title: BUU-RE-刮开有奖-WinMain
tags:

  • CTF
  • RE
  • BUU
    abbrlink: ‘10638684’
    date: 2020-12-25 11:26:07

WinMain函数参数介绍

int WINAPI WinMain(

HINSTANCE hInstance, // handle to current instance

HINSTANCE hPrevInstance, // handle to previous instance

LPSTR lpCmdLine, // command line

int nCmdShow // show state

);

WinMain函数接收4个参数,这些参数都是在系统调用WinMain函数时,传递给应用程序的。

第一个参数hInstance表示该程序当前运行的实例的句柄,这是一个数值。当程序在Windows下运行时,它唯一标识运行中的实例(注意,只有运行中的程序实例,才有实例句柄)。一个应用程序可以运行多个实例,每运行一个实例,系统都会给该实例分配一个句柄值,并通过hInstance参数传递给WinMain函数。

第二个参数hPrevInstance表示当前实例的前一个实例的句柄。通过查看MSDN我们可以知道,在Win32环境下,这个参数总是NULL,即在Win32环境下,这个参数不再起作用。

第三个参数lpCmdLine是一个以空终止的字符串,指定传递给应用程序的命令行参数。例如:在D盘下有一个sunxin.txt文件,当我们用鼠标双击这个文件时将启动记事本程序(notepad.exe),此时系统会将D:\sunxin.txt作为命令行参数传递给记事本程序的WinMain函数,记事本程序在得到这个文件的全路径名后,就在窗口中显示该文件的内容。要在VC++开发环境中向应用程序传递参数,可以单击菜单【Project】→【Settings】,选择“Debug”选项卡,在“Program arguments”编辑框中输入你想传递给应用程序的参数。

第四个参数nCmdShow指定程序的窗口应该如何显示,例如最大化、最小化、隐藏等。这个参数的值由该程序的调用者所指定,应用程序通常不需要去理会这个参数的值。

解题

首先对WinMain进行分析BUU-RE-刮开有奖-WinMain - 图1

查看DialogFunc参数

  1. BOOL __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
  2. {
  3.   const char *v4; // esi
  4.   const char *v5; // edi
  5.   int v7[11]; // [esp+8h] [ebp-20030h]
  6.   CHAR String[9]; // [esp+34h] [ebp-20004h]
  7.   CHAR v9[3]; // [esp+10034h] [ebp-10004h]
  9.   if ( a2 == 272 )
  10.     return 1;
  11.   if ( a2 != 273 )
  12.     return 0;                                   // 
  13.                                                 // a2 = 273
  14.   if ( a3 == 1001 )                             // a3 = 1001
  15.   {
  16.     memset(String, 0, 0xFFFFu);                 // 给string清零
  17.     GetDlgItemTextA(hDlg, 1000, String, 0xFFFF);// 获取对话框文本,然后赋值给string
  18.     if ( strlen(String) == 8 )                  // string的长度要为8
  19.     {
  20.       v7[0] = 90;
  21.       v7[1] = 74;
  22.       v7[2] = 83;
  23.       v7[3] = 69;
  24.       v7[4] = 67;
  25.       v7[5] = 97;
  26.       v7[6] = 78;
  27.       v7[7] = 72;
  28.       v7[8] = 51;
  29.       v7[9] = 110;
  30.       v7[10] = 103;
  31.       sub_4010F0(v7, 0, 10);                    // 对v7进行处理,处理后的数据
  32.                                                 // 51  67  69  72  74  78  83  90  97  103  110
  33.       memset(v9, 0, 0xFFFFu);                   // 给v16清零
  34.       v9[0] = String[5];
  35.       v9[2] = String[7];
  36.       v9[1] = String[6];
  37.       v4 = sub_401000(v9, strlen(v9));          // 对v9进行base64加密然后传递给v4
  38.       memset(v9, 0, 0xFFFFu);                   // 给v9清零
  39.       v9[1] = String[3];
  40.       v9[0] = String[2];
  41.       v9[2] = String[4];
  42.       v5 = sub_401000(v9, strlen(v9));          // 对v9进行base64加密然后传递给v4
  43.       if ( String[0] == v7[0] + 34              // string[0] = 'U'
  44.         && String[1] == v7[4]                   // string[1] = 'J'
  45.         && 4 * String[2] - 141 == 3 * v7[2]     // string[2] = 'W'
  46.         && String[3] / 4 == 2 * (v7[7] / 9)     // string[3] = 'P'
  47.         && !strcmp(v4, "ak1w")                  // v4 = "ak1w"
  48.         && !strcmp(
  49.               v5,                               // v5 = "V1Ax"
  50.               "V1Ax") )
  51.       {
  52.         MessageBoxA(hDlg, "U g3t 1T!", "@_@", 0);
  53.       }
  54.     }
  55.     return 0;
  56.   }
  57.   if ( a3 != 1 && a3 != 2 )
  58.     return 0;
  59.   EndDialog(hDlg, a3);
  60.   return 1;
  61. }

其中sub_4010F0函数参数已知,可以直接求出其处理结果

转换为C语言脚本

  1. #include<bits/stdc++.h>
  3. using namespace std;
  5. // a1 为  v7对应地址
  6. // a2 = 0
  7. // a3 = 10
  8. int __cdecl sub_4010F0(int *a1, int a2, int a3)
  9. {
  10.   int result; // eax
  11.   int i; // esi
  12.   int v5; // ecx
  13.   int v6; // edx
  15.   result = a3;                                  // result = 10
  16.   for ( i = a2; i <= a3; a2 = i )               // i=0;i<=10;a2=i
  17.   {
  18.     v5 = i;
  19.     v6 = a1[i];                                 // 遍历a1对应地址的元素
  20.     if ( a2 < result && i < result )            // a2<10  并且 i<10
  21.     {
  22.       do
  23.       {
  24.         if ( v6 > a1[result] )                  // 如果a1[i] > a1[result]
  25.         {
  26.           if ( i >= result )
  27.             break;                              // 如果i>=result则退出循环
  28.           ++i;                                  // 给i+1
  29.           a1[v5] = a1[result];                  // 让a1[1] = a1[result]
  30.           if ( i >= result )
  31.             break;                              // 如果i>=result则退出循环           重复
  32.           while ( a1[i] <= v6 )                 // 当a1[i] <= v6           此循环一定成立
  33.           {
  34.             if ( ++i >= result )                // 如果i = result - 1
  35.               goto LABEL_13;
  36.           }
  37.           if ( i >= result )
  38.             break;
  39.           v5 = i;
  40.           a1[result] = a1[i];
  41.         }
  42.         --result;                               // result减一
  43.       }
  44.       while ( i < result );
  45.     }
  46. LABEL_13:
  47.     a1[result] = v6;                            // 让a1[result] = 之前的a1[i]
  48.     sub_4010F0(a1, a2, i - 1);                  // 进行递归……
  49.     result = a3;
  50.     ++i;
  51.   }
  52.   return result;
  53. }
  55. int main()
  56. {
  57.     int v7[11]={90,74,83,69,67,97,78,72,51,110,103};
  58.     sub_4010F0(v7,0,10);
  59.     for(int i=0;i<11;i++)
  60.     {
  61.         printf("%c ", v7[i]);
  62.     }
  63.     return 0;
  64. }

得到如下结果

  1. 3 C E H J N S Z a g n
  1. // a1 为  v7对应地址
  2. // a2 = 0
  3. // a3 = 10
  4. int __cdecl sub_4010F0(int *a1, int a2, int a3)
  5. {
  6.   int result; // eax
  7.   int i; // esi
  8.   int v5; // ecx
  9.   int v6; // edx
  11.   result = a3;                                  // result = 10
  12.   for ( i = a2; i <= a3; a2 = i )               // i=0;i<=10;a2=i
  13.   {
  14.     v5 = i;
  15.     v6 = a1[i];                                 // 遍历a1对应地址的元素
  16.     if ( a2 < result && i < result )            // a2<10  并且 i<10
  17.     {
  18.       do
  19.       {
  20.         if ( v6 > a1[result] )                  // 如果a1[i] > a1[result]
  21.         {
  22.           if ( i >= result )
  23.             break;                              // 如果i>=result则退出循环
  24.           ++i;                                  // 给i+1
  25.           a1[v5] = a1[result];                  // 让a1[1] = a1[result]
  26.           if ( i >= result )
  27.             break;                              // 如果i>=result则退出循环           重复
  28.           while ( a1[i] <= v6 )                 // 当a1[i] <= v6           此循环一定成立
  29.           {
  30.             if ( ++i >= result )                // 如果i = result - 1
  31.               goto LABEL_13;
  32.           }
  33.           if ( i >= result )
  34.             break;
  35.           v5 = i;
  36.           a1[result] = a1[i];
  37.         }
  38.         --result;                               // result减一
  39.       }
  40.       while ( i < result );
  41.     }
  42. LABEL_13:
  43.     a1[result] = v6;                            // 让a1[result] = 之前的a1[i]
  44.     sub_4010F0(a1, a2, i - 1);                  // 进行递归……
  45.     result = a3;
  46.     ++i;
  47.   }
  48.   return result;
  49. }

对两个比较的字符串分别进行base64解密(byte内有明显的base64加密提示)

开头两个字符分别对应的是’3’+34后的字’U’,和对应栈内v7[4]=’J’

得到

  1. UJWP1jMp