2024鹏城杯minire

0x00 前言

VM题，有点小难度

0x01 解

法一

查壳，发现是UPX

可以判断是改了的

手工脱了，参考这个：https://blog.csdn.net/m0_49936845/article/details/119976496

注意脱的时候注意一下idc脚本的导出路径，要不然导不出来

直接进start，发现有个判断

根据分析可以知道，会先对调用参数进行一个判断，参数长度为4，且内容是root则进入sub_403193，否则走else

else里面就是接受一个输入，然后判断其hash值是否为

3c2d515f04e71ba58cb1247461981337

sub_4010C0为获取长度的函数，v26为输入的内容，根据sub_4018D5

可以知道这是MD5，直接爆破可以知道原来的输入内容为

fksdde7039

然而这并不是flag

真正的flag藏在了sub_403193里面

这里最重要的是这个sub_402A9B，它的参数看上去就像opcode

而sub_402A9B这个函数无法解析，因为太大了

没办法，手动跟了

直接跑，然后暂停，一步步回到这个函数，发现是这个地方调用了read的syscall

通过跟踪可以发现是不断读取一个字符然后放入了[rax+rdx]里面，下个硬件断点在第一个，一直运行直到断下

之后可以在开始调用输入的时候通过查看数组大小判断输入的内容长度

这边通过判断发现长为37

之后通过观察，发现调用这个数组的地方集中于这一块

在运算的地方都下个断点（可以通过观察发现进行运算的地方前面都调用了sub_405C10，然后会接一个运算的指令），然后一个个来看

需要注意的是lea这条指令是能当add用的

之后会发现不停来回调用上面这些东西，在各个断点写个脚本输出断点位置内容

import idc
value = idc.get_reg_value('RAX') - 0x46
print(f"x[{value}]^={idc.get_reg_value('EDX')}")

注意unk_5175A0是分配空间的首地址，而cs:dword_768090是偏移，分配空间的首地址加偏移才是存储输入内容的数组首地址，所以在输出的时候要减去偏移（0x46）

根据不同地方的断点改变中间的符号就好

最后可以得到如下的运算过程

x[0]^=4
x[0]+=12
x[0]^=11
x[0]^=12
x[0]-=2
x[0]-=1
x[0]^=6
x[1]+=10
x[1]^=12
x[1]+=5
x[2]+=4
x[2]+=14
x[3]-=10
x[3]-=3
x[3]+=13
x[3]+=7
x[3]-=9
x[3]^=14
x[4]-=7
x[4]-=15
x[5]^=14
x[6]^=2
x[6]+=0
x[6]^=2
x[6]+=9
x[6]+=3
x[6]-=2
x[6]+=13
x[6]^=1
x[7]+=8
x[7]+=12
x[7]^=15
x[7]+=5
x[7]^=3
x[7]+=8
x[8]+=8
x[8]+=2
x[8]^=8
x[8]-=12
x[8]+=11
x[8]-=3
x[8]^=9
x[8]-=2
x[8]+=8
x[9]-=0
x[9]-=2
x[10]+=11
x[11]-=2
x[11]^=7
x[11]-=1
x[11]-=5
x[12]+=1
x[12]-=13
x[12]+=12
x[13]-=2
x[13]-=14
x[13]-=9
x[13]^=14
x[13]+=1
x[13]+=10
x[13]-=7
x[13]-=1
x[13]+=9
x[14]-=0
x[14]-=11
x[14]^=4
x[14]+=9
x[15]^=14
x[15]+=5
x[15]-=12
x[15]-=4
x[15]-=4
x[15]+=15
x[15]+=14
x[15]-=4
x[15]^=5
x[15]-=12
x[16]^=11
x[16]+=13
x[16]-=11
x[16]^=4
x[16]+=10
x[16]-=8
x[17]+=10
x[17]+=15
x[17]+=2
x[17]-=6
x[17]-=9
x[17]-=9
x[17]+=3
x[17]+=5
x[17]-=15
x[17]+=2
x[18]-=14
x[18]-=13
x[19]^=7
x[19]-=15
x[19]-=1
x[19]^=3
x[19]-=3
x[19]+=11
x[19]+=10
x[19]+=10
x[20]+=8
x[20]-=6
x[20]-=7
x[20]^=4
x[20]-=1
x[20]^=3
x[21]+=5
x[21]+=2
x[21]+=10
x[21]^=0
x[22]-=7
x[22]+=0
x[22]+=8
x[22]+=1
x[22]+=1
x[22]^=10
x[22]-=14
x[22]^=15
x[22]-=7
x[22]^=8
x[23]^=4
x[23]-=9
x[23]+=15
x[24]+=12
x[24]^=2
x[24]^=4
x[24]-=7
x[24]+=1
x[25]+=0
x[25]+=9
x[25]^=2
x[25]+=14
x[25]^=11
x[25]^=1
x[25]+=2
x[25]+=9
x[25]-=9
x[26]+=6
x[27]^=10
x[27]-=4
x[27]-=13
x[27]^=8
x[27]-=14
x[27]+=14
x[27]^=14
x[28]+=1
x[28]^=4
x[28]-=9
x[28]+=9
x[28]-=5
x[28]+=13
x[28]+=1
x[28]^=10
x[29]^=9
x[30]+=14
x[30]+=12
x[30]^=0
x[30]-=0
x[30]-=15
x[30]^=11
x[30]-=11
x[30]+=8
x[31]+=11
x[31]+=6
x[31]+=1
x[31]^=12
x[31]-=6
x[31]-=14
x[32]-=11
x[32]^=13
x[32]+=5
x[32]^=2
x[32]-=2
x[33]+=13
x[33]^=6
x[33]+=15
x[33]^=0
x[33]-=3
x[33]-=12
x[33]-=15
x[33]^=11
x[34]+=9
x[34]+=10
x[34]+=10
x[34]^=10
x[35]-=13
x[36]^=7
x[36]-=0
x[37]-=11
x[37]+=14
x[37]-=8
x[37]+=4
x[37]+=3
x[37]+=13
x[37]^=3
x[37]^=10

得到运算过程不够，还要知道密文

在xor的最后跳转下断点，一路运行到加密流程全部执行完毕

之后给加密结果下硬断，发现断在这

通过硬断位置和下面的movzx指令可以知道，rax+rdx就是对加密结果的索引（0x5175A0+0x46=0x5175E6）

由此可以推断是在这里获取数据的，取消硬件断点，在此处下个软件断点，执行后发现此处变为0x96

根据上面的计算方法，可以得到0x96的偏移（0x5175A0+0x96=0x517636）为一个数组

结合已知的flag头加密结果，可以推断这个应该是密文，dump下来写脚本

from z3 import *
from copy import deepcopy
enc = [0x60, 0x7F, 0x73, 0x6B, 0x65, 0x4F, 0x80, 0x5D, 0x64, 0x50, 0x64, 0x2C, 0x37, 0x33, 0x5C, 0x74, 0x45, 0x65, 0x55, 0x60, 0x4A, 0x84, 0x6E, 0x50, 0x7F, 0x58, 0x5F, 0x27, 0x7F, 0x5A, 0x8C, 0x6B, 0x62, 0x60, 0x59, 0x59, 0x45, 0x85]
x = [BitVec((f'x{i}'), 8) for i in range(38)]
s = Solver()
y=deepcopy(x)
x[0]^=4
x[0]+=12
x[0]^=11
x[0]^=12
x[0]-=2
x[0]-=1
x[0]^=6
x[1]+=10
x[1]^=12
x[1]+=5
x[2]+=4
x[2]+=14
x[3]-=10
x[3]-=3
x[3]+=13
x[3]+=7
x[3]-=9
x[3]^=14
x[4]-=7
x[4]-=15
x[5]^=14
x[6]^=2
x[6]+=0
x[6]^=2
x[6]+=9
x[6]+=3
x[6]-=2
x[6]+=13
x[6]^=1
x[7]+=8
x[7]+=12
x[7]^=15
x[7]+=5
x[7]^=3
x[7]+=8
x[8]+=8
x[8]+=2
x[8]^=8
x[8]-=12
x[8]+=11
x[8]-=3
x[8]^=9
x[8]-=2
x[8]+=8
x[9]-=0
x[9]-=2
x[10]+=11
x[11]-=2
x[11]^=7
x[11]-=1
x[11]-=5
x[12]+=1
x[12]-=13
x[12]+=12
x[13]-=2
x[13]-=14
x[13]-=9
x[13]^=14
x[13]+=1
x[13]+=10
x[13]-=7
x[13]-=1
x[13]+=9
x[14]-=0
x[14]-=11
x[14]^=4
x[14]+=9
x[15]^=14
x[15]+=5
x[15]-=12
x[15]-=4
x[15]-=4
x[15]+=15
x[15]+=14
x[15]-=4
x[15]^=5
x[15]-=12
x[16]^=11
x[16]+=13
x[16]-=11
x[16]^=4
x[16]+=10
x[16]-=8
x[17]+=10
x[17]+=15
x[17]+=2
x[17]-=6
x[17]-=9
x[17]-=9
x[17]+=3
x[17]+=5
x[17]-=15
x[17]+=2
x[18]-=14
x[18]-=13
x[19]^=7
x[19]-=15
x[19]-=1
x[19]^=3
x[19]-=3
x[19]+=11
x[19]+=10
x[19]+=10
x[20]+=8
x[20]-=6
x[20]-=7
x[20]^=4
x[20]-=1
x[20]^=3
x[21]+=5
x[21]+=2
x[21]+=10
x[21]^=0
x[22]-=7
x[22]+=0
x[22]+=8
x[22]+=1
x[22]+=1
x[22]^=10
x[22]-=14
x[22]^=15
x[22]-=7
x[22]^=8
x[23]^=4
x[23]-=9
x[23]+=15
x[24]+=12
x[24]^=2
x[24]^=4
x[24]-=7
x[24]+=1
x[25]+=0
x[25]+=9
x[25]^=2
x[25]+=14
x[25]^=11
x[25]^=1
x[25]+=2
x[25]+=9
x[25]-=9
x[26]+=6
x[27]^=10
x[27]-=4
x[27]-=13
x[27]^=8
x[27]-=14
x[27]+=14
x[27]^=14
x[28]+=1
x[28]^=4
x[28]-=9
x[28]+=9
x[28]-=5
x[28]+=13
x[28]+=1
x[28]^=10
x[29]^=9
x[30]+=14
x[30]+=12
x[30]^=0
x[30]-=0
x[30]-=15
x[30]^=11
x[30]-=11
x[30]+=8
x[31]+=11
x[31]+=6
x[31]+=1
x[31]^=12
x[31]-=6
x[31]-=14
x[32]-=11
x[32]^=13
x[32]+=5
x[32]^=2
x[32]-=2
x[33]+=13
x[33]^=6
x[33]+=15
x[33]^=0
x[33]-=3
x[33]-=12
x[33]-=15
x[33]^=11
x[34]+=9
x[34]+=10
x[34]+=10
x[34]^=10
x[35]-=13
x[36]^=7
x[36]-=0
x[37]-=11
x[37]+=14
x[37]-=8
x[37]+=4
x[37]+=3
x[37]+=13
x[37]^=3
x[37]^=10

for i in range(len(enc)):
    s.add(enc[i]==x[i])

if s.check() == sat:
    result = s.model()
    for i in y:
        print(chr(result[i].as_long()),end='')
    print()
# flag{AjJIRY77BbuNgpPSswNwCY8gSyawo6fB}

法二

对了，这玩意还能用frida爆破

brute.py：

import subprocess
import frida
import time
 
visible_chars = [
    ' ', '!', '"', '#', '$', '%', '&', "'", '(', ')', '*', '+', ',', '-', '.', '/',
    '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
    ':', ';', '<', '=', '>', '?', '@',
    'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z',
    '[', '\\', ']', '^', '_', '`',
    'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z',
    '{', '|', '}', '~'
]
 
# 定义全局变量
number = 0
flaglen = 32
filename = "./minire_dump"  # 在 Linux 中，确保此文件是可执行文件
flag = bytearray(b'flag{' + b'!'*32 + b'}')  # 初始 flag 值
jscode = open("hook.js", "rb").read().decode()
new_number = 0
result = 0
 
def test(F):
    def on_message(message, data):
        global result
        if message['type'] == 'send':
            result = message['payload']
        else:
            print(message)
 
    # 写入输入数据
    process = subprocess.Popen([filename,"root"], stdin=subprocess.PIPE,
                               stdout=subprocess.PIPE,
                               stderr=subprocess.PIPE,
                               universal_newlines=True)
    time.sleep(0.1)
    session = frida.attach("minire_dump")
    script = session.create_script(jscode)
    script.on('message', on_message)
    script.load()
 
    process.stdin.write(F.decode())
     
    # 读取输出并终止进程
    output, error = process.communicate()
    process.terminate()
    session.detach()
 
    return result
max_number = 0
right_chr = 0
flag = bytearray(b'flag{' + b'!' * 32 + b'}')
for i in range(flaglen):
    for j in visible_chars:
        flag[5+i] = ord(j)
        number = test(flag)
        if number >= max_number:
            max_number = number
            right_chr = ord(j)
    flag[5+i] = right_chr
    max_number = 0
    right_chr = 0      
    print(flag)
    print(number)

hook.js：

var number = 0
function main()
{
    var base =  Module.findBaseAddress("minire_dump")
 
    if(base){
        Interceptor.attach(base.add(0x2B57), {
     
                onEnter: function(args) {
                    number += 1
                }
    
            });
        Interceptor.attach(base.add(0x60F0), {
            onEnter: function(args) {
                send(number)
                Thread.sleep(0.001)
            }
        });
    }
}
setImmediate(main);

但是速度真的很慢（爆了近2h），而且有出错的风险（flag中的7变成了z）