[HGAME 2023 week3]patchme

最新推荐文章于 2024-08-09 10:25:03 发布
最新推荐文章于 2024-08-09 10:25:03 发布
阅读量175 收藏
点赞数
分类专栏: C 逆向 CTF 文章标签: c++ python 青少年编程 c语言 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaochonxiang/article/details/133150411
版权
CTF 同时被 3 个专栏收录
53 篇文章 3 订阅
订阅专栏
逆向
43 篇文章 1 订阅
订阅专栏
C
10 篇文章 0 订阅
订阅专栏 
// positive sp value has been detected, the output may be wrong!
void __fastcall __noreturn start(__int64 a1, __int64 a2, void (*a3)(void))
{
  __int64 v3; // rax
  int v4; // esi
  __int64 v5; // [rsp-8h] [rbp-8h] BYREF
  char *retaddr; // [rsp+0h] [rbp+0h] BYREF

  v4 = v5;
  v5 = v3;
  _libc_start_main(main, v4, &retaddr, init, fini, a3, &v5);
  __halt();
}

init会在main前运行

void __fastcall init(unsigned int a1, __int64 a2, __int64 a3)
{
  signed __int64 v4; // rbp
  __int64 i; // rbx

  init_proc();
  v4 = &off_3D10 - off_3D00;
  if ( v4 )
  {
    for ( i = 0LL; i != v4; ++i )
      ((void (__fastcall *)(_QWORD, __int64, __int64))off_3D00[i])(a1, a2, a3);
  }
}

 sub_13E0没什么

sub_188C

int sub_188C()
{
  _BYTE *v0; // rax
  int v2; // [rsp+Ch] [rbp-1B4h] BYREF
  int j; // [rsp+10h] [rbp-1B0h]
  int fd; // [rsp+14h] [rbp-1ACh]
  char *i; // [rsp+18h] [rbp-1A8h]
  char buf[408]; // [rsp+20h] [rbp-1A0h] BYREF
  unsigned __int64 v7; // [rsp+1B8h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  fd = open("/proc/self/status", 0);
  read(fd, buf, 0x190uLL);
  for ( i = buf; *i != 84 || i[1] != 114 || i[2] != 97 || i[3] != 99 || i[4] != 101 || i[5] != 114; ++i )
    ;
  i += 11;
  __isoc99_sscanf(i, &unk_2008, &v2);
  if ( v2 )
    exit(0);
  LODWORD(v0) = mprotect((void *)((unsigned __int64)&loc_14C6 & 0xFFFFFFFFFFFFF000LL), 0x3000uLL, 7);
  for ( j = 0; j <= 960; ++j )
  {
    v0 = (char *)&loc_14C6 + j;//起始地址为0x14C6
    *v0 ^= 0x66u;//异或了0x66
  }
  return (int)v0;
}

SMC函数,上idapython脚本

import idc

addr = 0x14C6   #起始地址
for i in range(961):
    idc.patch_byte(addr+i, idc.get_wide_byte(i+addr) ^ 0x66)

添加方法:

int sub_14C6()
{
  int result; // eax
  __WAIT_STATUS stat_loc; // [rsp+Ch] [rbp-2C4h] BYREF
  int i; // [rsp+14h] [rbp-2BCh]
  __int64 v3; // [rsp+18h] [rbp-2B8h]
  int pipedes[2]; // [rsp+20h] [rbp-2B0h] BYREF
  int v5[2]; // [rsp+28h] [rbp-2A8h] BYREF
  char *argv[4]; // [rsp+30h] [rbp-2A0h] BYREF
  char v7[48]; // [rsp+50h] [rbp-280h] BYREF
  __int64 v8; // [rsp+80h] [rbp-250h]
  __int64 v9[5]; // [rsp+E0h] [rbp-1F0h]
  int v10; // [rsp+108h] [rbp-1C8h]
  __int16 v11; // [rsp+10Ch] [rbp-1C4h]
  char v12; // [rsp+10Eh] [rbp-1C2h]
  __int64 v13[5]; // [rsp+110h] [rbp-1C0h]
  int v14; // [rsp+138h] [rbp-198h]
  __int16 v15; // [rsp+13Ch] [rbp-194h]
  char v16; // [rsp+13Eh] [rbp-192h]
  char buf[80]; // [rsp+140h] [rbp-190h] BYREF
  char s1[8]; // [rsp+190h] [rbp-140h] BYREF
  __int64 v19; // [rsp+198h] [rbp-138h]
  char v20[280]; // [rsp+1A0h] [rbp-130h] BYREF
  int v21; // [rsp+2B8h] [rbp-18h]
  unsigned __int64 v22; // [rsp+2C8h] [rbp-8h]

  v22 = __readfsqword(0x28u);
  result = dword_4028;
  if ( dword_4028 <= 1 )
  {
    pipe(pipedes);
    pipe(v5);
    if ( fork() )
    {
      close(pipedes[0]);
      close(v5[1]);
      HIDWORD(stat_loc.__iptr) = 0;
      while ( SHIDWORD(stat_loc.__iptr) <= 35 )
      {
        buf[2 * HIDWORD(stat_loc.__iptr)] = 37;
        buf[2 * HIDWORD(stat_loc.__iptr)++ + 1] = 110;
      }
      buf[72] = 10;
      buf[73] = 0;
      write(pipedes[1], buf, 0x4AuLL);
      *(_QWORD *)s1 = 0LL;
      v19 = 0LL;
      memset(v20, 0, sizeof(v20));
      v21 = 0;
      read(v5[0], s1, 0x12CuLL);
      wait((__WAIT_STATUS)&stat_loc);
      buf[23] = 0;
      if ( !LODWORD(stat_loc.__uptr) && !strcmp(s1, buf) )
      {
        v9[0] = 0x5416D999808A28FALL;
        v9[1] = 0x588505094953B563LL;
        v9[2] = 0xCE8CF3A0DC669097LL;
        v9[3] = 0x4C5CF3E854F44CBDLL;
        v9[4] = 0xD144E49916678331LL;
        v10 = -631149652;
        v11 = -17456;
        v12 = 85;
        v13[0] = 0x3B4FA2FCEDEB4F92LL;
        v13[1] = 0x7E45A6C3B67EA16LL;
        v13[2] = 0xAFE1ACC8BF12D0E7LL;
        v13[3] = 0x132EC3B7269138CELL;
        v13[4] = 0x8E2197EB7311E643LL;
        v14 = -1370223935;
        v15 = -13899;
        v16 = 40;
        result = putchar(10);
        for ( i = 0; i <= 46; ++i )
          result = putchar((char)(*((_BYTE *)v9 + i) ^ *((_BYTE *)v13 + i)));
      }
      else
      {
        return puts("\nthere are still bugs...");
      }
    }
    else
    {
      fflush(stdin);
      sub_1AB0(*(_QWORD *)qword_4020, v7);
      v3 = v8;
      if ( v8 == 14472 )
      {
        close(pipedes[1]);
        close(v5[0]);
        dup2(pipedes[0], 0);
        dup2(v5[1], 1);
        dup2(v5[1], 2);
        argv[0] = *(char **)qword_4020;
        argv[1] = "1";
        argv[2] = 0LL;
        return execve(*(const char **)qword_4020, argv, 0LL);
      }
      else
      {
        puts("\nyou cannot modify the file size");
        return 0;
      }
    }
  }
  return result;
}

EXP:

x = [0xFA, 0x28, 0x8A, 0x80, 0x99, 0xD9, 0x16, 0x54, 0x63, 0xB5, 0x53, 0x49, 0x09, 0x05, 0x85, 0x58, 0x97, 0x90, 0x66,
     0xDC, 0xA0, 0xF3, 0x8C, 0xCE, 0xBD, 0x4C, 0xF4, 0x54, 0xE8, 0xF3, 0x5C, 0x4C, 0x31, 0x83, 0x67, 0x16, 0x99, 0xE4,
     0x44, 0xD1, 0xAC, 0x6B, 0x61, 0xDA, 0xD0, 0xBB, 0x55]
y = [0x92, 0x4F, 0xEB, 0xED, 0xFC, 0xA2, 0x4F, 0x3B, 0x16, 0xEA, 0x67, 0x3B, 0x6C, 0x5A, 0xE4, 0x07, 0xE7, 0xD0, 0x12,
     0xBF, 0xC8, 0xAC, 0xE1, 0xAF, 0xCE, 0x38, 0x91, 0x26, 0xB7, 0xC3, 0x2E, 0x13, 0x43, 0xE6, 0x11, 0x73, 0xEB, 0x97,
     0x21, 0x8E, 0xC1, 0x0A, 0x54, 0xAE, 0xB5, 0xC9, 0x28]
for i in range(len(x)):
    print(chr(x[i] ^ y[i]), end='')
#hgame{You_4re_a_p@tch_master_0r_reverse_ma5ter}

liqingdi437
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
hgame:Haskell 游戏引擎
05-30
3. **数据结构与算法**:游戏引擎中涉及到大量的数据处理,如碰撞检测、物理模拟、图形渲染等,都需要高效的数据结构和算法支持。Haskell的类型系统可以帮助开发者在编译时检查错误,避免运行时的问题。 4. **并发...
Linux:进程控制
Zyc_cucumber的博客
08-05 198
文章目录前言一、写时拷贝二、进程终止三、进程等待四、进程程序替换1.进程程序替换原理2.进程替换函数:exec函数簇1.execl2.execlp3.execle4.execv5.execvp6.execve7.总结3.进程程序替换应用场景 前言 以下主要对进程的一些场景进行了简单的描述,主要包含写时拷贝,进程终止(退出),进程等待,进程替换。 一、写时拷贝 父进程在调用fork函数创建一个子进程之后,子进程是拷贝了父进程的PCB,因此子进程PCB与父进程的PCB是一样的。而PCB中有一个内存指针,它指
网鼎杯-教育
九层台
09-02 1510
beijing 这里可以发现有flag的影子,但是异或之后就没有影子了,获取flag其实就是把异或的部分去掉。 这里就是算法了。 别人写的比较好,用别人的吧。 #include using namespace std; unsigned int byte_804A020[28] = { 0x61, 0x4C, 0x67, 0x59, 0x69, 0x29, 0x6E, ...
hgame2023 week3 writeup
02-03 1596
hgame2023 week3
HGame 2023 Week3 部分Writeup
vvbbnn00的专栏
01-30 1069
本周在迎新春,走亲戚(真的很忙),外加题目难度增加,笔者比较菜,因此只解出了寥寥几题,不过姑且也算是一些成就,故作此题解,希望能够对各位读者有些帮助。Week3 比赛地址:https://hgame.vidar.club/contest/4。
hgame2023 week2 writeup
02-03 9213
hgame2023 week2
hgame2023 week1 writeup
01-15 4286
hgame2023 WEEK1
hgame2023-week3
247533的博客
02-01 886
过年 打麻将 摆烂。
HGAME 2023 Week1
ph0ebus的博客
01-13 2337
Week1的大多数题对我这样的萌新还是很友好的,虽然但是还是很多没解出来,不过还是学到了蛮多东西,浅浅记录一下。
HGame 2023 Week4 部分Writeup
vvbbnn00的专栏
02-06 3463
第四周的比赛难度较高,同时也出现了不少颇为有趣的题目。可惜笔者比较菜,做出来的题目数量并不是很多,不过里面确实有几道题值得好好讲讲。不多废话了,抓紧端上来吧(喜)。 注:本周CRYPTO类的赛题ECRSA在数学大佬的帮助下解出;本周REVERSE类赛题vm由大佬Latihas提供思路指导,在这里表达感谢!
hgame2023 week4 writeup
02-13 1534
hgame2023 week4 writeup
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
3D模型图片查看器(可查看3D程序模型)
11-03
在游戏领域,尤其是Hgame(成人游戏)中,3D模型的创建和展示是至关重要的,因为它们构成了游戏内的角色和环境。 描述中提到的“Hgame图片模型查看工具”表明这个查看器可能专门针对游戏行业内,特别是成人游戏的3D...
使用vtkRenderer创建的显示点云的窗口如何刷新(QT/C++)
最新发布
qq_19319481的博客
08-09 289
使用vtkRenderer创建的显示点云的窗口如何刷新(QT/C++)
c++ error: ‘*’ does not name a type; did you mean ‘**’?
xiaozhi
08-08 448
c++ error: ‘*’ does not name a type; did you mean ‘**’?
STL中的迭代器失效(vector为例)
2302_80190394的博客
08-08 334
STL中的迭代器失效(vector为例)
C++ STL专题 list的讲解
Mike的博客
08-07 754
1.list是可以在常数范围内任意位置进行插入和删除的序列式容器,并且可以前后双向迭代。2. list的底层是双链表结构,双向链表中每个元素存储在互不相关的独立节点中,在节点中通过指针指向其前一个元素和后一个元素。3. list与forward_list非常相似:最主要的不同在于forward_list是单链表,只能朝前迭代。4. 与其他的序列式容器相比(vector,deque), list通常在任意位置进行插入,移除元素的执行效率更好。5. 与其他序列式容器相比,
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加了从指定文件夹获取图片的功能: ```python import os from PIL import Image def get_images_from_folder(folder_path): images = [] for filename in os.listdir(folder_path): if filename.endswith(".png"): image_path = os.path.join(folder_path, filename) image = Image.open(image_path) images.append(image) return images # 指定文件夹路径 folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值