DASCTF 2023 & 0X401七月暑期挑战赛——controlflow

1、解题

输入个40位的数，输出wrong flag，但是不在这个main函数里面的print出来的，查找字符串也只看到这一个地方有wrong，在return出接着动态调试，发现是按照最前面的push 进去的值来执行的

应该是在retn的时候弹出栈的时候正好弹出之前压入的函数地址，然后执行，先执行1220，然后11A0,1100,最后跳到最后的检验flag函数，从最后一个函数开始分析，v3这里是

这个CD43A8是输入加密的，V3是对比的数组，值是固定的

然后倒数第一个函数是将数组两两交换，需要注意的是，数组长度是40，这里只有20，动态调试发现是从第10个元素开始交换，然后到第30个元素。

然后倒数第二个函数，这个函数F5看不了就看汇编吧，动态走一遍发现干了两件事，一个乘以三，一个减一

倒数第一个，这个函数也做了两件事，第一个就是+i的平方，还有一个是1560里面的，1560里面是异或，这里传入的是V1+40，V1就是前面那个加密数组，加40就是从第十个元素开始

然后加上main里面那个异或，就可以还原出算法了，exp：

num=[0xCCF,0xCC0,0xCFC,0xCD8,0xD23,0xD11,0xDC8,0xD7D,0xDAA,0xE2B,0xE7C,0xE5B,0xEA9,0xECA,0xF5A,0xF5A,0xFB1,0x104D,0x1095,0x117C,0x137D,0x12F3,0x142E,0x141C,0x1233,0x1287,0x11F4,0x1758,0x1461,0x122A,0x1782,0x17F7,0x1911,0x194D,0x1A10,0x1AEB,0x1B90,0x1CE6,0x1DE2,0x1ED2]
#交换相邻的元素
for i in range(10, 30, 2):
    num[i+1],num[i]= num[i],num[i+1]
# hex_array = [hex(i) for i in num]
# print(hex_array)
for i in range(40):
    num[i] = num[i] //3
    num[i]+=i

#第一步

for i in range(20):
    index = 10 + i   # python的索引从0开始
    num[index] ^= i * (i + 1)

hex_array = [hex(i) for i in num]
print(hex_array)
# #有问题 对应1560
for i in range(40):
    # num[i] > 1;
    # num[i] ^= i*(i+1)
    num[i]-=i*i

#sub_1560
hex_array = [hex(i) for i in num]
print(hex_array)
flag=''
for i in range(40):
    num[i] ^=1025
    flag+=chr(num[i])
print(num)
print(flag)
#DASCTF{TWpnemRuSTRkVzVsWVhOMmJqZzNOREoy}