[攻防世界]game 超详细题解(逆向CTF)

于 2024-11-26 11:23:14 发布
阅读量1.8k 收藏 20
点赞数 42
分类专栏: CTF 文章标签: 网络安全 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fox_O1/article/details/144029644
版权

深入浅出,知无不答,言无不尽,力求详尽

老规矩查壳, Die打开看一眼

无壳, windows可以直接启动

启动之后是这样, 这个游戏是这么玩的, 输入对应的序号就会让那个符号对应的灯亮起来, 同时左右两边的符号也会受影响, 我随便输一下看一下情况就大概明白了。

输入2之后符号变化

输入3之后的变化

把上面这些符号全部点亮就可以胜利了。

规则挺简单的, 按规则来很快就可以通关, 以前上课摸鱼还想过这样的游戏。

按顺序输入12345678就可以了, 输一个数字回车一次。

就出来了....

但是我们也不想在比赛的时候偷偷玩游戏吧, 还是牢样子, 打开ida或者od啥的。

IDA 64位 一切默认

这题我们F5之后一直跳转跳转...发现找不到熟悉的main函数啊, 好多代码要分析, 太难了,

我们可以直接ALT+T, 输入main

 

搜索是空白的, 记得点开这两个选项(只开其中一个也可以), 找到后双击跳转

再按F5看下伪c代码, 双击main_0跳转

上面这串sub_45A78E就是在屏幕输出字符的函数, 类似print, 对做题没啥用

我们观察下面的代码结构

制作过小游戏的同学应该知道, 一般游戏主体是要放在一个无限循环里的, 如果这是一个动态游戏还会有tick机制...所以开头29行是一个无限循环条件, 35-39行又是输出函数和捕获输入函数, 下面才是输入判断部分.

v5 是我们输入的值(第38行), 如果v5 > 9, 弹出信息, 继续第二个循环, < 9 则跳出第二个循环继续第一个循环。

44-54行做了边界检测, 具体细节很复杂, 不好详细讲, 和做题关系也不大, 大概能明白它是用来捕获异常的就行。(53行report_rangecheck_failure)

57行开了一个提示符窗口, sub_458054函数里面是每次输入后的分隔符号还有换行的输出.

60-67行是游戏的主体判断, 用了逻辑或来判断有没有达成规则(胜利条件), || 这个操作符的特点是两边的操作数为假才会输出假值, 一个真值则是真, 它后面又 != 1的判断条件, 则是反过来了。

既然这是胜利条件, 那sub_457AB4()这个函数就是胜利后的输出内容了。

(因为这是windows执行程序, 而且胜利条件特别简单, 你也可以直接改条件让游戏直接胜利...

或者od里调用到这个模块然后输出)

双击函数跳转(两次跳转)

int sub_45E940()
{
  int i; // [esp+D0h] [ebp-94h]
  char v2[22]; // [esp+DCh] [ebp-88h] BYREF
  char v3[32]; // [esp+F2h] [ebp-72h] BYREF
  char v4[4]; // [esp+112h] [ebp-52h] BYREF
  char v5[64]; // [esp+120h] [ebp-44h]

  sub_45A7BE("done!!! the flag is ");
  v5[0] = 18;
  v5[1] = 64;
  v5[2] = 98;
  v5[3] = 5;
  v5[4] = 2;
  v5[5] = 4;
  v5[6] = 6;
  v5[7] = 3;
  v5[8] = 6;
  v5[9] = 48;
  v5[10] = 49;
  v5[11] = 65;
  v5[12] = 32;
  v5[13] = 12;
  v5[14] = 48;
  v5[15] = 65;
  v5[16] = 31;
  v5[17] = 78;
  v5[18] = 62;
  v5[19] = 32;
  v5[20] = 49;
  v5[21] = 32;
  v5[22] = 1;
  v5[23] = 57;
  v5[24] = 96;
  v5[25] = 3;
  v5[26] = 21;
  v5[27] = 9;
  v5[28] = 4;
  v5[29] = 62;
  v5[30] = 3;
  v5[31] = 5;
  v5[32] = 4;
  v5[33] = 1;
  v5[34] = 2;
  v5[35] = 3;
  v5[36] = 44;
  v5[37] = 65;
  v5[38] = 78;
  v5[39] = 32;
  v5[40] = 16;
  v5[41] = 97;
  v5[42] = 54;
  v5[43] = 16;
  v5[44] = 44;
  v5[45] = 52;
  v5[46] = 32;
  v5[47] = 64;
  v5[48] = 89;
  v5[49] = 45;
  v5[50] = 32;
  v5[51] = 65;
  v5[52] = 15;
  v5[53] = 34;
  v5[54] = 18;
  v5[55] = 16;
  v5[56] = 0;
  qmemcpy(v2, "{ ", 2);
  v2[2] = 18;
  v2[3] = 98;
  v2[4] = 119;
  v2[5] = 108;
  v2[6] = 65;
  v2[7] = 41;
  v2[8] = 124;
  v2[9] = 80;
  v2[10] = 125;
  v2[11] = 38;
  v2[12] = 124;
  v2[13] = 111;
  v2[14] = 74;
  v2[15] = 49;
  v2[16] = 83;
  v2[17] = 108;
  v2[18] = 94;
  v2[19] = 108;
  v2[20] = 84;
  v2[21] = 6;
  qmemcpy(v3, "`S,yhn _uec{", 12);
  v3[12] = 127;
  v3[13] = 119;
  v3[14] = 96;
  v3[15] = 48;
  v3[16] = 107;
  v3[17] = 71;
  v3[18] = 92;
  v3[19] = 29;
  v3[20] = 81;
  v3[21] = 107;
  v3[22] = 90;
  v3[23] = 85;
  v3[24] = 64;
  v3[25] = 12;
  v3[26] = 43;
  v3[27] = 76;
  v3[28] = 86;
  v3[29] = 13;
  v3[30] = 114;
  v3[31] = 1;
  strcpy(v4, "u~");
  for ( i = 0; i < 56; ++i )
  {
    v2[i] ^= v5[i];
    v2[i] ^= 0x13u;
  }
  return sub_45A7BE("%s\n");
}

前面这些不说了, 就是初始化和赋值操作, 值得注意的是中间有qmemcpy函数还有末尾的strcpy函数, 举个例子就明白这个函数大概是干嘛的了, a是一个32位的数组, b是需要填入a的数据, c是填入多少位, qmemcpy(a, b, c)  就是往a里填入c位 "b"的意思, strcpy函数则是直接添加在数组中, 前者参数是数组, 后者参数是需要填入的数据。

接下来最后一块, 109行

对两个数组的元素进行了异或操作, 从我这边ida看到的代码来看v2根本没有56位, 是会索引溢出范围的, 从上面v3不知所云的操作, 应该是v3、v2、v4结合起来了(也是我研究了一下flag结构才发现的, 有坑啊!)

写一下python脚本

# [攻防世界]game 解题脚本

# IDA 多变量提取脚本
def multivariable_extraction(m_string):
    i = 0
    result = []
    while i != len(m_string):
        try:
            # 读取后缀 ; 符号检测赋值
            if m_string[i] == ";":
                if m_string[i-3].isdigit():
                    result.append(int(m_string[i-3:i]))
                elif m_string[i-2].isdigit():
                    result.append(int(m_string[i-2:i]))
                else:
                    result.append(int(m_string[i-1]))
            else:
                i += 1
                continue
            i += 1
        except IndexError:
            print("索引异常")
            continue
    return result

# ascii码转字符
def ascii_conversion(m_list):
    result = []
    for digit in m_list:
        result.append(chr(digit))

    result = ''.join(result)
    return result

# 字符转换ASCII码
def char_conversion_ascii(string):
    result = []
    for str1 in string:
        result.append(ord(str1))
    
    return result




# 数据输入
v5 = """ v5[0] = 18;
    v5[1] = 64;
    v5[2] = 98;
    v5[3] = 5;
    v5[4] = 2;
    v5[5] = 4;
    v5[6] = 6;
    v5[7] = 3;
    v5[8] = 6;
    v5[9] = 48;
    v5[10] = 49;
    v5[11] = 65;
    v5[12] = 32;
    v5[13] = 12;
    v5[14] = 48;
    v5[15] = 65;
    v5[16] = 31;
    v5[17] = 78;
    v5[18] = 62;
    v5[19] = 32;
    v5[20] = 49;
    v5[21] = 32;
    v5[22] = 1;
    v5[23] = 57;
    v5[24] = 96;
    v5[25] = 3;
    v5[26] = 21;
    v5[27] = 9;
    v5[28] = 4;
    v5[29] = 62;
    v5[30] = 3;
    v5[31] = 5;
    v5[32] = 4;
    v5[33] = 1;
    v5[34] = 2;
    v5[35] = 3;
    v5[36] = 44;
    v5[37] = 65;
    v5[38] = 78;
    v5[39] = 32;
    v5[40] = 16;
    v5[41] = 97;
    v5[42] = 54;
    v5[43] = 16;
    v5[44] = 44;
    v5[45] = 52;
    v5[46] = 32;
    v5[47] = 64;
    v5[48] = 89;
    v5[49] = 45;
    v5[50] = 32;
    v5[51] = 65;
    v5[52] = 15;
    v5[53] = 34;
    v5[54] = 18;
    v5[55] = 16;
    v5[56] = 0; """
v2 = """ v2[2] = 18;
    v2[3] = 98;
    v2[4] = 119;
    v2[5] = 108;
    v2[6] = 65;
    v2[7] = 41;
    v2[8] = 124;
    v2[9] = 80;
    v2[10] = 125;
    v2[11] = 38;
    v2[12] = 124;
    v2[13] = 111;
    v2[14] = 74;
    v2[15] = 49;
    v2[16] = 83;
    v2[17] = 108;
    v2[18] = 94;
    v2[19] = 108;
    v2[20] = 84;
    v2[21] = 6; """
v3 = """ v3[12] = 127;
    v3[13] = 119;
    v3[14] = 96;
    v3[15] = 48;
    v3[16] = 107;
    v3[17] = 71;
    v3[18] = 92;
    v3[19] = 29;
    v3[20] = 81;
    v3[21] = 107;
    v3[22] = 90;
    v3[23] = 85;
    v3[24] = 64;
    v3[25] = 12;
    v3[26] = 43;
    v3[27] = 76;
    v3[28] = 86;
    v3[29] = 13;
    v3[30] = 114;
    v3[31] = 1; """
    
v2_ = "{ "
v3_ = "`S,yhn _uec{"
v4_ = "u~"
_space_ = [0] # 字符型列表结束符

# 数字列表转换
v2_list = char_conversion_ascii(v2_)
v3_list = char_conversion_ascii(v3_)
v4_list = char_conversion_ascii(v4_)

# 从变量中提取数字
v2_list += multivariable_extraction(v2)
v3_list += multivariable_extraction(v3)
v5_list = multivariable_extraction(v5)

# 数据处理
v2v3_list = v2_list + v3_list + v4_list + _space_
for i in range(0, 56):
    v2v3_list[i] ^= v5_list[i]
    v2v3_list[i] ^= 0x13

# 整数答案列表转换成字符答案
print(ascii_conversion(v2v3_list))

flag:

zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}

攻防世界】REVERSE新手练习区 - game
m0_60377292的博客
08-07 957
game - wp
[wp][入门]攻防世界-game
小飒的博客
06-10 1854
攻防世界 game找到主程序 让用户输入v21,v21需要满足一些条件 猜测是让游戏循环8次(for 语句) 产生8个结果 运行完后,当8个结果满足一定条件 就运行sub_457AB4(); 所以我们要看sub_457AB4();里是什么内容。双击,找到下面内容 v3以下的和v60以上异或在和0x13异或 编写python代码解题 方法二 在网上看到的 shift+s 后 alt+t(我个人尝试ctrl+f也可以) 找到done!!!the flag is 双击 右键 交叉引用列表(或者ctrl+x)
攻防世界--game
weixin_30876945的博客
08-17 1302
题目链接:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5074 1.准备 打开测试用例 首先分析程序 得到是win32程序 2.第一种方法 2.1 分析代码 使用IDA打开,找到main函数,F5得到C代码 得知主要是...
攻防世界-game
qq_70851535的博客
10-24 643
逆向题目分析
攻防世界——game 游戏
Nike_name的博客
12-23 775
游戏题目改代码
[攻防世界]game
逆向萌新的博客
06-03 1179
拖入软件中发现是一个32位没有壳的软件,打开运行一下,发现是个游戏类型的。 拖入ida中查看逻辑,直接搜索函数main,进去之后一直往下翻直到代码为止。 知道了sub_457AB4()函数里面,是flag存放的位置,告诉了我们八个全为1的时候,就可以出现flag,咱们再一次打开游戏,要是想要flag,里面的But you should pay attention to one thing,if you change the state of the Nth lamp,the state of (N-1)
攻防世界Reverse解题(一)
weixin_46703850的博客
03-13 3103
攻防世界Reverse解题(一)
攻防世界 reverse 新手题wp (第二周)
清霂的博客
12-01 1367
目录re1思路game思路Hello, CTF思路 re1 题目描述:菜鸡开始学习逆向工程,首先是最简单的题目 思路 拖入ida,转伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax __int128 v5; // [esp+0h] [ebp-44h] __int64 v6; // [esp+10h] [ebp-34h] int v7; // [esp+18h] [ebp-
ctf-Crypto-LFSR(线性反馈移位寄存器)
最新发布
m0_64426173的博客
11-15 1153
在打比赛的过程中,已经遇到了好多lfsr(线性反馈移位寄存器)相关的题目,一直没有进行深入的学习,现在用一道经典的题目进行学习。废话不多说,直接上题目和解题过程。
攻防世界game
starmultiple的博客
01-21 583
32位iida打开 shiftF12 发现flag点击F5 分析 a=[18,64,98,5,2,4,6,3,6,48,49,65,32,12,48,65,31,78,62, 32,49,32,1,57,96,3,21,9,4,62,3,5,4,1,2,3,44,65,78,32, 16,97,54,16,44,52,32,64,89,45,32,65,15,34,18,16,0] b=[123,32,18,98,119,108,65,41,124,80,125,38,124,111,74, 49,83.
攻防世界 Reverse——game
XYZCG的博客
09-17 1045
打开附件是一个exe可执行程序这里的游戏说明大概的意思就是,打开这八条线路的开关使八盏灯同时亮起来。
攻防世界game做法(简单做法)
2303_80796023的博客
03-31 523
就是这些东西了,一个非常简单的异或语句,这边v5数组已知,v2数组其实也是已知,这边先补充一个知识点,当连续给不同或者同一变量定义或者赋值时,这些被连续定义的变量可以看作是一个数组,因为连续被定义,数据存储的地址是连续的,而数组存储不同的数,也就是依靠连续的地址,所以可以看作数组,举个例子吧,连续定义a=1,b=2,c=3,相当于是定义一个数组num[0]=1,num[1]=2,num[2]=3,就是这样,此处的v2数组就是将在他之后的数组按顺序串起来就行,最后上代码。
攻防世界-wp-REVERSE-新手区-7-game
Scorpio_m7
04-14 585
跳转到main_0函数,分析代码,当所有灯点亮时,进入sub_13F7AB4(),跳转到该函数。用IDA静态分析:在函数中搜索main,进入main函数,按F5进行反汇编。打开发现是一个游戏,直接输入12345678就能直接拿到flag。分析代码,发现是创建了两个长度为57的字符串,并进行运算。把sub_13F7AB4()函数翻译成python脚本就是。菜鸡最近迷上了玩游戏,但它总是赢不了,你可以帮他获胜吗。main函数反编译,分析代码逻辑,构造脚本。这是关键的输出flag的函数。
攻防世界-Reverse-Game
wuh2333的博客
06-24 611
攻防世界game逆向
攻防世界 逆向入门 game
weixin_50597969的博客
01-24 416
bugku 游戏通关题目:游戏通关正经解题环节总结 以下是本篇文章正文内容 题目:游戏通关 下载附件并打开 题目意思是输入不同的数字(1-8)对应的会有图形变亮(由黑变白) 所以只要输入数字使所有图型全部变白即可 这里我是直接硬玩(输入五六次就出来了)爆出了flag(hahahahaha) flag is zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t} 呃 接下来是正经解题环节 正经解题环节 淦 我还不会!!!! 总结 提示:这里
攻防世界-逆向game
Tracey_YAN的博客
09-03 741
攻防世界-逆向game 当所有灯都亮起来的时候,flag就出现了 查找字符串,找到flag,CTRL+X直接定位到这句话所在的函数。 v2取地址,地址号+2.然后再取这个地址的值 上图可以转换成下图 0x13u=0x13,u是无符号数,0x是十六进制,0x13=19 得到伪C代码 在python中整个列表,用于一会进行循环计算 把C语言翻译成python语言,python 因为输出的都是数字,需要再输出的时候转换成char,因为flagf都是字符串,然后这个程序运行的结果我们就得到了flag字
攻防世界_Reverse_game
fallingskies
05-11 4354
打开发现是一个游戏,挺简单的,直接输入12345678就能直接拿到flag 使用IDA静态分析 在函数中搜索main,进入main函数,按F5进行反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax main_0(); return result; } 跳转到m...
攻防世界 game wp
__ys的博客
11-14 210
game 运行exe 翻译一下发现是需要让/都变成-(0变为1) 此时我熟练的输入12345678结果得到了flag 2.丢进IDA 发现sub_457AB4()可能与flag有关,跟进一下发现 发现flag可能与异或运算有关(异或的逆运算也是异或)写一个cpp #include<bits/stdc++.h> using namespace std; char v59[]={18,64,98,5,2,4,6,3,6,48,49,65,32,12,48,65,31,78,62,32,49
攻防世界 dice_game
qq_25044201的博客
01-19 369
ida分析一下 感觉这个题目似曾相识,翻了翻博客是猜数那道题 这是当时那道题的脚本,但是如果一个个输50个数那么就太麻烦了。所以我们引用新的知识,我们知道现在都是动态链接,好多函数在链接前已经存在,所以在python我们调用动态链接库函数的功能的库是ctypes库,当然 下载的附件有个libs库我们可以调用ctypes的函数cdll的LoadLibrary函数 和猜数几乎一样 所以具体的我就不多说了 ...
攻防世界fileinclude题解
10-10
攻防世界的fileinclude题目是一个常见的Web安全题目,主要考察文件包含漏洞。文件包含漏洞是指在Web应用中,未对用户输入进行充分的过滤或验证,导致攻击者可以通过构造恶意的文件路径或文件名,来读取或执行本不应被访问的文件。 针对这个题目,我们需要先观察题目给出的代码,然后尝试找到漏洞点并进行利用。 在解题过程中,一般会根据提示,访问给出的URL,并观察URL中的参数。如果URL中包含了可控制的参数,并且该参数未经过充分的过滤或验证,那么有可能存在文件包含漏洞。我们可以尝试通过修改参数的值来构造恶意的文件路径或文件名。 常见的利用方法有: 1. 直接读取敏感文件:通过构造合适的文件路径,可以读取服务器上的敏感文件,如配置文件、源代码等。 2. 通过包含远程文件执行恶意代码:如果服务器上允许包含远程文件,并且攻击者能够控制远程文件的内容,那么可以通过包含远程文件来执行恶意代码。 具体的题解过程会根据题目提供的具体情况而有所不同,你可以提供具体的文件包含题目,我可以为你提供更详细的解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值