp-2000Ch]
  int v16; // [esp+30h] [ebp-20008h]
  CHAR String[65536]; // [esp+34h] [ebp-20004h] BYREF
  char v18[65536]; // [esp+10034h] [ebp-10004h] BYREF

  if ( a2 == 272 )
    return 1;
  if ( a2 != 273 )
    return 0;
  if ( (_WORD)a3 == 1001 )
  {
    memset(String, 0, 0xFFFFu);
    GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);
    if ( strlen(String) == 8 )                  // 输入的flag,可知为8位
    {
      v7[0] = 90;
      v7[1] = 74;
      v8 = 83;
      v9 = 69;
      v10 = 67;
      v11 = 97;
      v12 = 78;
      v13 = 72;
      v14 = 51;
      v15 = 110;
      v16 = 103;
      sub_8210F0((int)v7, 0, 10);               // 在v7原来内存中进行修改,修改为3CEHJNSZagn
      memset(v18, 0, 0xFFFFu);
      v18[0] = String[5];
      v18[2] = String[7];
      v18[1] = String[6];
      v4 = sub_821000((int)v18, strlen(v18));   // 字符串678位
      memset(v18, 0, 0xFFFFu);
      v18[1] = String[3];
      v18[0] = String[2];
      v18[2] = String[4];
      v5 = sub_821000((int)v18, strlen(v18));   // 字符串的345位
      if ( String[0] == v7[0] + 34              // string[0]=chr(ord('3')+34)='U'
        && String[1] == v10                     // string[1]='J'
        && 4 * String[2] - 141 == 3 * v8        // string[2]=chr((3*ord('E')+141)//4)='W',注意这里直接除除不尽，需要向下取整
        && String[3] / 4 == 2 * (v13 / 9)       // string[3]=chr((2*(ord('Z')//9))*4)=‘P’,同样用到了向下取整
        && !strcmp(v4, "ak1w")                  // base64解密后678位:jMp
        && !strcmp(
              v5,
              "V1Ax") )
      {                                         // base64解密后345位:WP1
        MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);// 显示对话框，即成功
      }
    }                                           // 最后string为：UJWP1jMp
    return 0;
  }
  if ( (_WORD)a3 != 1 && (_WORD)a3 != 2 )
    return 0;
  EndDialog(hDlg, (unsigned __int16)a3);
  return 1;
}

上图是主要分析的代码（思路：获取中间变量+倒推）

下图代码用于获得中间变量：（逆向功能：算法分析）

需要修改的地方：
1.在伪代码中，有a1+ 4 * i，a1+4 *result，这样的字符。int占四个字节，所以需要*4.如果是char类型，就不需要.

2.我们知道a1+4*i，也就是a1【i】，a1+4 * result，也就是a1【result】。

将伪代码的寻址方式改为数组寻址，然后将*(_DWORD*) 删掉，因为这是汇编的表示。

所以伪代码变成了C语言代码。

上代码：

#include 
int  sub_8210F0(char* a1, int a2, int a3)//这算不算逆向的一个功能: 内部算法的了解分析
{
  int result; // eax
  int i; // esi
  int v5; // ecx
  int v6; // edx

  result = a3;
  for ( i = a2; i <= a3; a2 = i )
  {
    v5 = i;
    v6 = i[a1];
    if ( a2 < result && i < result )
    {
      do
      {
        if ( v6 > a1[result])
        {
          if ( i >= result )
            break;
          ++i;
          a1[v5] = a1[result];
          if ( i >= result )
            break;
          while ( a1[i]<= v6 )
          {
            if ( ++i >= result )
              goto LABEL_13;
          }
          if ( i >= result )
            break;
          v5 =i;
          a1[result] = a1[i];
        }
        --result;
      }
      while ( i < result );
    }
LABEL_13:
    a1[result] = v6;
    sub_8210F0(a1, a2, i - 1);
    result = a3;
    ++i;
  }
  return result;
}

int main()
{
	char str[]="ZJSECaNH3ng"; 
	sub_8210F0(str,0,10);
	printf("%s",str);
	return 0;
} 

 flag{UJWP1jMp}