看见了1300行的f5，忍不住想关掉ida。

但是面对困难不要怕，经过一小会分析，我们恢复了一点细节。

作者在程序中插入了很多的 antidebug 技巧。同时字符串一般都用维吉尼亚进行了加密。

完成程序初始化之后，我们可以看到程序开始了校验逻辑。

将第一步份校验逻辑用python写下，可以发现那个模数n可以在factordb上查询到一个小因子p。

乍一看像是 RSA ，实际上是一个离散对数问题，flag的第一部分是长度为85的十六进制数据。

$ base^{flagpartone} \mod n = C $

那么作者在这里隐藏了离散对数问题吗？根据我们对n的另一个因子q的分析，q-1不为一个光滑数，所以没有办法在多项式时间求解该离散对数问题，也就是说我们知道了C无法求得flagpartone。

继续往下分析。

作者将获得的 C 进行flag的第二部分，flag的85-88字节，必须为ABAB，ABBA的形式的，连接C作为魔改AES的密钥。密文为一段硬编码的 C2 。该AES使用CBC模式，iv是b'ABCDEF0123456789'。

之后解密的内容我们记为 Code1 。也就是“decrypted”。

程序将解密后内容存入一个可读可写可执行的内存区域，最后使用ZwQueueApcThread创建一个
异步程序调用，这里把它当成call就行了。值得注意的是，解密后的内容在拷贝的过程会出现\0截断问题。

仅仅魔改了密钥扩展，该AES为修改密钥扩展的14轮AES。与常见的AES-128不同，这个AES使用256bit(32字节)密钥，加密块却是128bit。在98k成员的有限的知识中应该不存在算法缺点。

如果我们假设这里能顺利运行，我们的问题就变成了需要猜测明文可执行指令，和密文，求出密钥。显然这个场景的是不可解问题。约等于AES的已知明文攻击。在没有实现缺陷的情况下，不可求出密钥。

所以，我们认为，以上两步中我们可以控制输入的flag的第一和第二部分控制AES解密结果，只要确保第一个字节为 0xc3 也就是 ret 指令就能让程序完美运行。平均256次穷举就能获得一个通过上述所有检查的输入。

该步骤最多可产生 16 ^ 85 / 256 种解。

然后程序使用UUID的方式编码shellcode。

经过分析，程序会根据输入的flag条件，在程序main函数中存在正确或者失败的字符串的内存中写入good或者bad。所以我们可以根据第三部分来控制main函数中的输出，我们想覆盖main函数中字符串的位置为220。根据分析我们需要控制 ‘kctf’ + 数据长度单字节 + 数据 为20字节。

并且满足以下约束条件。

A数组代表输入hex中的的高位组成的数组，B数组代表输入hex中的的低位组成的数组。

这里宽松的约束条件也能产生很多组解。

笔者这里给出九组解。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)