2301_81210668的博客

然后回头看sub_402219函数，这个函数是，先对v4进行了一次处理，然后应该是将v4在sub_40196E这个函数进行了两次加密，分别传给了a1和a1+16，最后和byte这个密文进行对比。跟进看看sub_401CF9函数干了什么，一开始看见v5到v8这个样子还以为是rc4的加密，看了后面的内容发现肯定不是rc4了，看了一下wp，说是md5加密的特征数。密钥就是给aes加密生成sbox盒的东西，也就是两次对表md5加密后的内容，这里尝试动调解出unk_603170。用插件可以识别出aes的特征码，

个人感觉这题还是爆破比较合理，而且只要爆破对了，就能和下面的密文一一对应，速度还是很快的。而且哪位有错，还会告诉你哪一位错了。在ida目录的cfg目录下面找到hexrays.cfg，找打这个MAX_FUNSIZE，改成1024，分析不出来的原因应该是函数太长了，看了汇编代码，里面一大串东西。主函数看起来很简单，然后主要逻辑是下面这个sub_5E8172C0083A函数，本来不叫这个的，动调了之后变了。然后就能看见伪代码了，代码很长，3000多行，然后前面是对输入的flag进行加密，最后和v3密文进行比较。

打开发现主函数好像是说栈指针的数值好像有错，我看他们老的wp好像都得修改栈指针，要不然分析不出来主函数，可能现在ida更新了，我没有修改也能正常分析。比较醒目的是VirtualProtect函数，说明应该存在Smc。这个最后的地方我以为是伪随机，还想动调拿key，然后没做出来。看了别人的wp，纯猜这里是一个异或，根据最后一位是}来推出key值。不愧是逆向，三分靠逆，七分靠猜。不过能猜出来也是本事了。我们直接看到下面的循环对encrypt的地址的值进行了异或修改，所以，我们用脚本修改一下，静态分析一下。

于是乎去看了别人的wp，发现这个sub_40101E函数是md5加密函数，是将String1经过md5加密后和c8837b23ff8aaa8a2dde915473ce0991对比，然后后面还有一个异或加密，而且这个用的是md5加密前的String1的值，所以我们需要先md5解密后再进行一次xor运算，异或的密文在unk_423030里面，md5解密后的是密钥。运行了一下，没有什么东西好像。然后ida分析，发现没有有用的东西，没有和flag有关的地方，然后看看字符串，发现里面有flag{}，定位到地方。

输入的flag内容，根据先序遍历变成了二叉树，然后根据中序遍历得出的数据就是0421421430。根据先序遍历可以构建二叉树，然后遍历中序，得到索引7381940526，得恢复为0123456789这种估计。再看看校验的区域，发现大概是读取unk的数据，感觉像二维数组，进行比较，每一行每一列的数字不能相等。先看一眼主函数，大致的逻辑应该又是二叉树，知道两个序，然后推出另外一个序，感觉2020年前逆向的题目好像很多二叉树。首先看第一个递归函数，大概就是先读根节点然后左节点右节点，是先序遍历。

调了半天，发现并没有什么用，而且也不知道到底如何找到flag。看了一眼wp，说这是二叉树的遍历，想起来了之前楚慧杯的一道逆向题，当时直接用ai跑的。以及b站大学的教学，手推出来了二叉树图。然后自己遍历一遍前序就行了，想起了刚学逆向的时光，什么异或都是手算，不会写脚本。二叉树的脚本我也不会，所以参考上面师傅的脚本就行了，应该。看主函数，看puts的内容，提示和数据结构有关系，动调了一下，跟进了tpye1和tpye2，发现也没看出到底是什么逻辑，貌似是递归函数。这种题目，flag就是tpye3，需要是根左右。