[网鼎杯 2022 青龙组]fakeshell

这个题，我们查壳之后是upx壳。

但是当我们用upxunpack解包的时候我们解不出来。

说明有人动过这个包。

然后我们打开010eider，修改他的魔改

将此处，我们改成UPX我们在解包就可以了。然后我重新使用upxunpack

之后我们成功得到未加密的文件，我们IDA打开

我个人习惯是从后往前看，因为一般都得逆着写代码，所以索性就从后往前看了

然后我们打开关键函数

我们可以看到这段函数是最主要的。但是我们还要认清楚，我当时就吃了这个亏了，这个a1到底代表什么，我们需要仔细看清楚，不要看错了

他在这两个函数里面的含义是不一样的

进入这个函数之后我们发现，就是这个byte_14001D330这个数组来跟我们的加密数据来进行比较，我们直接提取出来

​
    unsigned int enc[21] = {
        0x0000004B, 0x00000048, 0x00000079, 0x00000013, 0x00000045, 0x00000030, 0x0000005C, 0x00000049, 
        0x0000005A, 0x00000079, 0x00000013, 0x00000070, 0x0000006D, 0x00000078, 0x00000013, 0x0000006F, 
        0x00000048, 0x0000005D, 0x00000064, 0x00000064
    };
​
并且写出这一段的解密函数    
    char flag[20]={0,};
    for(int i=0;i<20;i++){
        flag[i]=(enc[i]^0x50)-10;
    }

然后我们返回去看前面的函数

里面又嵌套两个函数，我就不一一截图了，你们自己点进去看

关键函数，我们直接写解密代码就好了

#include<stdio.h>
#include<stdlib.h>
#include<stdint.h>
​
int main ()
{
    unsigned int enc[21] = {
        0x0000004B, 0x00000048, 0x00000079, 0x00000013, 0x00000045, 0x00000030, 0x0000005C, 0x00000049, 
        0x0000005A, 0x00000079, 0x00000013, 0x00000070, 0x0000006D, 0x00000078, 0x00000013, 0x0000006F, 
        0x00000048, 0x0000005D, 0x00000064, 0x00000064
    };
    char flag[20]={0,};
    for(int i=0;i<20;i++){
        flag[i]=(enc[i]^0x50)-10;
        flag[i]=flag[i]^0x66;
        printf("%c",flag[i]);
    }
    
    
    
    
    
    
    
    
    
    
    return 0;
}

然后我们直接就可以得到结果

why_m0dify_pUx_SheLL