春秋杯2023冬复现

upx2023

首先发现无法直接upx -d的命令脱壳，再仔细看，发现是修改了upx的特征码，将UPX0等改为了upx0导致命令脱壳失败，所以我们首先要在010中将特征码修改回来(UPX的特征码是55 50 58），都修改后就可以直接upx -d脱壳了，然后我们拖进IDA分析:

发现是一个rand—seed的一个形式，还有一个change函数但是代码有点复杂，看不太懂，所以我们动态调试看一下，放一个测试字符串康康：

1	flag{0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ}

得到：

1	f{37BFJNRVZlg02468ACEGIKMOQSUWY}a159DHLPTX

发现change函数大概只是将flag的顺序换了一下，没有修改值，所以关键就来到如何找到seed，然后逆向异或出顺序换了的flag，所以我们直接爆破seed，来找到时间戳：

#include<stdio.h>
#include<stdlib.h>

int main()
{
	int seed, i, key, r;
	for(seed = 1672473600;seed < 1704009600; seed++)
	{
		srand(seed);
		r = 1;
		for (i = 0;i < 33; i++)
		{
				key = rand() % 255;
				switch (i)
				{
					case 0:
						if (key != ('f' ^ 0x09))
						{
							r = 0;
						}
						break;
					case 11:
						if (key != ('l' ^ 0xC6))
						{
							r = 0;
						}
						break;
					case 32:
						if (key != ('a' ^ 0xFA))
						{
							r = 0;
						}
						break;
					case 12:
						if (key != ('g' ^ 0x65))
						{
							r = 0;
						}
						break;
					case 1:
						if (key != ('{' ^ 0x63))
						{
							r = 0;
						}
						break;
					default:
						break;
				}
				if (r == 0)
				{
					break;
				}
		}
		if (r == 1)
		{
			printf("%u\n", seed); // seed = 1682145110
			break;
		}
	}

	int data[] = { 0x09, 0x63, 0xD9, 0xF6, 0x58, 0xDD, 0x3F, 0x4C, 0x0F, 0x0B, 0x98, 0xC6, 0x65, 0x21, 0x41, 0xED, 0xC4, 0x0B, 0x3A, 0x7B, 0xE5, 0x75, 0x5D, 0xA9, 0x31, 0x41, 0xD7, 0x52, 0x6C, 0x0A, 0xFA, 0xFD, 0xFA, 0x84, 0xDB, 0x89, 0xCD, 0x7E, 0x27, 0x85, 0x13, 0x08 };
	srand(seed);

	for (i = 0; i < 42; i++)
	{
		printf("%c", ((rand() % 255) ^ data[i]) & 0xff);
	}

	return 0;
}

爆破出的结果：

1 2	seed = 1682145110 f{52bgb-281lg00ff-46f7-ca009c8e}a381-b7191

那么我们找到了顺序调换后的flag，再在python中用字符串索引得到真正的flag：

example1 = 'flag{0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ}'
example2 = 'f{37BFJNRVZlg02468ACEGIKMOQSUWY}a159DHLPTX'
flag1 = 'f{52bgb-281lg00ff-46f7-ca009c8e}a381-b7191'

for i in example1:
    print(flag1[example2.index(i)],end = "")

flag：