BugKu-Reverse-游戏过关

最新推荐文章于 2023-01-13 15:17:32 发布
最新推荐文章于 2023-01-13 15:17:32 发布
阅读量885 收藏 4
点赞数
分类专栏: Reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sanctuary1307/article/details/113090929
版权

BugKu-Reverse-游戏过关

在这里插入图片描述

打开exe文件,是一个文字游戏,使所有行都变化(亮灯)就算通关

在这里插入图片描述

其实从1到8输入一遍就能通关得到flag啦

方法一 计算flag

用IDA打开,在流程图中找到主函数,F5反编译获取C伪代码

在这里插入图片描述

在伪代码最底端能看到判断是否通关的函数 sub_458054() ,猜测其后的 sub_457AB4 为flag输出函数

在这里插入图片描述

双击进入该函数,又发现内含 sub_45E940() 函数

在这里插入图片描述

进入函数,发现该函数即为生成flag的函数

伪代码内容如下

int sub_45E940()
{
  signed int i; // [esp+D0h] [ebp-94h]
  char v2; // [esp+DCh] [ebp-88h]
  char v3; // [esp+DDh] [ebp-87h]
  char v4; // [esp+DEh] [ebp-86h]
  char v5; // [esp+DFh] [ebp-85h]
  char v6; // [esp+E0h] [ebp-84h]
  char v7; // [esp+E1h] [ebp-83h]
  char v8; // [esp+E2h] [ebp-82h]
  char v9; // [esp+E3h] [ebp-81h]
  char v10; // [esp+E4h] [ebp-80h]
  char v11; // [esp+E5h] [ebp-7Fh]
  char v12; // [esp+E6h] [ebp-7Eh]
  char v13; // [esp+E7h] [ebp-7Dh]
  char v14; // [esp+E8h] [ebp-7Ch]
  char v15; // [esp+E9h] [ebp-7Bh]
  char v16; // [esp+EAh] [ebp-7Ah]
  char v17; // [esp+EBh] [ebp-79h]
  char v18; // [esp+ECh] [ebp-78h]
  char v19; // [esp+EDh] [ebp-77h]
  char v20; // [esp+EEh] [ebp-76h]
  char v21; // [esp+EFh] [ebp-75h]
  char v22; // [esp+F0h] [ebp-74h]
  char v23; // [esp+F1h] [ebp-73h]
  char v24; // [esp+F2h] [ebp-72h]
  char v25; // [esp+F3h] [ebp-71h]
  char v26; // [esp+F4h] [ebp-70h]
  char v27; // [esp+F5h] [ebp-6Fh]
  char v28; // [esp+F6h] [ebp-6Eh]
  char v29; // [esp+F7h] [ebp-6Dh]
  char v30; // [esp+F8h] [ebp-6Ch]
  char v31; // [esp+F9h] [ebp-6Bh]
  char v32; // [esp+FAh] [ebp-6Ah]
  char v33; // [esp+FBh] [ebp-69h]
  char v34; // [esp+FCh] [ebp-68h]
  char v35; // [esp+FDh] [ebp-67h]
  char v36; // [esp+FEh] [ebp-66h]
  char v37; // [esp+FFh] [ebp-65h]
  char v38; // [esp+100h] [ebp-64h]
  char v39; // [esp+101h] [ebp-63h]
  char v40; // [esp+102h] [ebp-62h]
  char v41; // [esp+103h] [ebp-61h]
  char v42; // [esp+104h] [ebp-60h]
  char v43; // [esp+105h] [ebp-5Fh]
  char v44; // [esp+106h] [ebp-5Eh]
  char v45; // [esp+107h] [ebp-5Dh]
  char v46; // [esp+108h] [ebp-5Ch]
  char v47; // [esp+109h] [ebp-5Bh]
  char v48; // [esp+10Ah] [ebp-5Ah]
  char v49; // [esp+10Bh] [ebp-59h]
  char v50; // [esp+10Ch] [ebp-58h]
  char v51; // [esp+10Dh] [ebp-57h]
  char v52; // [esp+10Eh] [ebp-56h]
  char v53; // [esp+10Fh] [ebp-55h]
  char v54; // [esp+110h] [ebp-54h]
  char v55; // [esp+111h] [ebp-53h]
  char v56; // [esp+112h] [ebp-52h]
  char v57; // [esp+113h] [ebp-51h]
  char v58; // [esp+114h] [ebp-50h]
  char v59; // [esp+120h] [ebp-44h]
  char v60; // [esp+121h] [ebp-43h]
  char v61; // [esp+122h] [ebp-42h]
  char v62; // [esp+123h] [ebp-41h]
  char v63; // [esp+124h] [ebp-40h]
  char v64; // [esp+125h] [ebp-3Fh]
  char v65; // [esp+126h] [ebp-3Eh]
  char v66; // [esp+127h] [ebp-3Dh]
  char v67; // [esp+128h] [ebp-3Ch]
  char v68; // [esp+129h] [ebp-3Bh]
  char v69; // [esp+12Ah] [ebp-3Ah]
  char v70; // [esp+12Bh] [ebp-39h]
  char v71; // [esp+12Ch] [ebp-38h]
  char v72; // [esp+12Dh] [ebp-37h]
  char v73; // [esp+12Eh] [ebp-36h]
  char v74; // [esp+12Fh] [ebp-35h]
  char v75; // [esp+130h] [ebp-34h]
  char v76; // [esp+131h] [ebp-33h]
  char v77; // [esp+132h] [ebp-32h]
  char v78; // [esp+133h] [ebp-31h]
  char v79; // [esp+134h] [ebp-30h]
  char v80; // [esp+135h] [ebp-2Fh]
  char v81; // [esp+136h] [ebp-2Eh]
  char v82; // [esp+137h] [ebp-2Dh]
  char v83; // [esp+138h] [ebp-2Ch]
  char v84; // [esp+139h] [ebp-2Bh]
  char v85; // [esp+13Ah] [ebp-2Ah]
  char v86; // [esp+13Bh] [ebp-29h]
  char v87; // [esp+13Ch] [ebp-28h]
  char v88; // [esp+13Dh] [ebp-27h]
  char v89; // [esp+13Eh] [ebp-26h]
  char v90; // [esp+13Fh] [ebp-25h]
  char v91; // [esp+140h] [ebp-24h]
  char v92; // [esp+141h] [ebp-23h]
  char v93; // [esp+142h] [ebp-22h]
  char v94; // [esp+143h] [ebp-21h]
  char v95; // [esp+144h] [ebp-20h]
  char v96; // [esp+145h] [ebp-1Fh]
  char v97; // [esp+146h] [ebp-1Eh]
  char v98; // [esp+147h] [ebp-1Dh]
  char v99; // [esp+148h] [ebp-1Ch]
  char v100; // [esp+149h] [ebp-1Bh]
  char v101; // [esp+14Ah] [ebp-1Ah]
  char v102; // [esp+14Bh] [ebp-19h]
  char v103; // [esp+14Ch] [ebp-18h]
  char v104; // [esp+14Dh] [ebp-17h]
  char v105; // [esp+14Eh] [ebp-16h]
  char v106; // [esp+14Fh] [ebp-15h]
  char v107; // [esp+150h] [ebp-14h]
  char v108; // [esp+151h] [ebp-13h]
  char v109; // [esp+152h] [ebp-12h]
  char v110; // [esp+153h] [ebp-11h]
  char v111; // [esp+154h] [ebp-10h]
  char v112; // [esp+155h] [ebp-Fh]
  char v113; // [esp+156h] [ebp-Eh]
  char v114; // [esp+157h] [ebp-Dh]
  char v115; // [esp+158h] [ebp-Ch]

  sub_45A7BE("done!!! the flag is ");
  v59 = 18;
  v60 = 64;
  v61 = 98;
  v62 = 5;
  v63 = 2;
  v64 = 4;
  v65 = 6;
  v66 = 3;
  v67 = 6;
  v68 = 48;
  v69 = 49;
  v70 = 65;
  v71 = 32;
  v72 = 12;
  v73 = 48;
  v74 = 65;
  v75 = 31;
  v76 = 78;
  v77 = 62;
  v78 = 32;
  v79 = 49;
  v80 = 32;
  v81 = 1;
  v82 = 57;
  v83 = 96;
  v84 = 3;
  v85 = 21;
  v86 = 9;
  v87 = 4;
  v88 = 62;
  v89 = 3;
  v90 = 5;
  v91 = 4;
  v92 = 1;
  v93 = 2;
  v94 = 3;
  v95 = 44;
  v96 = 65;
  v97 = 78;
  v98 = 32;
  v99 = 16;
  v100 = 97;
  v101 = 54;
  v102 = 16;
  v103 = 44;
  v104 = 52;
  v105 = 32;
  v106 = 64;
  v107 = 89;
  v108 = 45;
  v109 = 32;
  v110 = 65;
  v111 = 15;
  v112 = 34;
  v113 = 18;
  v114 = 16;
  v115 = 0;
  v2 = 123;
  v3 = 32;
  v4 = 18;
  v5 = 98;
  v6 = 119;
  v7 = 108;
  v8 = 65;
  v9 = 41;
  v10 = 124;
  v11 = 80;
  v12 = 125;
  v13 = 38;
  v14 = 124;
  v15 = 111;
  v16 = 74;
  v17 = 49;
  v18 = 83;
  v19 = 108;
  v20 = 94;
  v21 = 108;
  v22 = 84;
  v23 = 6;
  v24 = 96;
  v25 = 83;
  v26 = 44;
  v27 = 121;
  v28 = 104;
  v29 = 110;
  v30 = 32;
  v31 = 95;
  v32 = 117;
  v33 = 101;
  v34 = 99;
  v35 = 123;
  v36 = 127;
  v37 = 119;
  v38 = 96;
  v39 = 48;
  v40 = 107;
  v41 = 71;
  v42 = 92;
  v43 = 29;
  v44 = 81;
  v45 = 107;
  v46 = 90;
  v47 = 85;
  v48 = 64;
  v49 = 12;
  v50 = 43;
  v51 = 76;
  v52 = 86;
  v53 = 13;
  v54 = 114;
  v55 = 1;
  v56 = 117;
  v57 = 126;
  v58 = 0;
  for ( i = 0; i < 56; ++i )                    // flag逻辑
  {
    *(&v2 + i) ^= *(&v59 + i);
    *(&v2 + i) ^= 0x13u;
  }
  return sub_45A7BE("%s\n");
}

flag生成逻辑为:将v2 ~ v58各字符分别与v59 ~ v115进行异或,再与0x13u(十进制19)进行异或,所得的v2~58字符即为flag

由此编写python脚本:

a = [18,64,98,5,2,4,6,3,6,48,49,65,32,12,48,65,31,78,62,32,49,32,
    1,57,96,3,21,9,4,62,3,5,4,1,2,3,44,65,78,32,16,97,54,16,44,
    52,32,64,89,45,32,65,15,34,18,16,0]
b = [123,32,18,98,119,108,65,41,124,80,125,38,124,111,74,49,
    83,108,94,108,84,6,96,83,44,121,104,110,32,95,117,101,99,
    123,127,119,96,48,107,71,92,29,81,107,90,85,64,12,43,76,86,
    13,114,1,117,126,0]
flag = ''
for i in range(56):
    b[i] ^= a[i]
    b[i] ^= 19
    flag += chr(b[i])
    
print(flag)

运行得到flag:zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}

方法二 动态调试

用OllyDBG打开

右键 >> 中文搜索引擎 >> 智能搜索,一眼找到flag相关字符串"done!!! the flag is"

在这里插入图片描述

双击字符串找到对应的汇编指令,能推断出这是一个输出flag的函数,向上找到这个函数的入口地址为0099E940,因此只要让程序跳转到这里就能输出flag。

在这里插入图片描述

根据搜索到的字符串确定到输出flag函数的位置0099E940,点击可以看到显示“跳转来自 007A7AB4”,右键转到该地址。

在这里插入图片描述

又看到在007A7AB4位置显示“本地调用来自 007AF66C”,右键转到这个地址。

在这里插入图片描述

可以看到,在007AF66C地址的call指令之上有八个jnz指令,对应的是程序中八盏灯的明暗判断。

在每个jnz指令处都设置断点。按F9运行程序,程序需输入1-8任意一数字,程序会运行到第一个jnz处的断点暂停。输入1的结果如下图:

在这里插入图片描述

这时看程序运行到时,对应的ZF标志寄存器值为多少,若为0则右键“置1”,然后运行。接下来的七个断点也是如此。

在这里插入图片描述

八个jnz处的断点位置z寄存器的值都为1的话,函数接着就会跳转到输出flag的函数。后面没有设置断点,直接继续运行就能得到flag。

在这里插入图片描述

参考:https://blog.csdn.net/Onlyone_1314/article/details/89414568

Weird0_
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-Reverse游戏过关多解法
am_03的博客
08-28 1526
解题流程 下载程序 运行: 翻译为: 玩游戏 n是灯的序列号,m是灯的状态 如果第n个灯的m是1,它就亮,如果不是,它就灭 起初所有的灯都关上了 现在您可以输入n来更改其状态 但是你应该注意一件事,如果你改变Nth的状态p、 (N-1)th和(N+1)th的状态也改变 所有灯亮起时,flag将出现 现在,输入n 输入n,n(1-8) 就是输入一个1到8之间的数,例如1:就会改变周围的三个数的状态,令8、1、2三个数变亮,再输入一个2:也会改变2周围三个数的状态,令1、2熄灭,3亮起。多次输入后,最后8个数
最详细bugku杂项小白解法(1~24已完结)
qq_42906381的博客
03-30 3237
bugku杂项!安排本文持续更新!1签到题2这是一张单纯的图片3隐写4telnet5眼见非实6啊哒复杂方法简单方法7又是一张图片,还单纯吗?8猜9宽带信息泄露10隐写211多种解决方法12闪的好快 本文持续更新! 这是我第一次使用 Markdown编辑器 。我将用他来写出自己的第一篇CSDN博客! 1签到题 只需简简单单的关注公众号就能拿到flag 白给白给 2这是一张单纯的图片 右键查看属性无果...
BugKu逆向之04-游戏过关
ACGeny的博客
08-12 503
BugKu逆向之04-游戏过关-小白初体验一、文件描述二、解题思路 BugKu原程序 吾爱破解原程序 一、文件描述 正儿八经的exe文件,,可执行,如下图 911KB 32位 这个游戏程序的大致意思是,,有8个灯一起围成一个圈,,它们有亮和不亮两种状态,,按了某一个灯比如n,,它左右两边的灯的状态就会变。。游戏通过就是你按了数次后这8个都得亮,,然后你才能拿到flag、、、 比如灯亮与不亮用1和0表示,,一开始全都是暗的,用0 0 0 0 0 0 0 0表示,如果我按了2,,就变成1 1 1 0 0
bugku-逆向-4、游戏过关(4种简单的方法介绍)
热门推荐
Onlyone_1314的博客
04-20 1万+
题目是个consoleapplication4.exe,运行一下: 是一个游戏: n是灯的序列号,m是灯的状态 如果m (n) = 1,它是开着的,如果不是,它是关着的 起初所有的灯都关着 现在你可以输入n来改变它的状态 但是你要注意一件事,如果你改变N灯的状态,(N-1)th和(N+1)th的状态也会改变 当所有的灯都亮着的时候,flag就会出现 现在,输入n。 就是输入一个1到8之间的数,例...
bugku:游戏过关
weixin_60553183的博客
01-19 3933
先运行下程序发现是点灯小游戏 我随便试了一下,发现12345678就可以。 但是要真正去解,逻辑在这里,就是把两个数组异或 zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
simple-reverse-proxy
06-10
例子 var SimpleReverseProxy = require('simple-reverse-proxy');new SimpleReverseProxy(['http://localhost:10001','http://localhost:10002','http://localhost:10003'], {agent: false}).listen(10000);[10001,...
perl-reverse-shell
06-03
perl-reverse-shell
fasthttp-reverse-proxy:基于fasthttp的反向http websocket代理
05-10
特征 代理客户端支持的pool 。... proxy "github.com/yeqown/fasthttp-reverse-proxy/v2" ) var ( proxyServer = proxy . NewReverseProxy ( "localhost:8080" ) // use with balancer // weights = map[string]p
php-reverse-shell
07-24
php-reverse-shell
bugku笔记刷题目的整理
04-12
自己刷bug库题库的一些笔记整理,所有题应该都有吧基本上
bugku 游戏过关
爱党人士
06-30 1952
常规破解思路,就不多说了,不会可以去看看‘逆向工程核心原理’ 思路1: 直接通关游戏,也不难。 2: 直接跳转函数地址到输出flag的函数。 3: 读懂flag生成函数, 自己写脚本翻译出来。 更详细的看大佬博客: https://blog.csdn.net/calmegm/article/details/82844643 ...
BUGKU逆向 游戏过关
CASSHERN1Tsui的博客
03-29 453
BUGKU逆向 游戏过关 第三种做法(菜鸡我查找了20多篇博客做法都是那两种所以自称第三种做法)。 进入正题: 1.打开文件 获得信息要求输入1-8输出flag 2.按照要求输入1-8给真的flag。 3.由此分析代码中含跳转,话不多说 拖进OD。找到。 3-1: 3-2右键找到点击搜索引擎中的智能搜索. 首先找到窗口中的 “done!!! the flag is ” 并记下它的位置 之...
bugku的做个游戏(08067CTF) writeup
qq_30167299的博客
05-12 5422
下载题目给的文件:heiheihei.jar发现是java的jar文件,直接运行:在控制台执行命令:java -jar heiheihei.jar注:需要java运行环境,如果没有,先搭建java的环境。题目说需要60s,额,有技术的话,玩60s应该是可以的,但本人没成功过60s。然而,这游戏不知是bug还是彩蛋,可以躲在绿帽发现不了的地方,就是游戏的右边,一直往右边走,就会进入边界外面,绿帽过不...
ctfbugku——计算器
weixin_40980428的博客
03-22 3854
看到此界面先打开链接,打开后如下图所示这难道是简单的输入运算结果吗?我们输入答案95却发现只能输入一位数;然后我们打开源代码看看是哪出了问题原来是限制了字符串输入长度(maxlength="1"),现在我们将它改为2,然后返回刚才的验证页面输入答案95,点击验证。这时flag就弹出来了,是不是很简单呢,可是小白现在只学会了这个...
bugku-reverse-入门逆向 Easy_vb re 游戏过关 逆向入门
m0_57954651的博客
01-13 3391
flag生成逻辑为:将v2 ~ v58各字符分别与v59 ~ v115进行异或 再与0x13u(十进制19)进行异或 所得的v2~58字符即为flag。打开 发现要把8个都点亮 每次输入会把输入的数本身和他上一个下一个都改变状态,当所有都变亮,则出现flag。双击查看字符串内存地址 变量位于只读数据区(rdata)比如输入1后 和输入2后的对比 大于8就会报错。下载文件 解压后 拖入IDA中。同样方法 解压后 拖入IDA。选中这两行字符 转译。ALT+T查找flag。
bugku 逆向之consoleapplication4(游戏过关
forbidd3n,keep going
09-25 6936
一顿分析 对于一个逆向小白来说,在这题上着实花了点时间,特记录下~ 初看这题时,感觉就是数据题,经过一顿操作,发现1-8依次输一边,答案就出来了,反正每盏灯只能操作奇数次。 但是这样的方式做一道“逆向”题,着实没啥成就感,反正刚学习,那就从简单题开始吧。 载入Ollydbg先看看,通过查找参考字符串找到了函数的地址00B7E940 右键查看调用树(或者右键转到,可以看到最下方...
flex-row-reverse
最新发布
01-05
flex-row-reverse是CSS中的一个属性,用于指定flex容器中子元素的排列方向为从右到左。具体示例如下: ```html <style> .flex-container { display: flex; flex-direction: row-reverse; } .flex-item { width: 100px; height: 100px; background-color: red; margin: 10px; } </style> <div class="flex-container"> <div class="flex-item"></div> <div class="flex-item"></div> <div class="flex-item"></div> </div> ``` 上述代码中,我们创建了一个flex容器,并将其flex-direction属性设置为row-reverse,这样子元素会从右到左排列。每个子元素都具有相同的宽度和高度,并且它们之间有一定的间距。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值