[2019红帽杯]Snake

最新推荐文章于 2023-12-28 16:20:00 发布
最新推荐文章于 2023-12-28 16:20:00 发布
阅读量544 收藏 1
点赞数 1
分类专栏: CTF-RE 文章标签: c++ dll 游戏 python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46296905/article/details/116209735
版权

题目:[2019红帽杯]Snake

0x01 分析

程序是个unity游戏。
在这里插入图片描述
把Snake\Snake_Data\Managed目录下的Assembly-CSharp.dll放到dnSpy里面反汇编看看,发现了导入外部interface动态链接库,且GameObject主函数就在这个库中。
在这里插入图片描述
现在来看看这个函数是如何被使用的,选中GameObject函数,右键点击分析,弹出的分析器中双击可以看出向这个函数传入了一个坐标参数。
在这里插入图片描述
找到Plugins下的Interface
在这里插入图片描述
是个用C++写的64位动态链接库。
在这里插入图片描述
ida64查看,在string窗口看到这个
在这里插入图片描述
定位,是在函数GameObject中。
在这里插入图片描述
这个函数只有一个参数a1(x坐标)传入,传入的a1范围如果在0到99之间就能输出flag。

既然是个C++写的动态链接库,不妨写个程序导入这个动态链接库爆破一下。

0x02 EXP

1. exp by C:

动态调用dll:

这边有个坑,就是一个64位进程不能加载一个32位dll,同理一个32位进程也不能加载一个64位dll。interface.dll是64位的,所以我们要设置一下编译器的支持平台为64位,不然LoadLibrary函数会一直返回null。
——参考:LoadLibrary加载动态库失败的可能原因以及解决方案

以vs2017为例,右键点击你的解决方案,进入属性。
在这里插入图片描述
属性界面平台改成x64即可。
在这里插入图片描述
把interface.dll放在exp所在目录下(也可以自行设置路径),运行一下exp,等一段时间就可看到flag:

#include<iostream>
#include<Windows.h>
#include"defs.h"//ida自带的头文件
//函数指针
typedef signed __int64(*Dllfunc)(int);
using namespace std;
int main()
{
	Dllfunc GameObject;//GameObject是dll中想要调用的函数名称
	HINSTANCE hdll = NULL;
	hdll = LoadLibrary(TEXT("Interface.dll"));//用LoadLibrary加载dll								
	if (hdll == NULL)
	{
		cout << "加载失败\n";
	}
	else
	{
		GameObject = (Dllfunc)GetProcAddress(hdll, "GameObject");//到dll中定位函数
		if (GameObject == NULL)
		{
			cout << "加载函数失败\n";
		}
		else
		{
			for (int i = 0; i <= 99; i++)
			{
				signed __int64 res = GameObject(i);
			}
		}
	}
	FreeLibrary(hdll);//释放dll
	return 0;
}

在这里插入图片描述

2. exp by Python:

相比于C的exp,用python内置的ctypes模块导入dll更加简单:

import ctypes
dll = ctypes.cdll.LoadLibrary("E:\\CTF_project\\BUUCTF\\0427-[2019红帽杯]Snake\\Snake\\Snake_Data\\Plugins\\Interface.dll")#导入库
for i in range(100):
    dll.GameObject(i)#调用库函数
    print(i)

在这里插入图片描述

0x03 flag

flag{Ch4rp_W1th_R$@}
Em0s_Er1t
关注
专栏目录
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
buu [2019红帽杯]Snake wp
liuxiaohuai_的博客
12-23 709
不得不说这个游戏做的还是蛮精致的,我就这么玩玩了我半个小时。 该游戏是用unity编写的,那么在文件中找到Assembly-CSharp.dll(\Snake\Snake_Data\Manage\Assembly-CSharp.dll这个路径)拖进dnspy就能对该游戏框架的反汇编了。 我们把它拖入ida中,就可以很清楚的看到文件中的函数调用情况 而这个GameObject函数就是这个游戏的主函数。再回到dnspy中,找到Interface下的GameObject函数 在游戏文件中找到interface
BUUCTF-[2019红帽杯]Snake&&Dig the way
weixin_61154173的博客
04-08 412
读取文件,改文件内容 ,下载完文件是一个用C#编写的untiy程序,对于这种程序果断用dnSpy查看Assembly-CSharp.dll找到如下位置发现这些函数都导入了Interface函数,那找到这个动态链接库的位置,用ida打开,f12搜索关键字发现了You win!,跟进发现这个代码很长,但是这个GameObject()函数只有一个a1参数,并且他也参与了运算。
[2019红帽杯]Snake 1
qq_41853048的博客
06-01 130
一个unity引擎写的贪吃蛇游戏,功能挺齐全的,看代码里,C#,和C++都有搜索知道unity有两个主要特点,程序代码会打包进Assemblely-CSharp.dll库文件下,他主要储存这文件间的相互联系与文件所包含函数,其中gameobject()是用来创建对象的函数包含该函数的模块文件即为游戏的入口,可以看到在Interface下查壳发现该文件为C++编写,不能用dnspy打开,换回ida。
BUUCTF Reverse/[2019红帽杯]Snake
m0_52484587的博客
12-28 504
搜索知道unity有两个主要特点,程序代码会打包进Assemblely-CSharp.dll库文件下,他主要储存这文件间的相互联系与文件所包含函数,其中gameobject()是用来创建对象的函数包含该函数的模块文件即为游戏的入口,可以看到在Interface下。通过定位很容易发现主函数,且刚好位于GameObject()函数下,看到有几个大整数,并且有两次flag提醒,开始以为是RSA,但好像不是,运算比较复杂,师傅说可以直接调用dll函数进行爆破,在函数头我们可以发现确实有一个a1参数被传入。
REVERSE-PRACTICE-BUUCTF-23
P1umH0的博客
02-27 633
REVERSE-PRACTICE-BUUCTF-23[2019红帽杯]Snake[BSidesSF2019]blink[De1CTF2019]Re_Sign[ACTF新生赛2020]Splendid_MineCraft [2019红帽杯]Snake unity游戏,dnSpy打开Snake\Snake_Data\Managed\Assembly-CSharp.dll 发现要载入Interface这个dll ida打开Snake\Snake_Data\Plugins\Interface.dll 交叉引用字符
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯安全赛-线上赛Writeup 第四届红帽杯安全赛 - 线上赛 Writeup 第四届红帽杯安全赛-线上赛Writeup 第四届红帽杯安全赛-
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
红帽RHCSA的详尽笔记
08-15
红帽RHCSA的详尽笔记打算要考RHCSA然后报了一个班,这是我自己记录的笔记,我感觉挺详细的,希望对你们有帮助,包括配置网卡、yum源、创建用户、用户组、创建cron作业等等,可以搭配我的文章一起看,对初学Linux和考...
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
红帽认证RHCE上课详细笔记
07-09
红帽认证RHCE上课详细笔记
BUU[2019红帽杯]Snake
yidalipao1的博客
05-14 510
下载的时候看到是17.2MB,头一回见到这么大的文件。 解压之后打开发现是一个游戏 文件目录下就这些东西,使用unity写的,搜索了一下,unity逆向的主要文件是**Assembly-CSharp.dll**,然后直接在这个文件夹下搜索 **Assembly-CSharp.dll** 最后在Snake\Snake_Data\Managed这个目录下找到了 然后把它拖入ida打开,找到GameObject, 这个就是游戏的主体函数。 用dnspy打开Assembly-CSha..
Snake ---- 2019 红帽杯
Misaka10046的博客
10-28 420
首先打开文件玩玩游戏,玩不动玩不动,这操作实在太顶了,还是正常逆向吧。 发现该游戏是由unity编写的,那么在文件中找到Assembly-CSharp.dll拖进dnspy就能对该游戏框架的反汇编了。(不能直接拖exe。。) 然后看文件的代码就能很清晰的看到游戏调用的函数,有Move,Grow。这种简明扼要的函数,但是我们还是要看游戏的主函数GameObject,看上面的import发现这个函数在Interface这个dll中。 游戏文件中找到这个dll,拖进IDA进行反编译。 根据字符串找到函数
2019年第三届红帽杯线上赛wp
SkYe's Blog
11-16 1620
2019年第三届红帽杯线上赛wp PWN three IDA打开之后,函数名都是sub_xxx,然后通过nc官方部署的程序(或本地在程序所在目录创建flag文件后),获得程序中会出现的字符串定位到了重要函数,我用的是字符串Maybe is good。 贴出来一下重要函数对应的内存地址: 函数名(已重命名) 内存地址 main 0x08048CA8 load_flag 0x080...
2019 红帽杯 three 经验总结
qq_43189757的博客
11-11 1416
这题感觉要对汇编语言要比较熟悉会更容易做出来… 程序逻辑分析: 前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中 在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag 利用思路: 通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面...
2019红帽杯】easyRE
苗_的博客
04-06 2747
拿到之后搜索字符串,找到you found me!然后定位所在函数, 先根据给出的字符进行加密: 得到一个类似提示的东西: 继续向下发现加密算法: 可以看出是十次base64加密,将明文进行十次base64解密,得到https://bbs.pediy.com/thread-254172.htm,点进去是看雪的一个帖子,你就会发现你被坑了...... 其实关键函数就在主函数的下面一个函数,...
2019红帽杯(RedHat)【Broadcastc & 恶臭的数据包】writeup
chen574927274的博客
11-11 2831
首先请原谅我这么菜,只解了两道题还来发Blog; 【Broadcastc】 这题不多说,直接解压得到task.py打开获取flag 【恶臭的数据包】 首先下载压缩包解压得到数据包 Wireshark打开什么都看不懂,直接百度; 按照教程 把数据包丢到Kali 先看看ESSID 然后再破解WiFi密码 得到WiFi密码 12345678 打开Wireshark 编辑-...
红帽iptables
最新发布
08-18
红帽iptables(Red Hat's Internet Protocol Tracking and Logging Engine),通常称为iptables,是一个Linux内核模块,用于实现包过滤和网络转发策略。它是基于Netfilter框架的一个工具,允许系统管理员控制进出系统的IP数据包,包括防火墙规则的设置,比如阻止恶意流量、设置端口转发等。它支持各种高级功能,如状态检查、链式处理和多表模型。通过iptables命令行工具,用户可以添加、修改和删除规则,对网络流量进行细致的管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Em0s_Er1t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值