hgame week3 kmusic(z3)

于 2023-02-06 01:45:12 发布
阅读量165 收藏
点赞数 1
分类专栏: CTF 文章标签: python 网络安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54894802/article/details/128895569
版权

kmusic

链接:https://pan.baidu.com/s/14vG_N5FLMpHKbEf9cfEzvA?pwd=etvs

提取码:etvs

打开找道题,我们可以知道这个是.net编写的程序,我们用dnSpy打开(64位)进行分析。

在这里插入图片描述

我们可以看到这里对data进行了加密,我们运行到data结束,进入二进制界面。
在这里插入图片描述

在这里插入图片描述

这里发现MZ头,可知是一个二进制文件。我们用winhex,dump出来。

将dump出来的文件放入dnSpy进行分析。
在这里插入图片描述

可以发现出现了一个大if,然后里面进行了限制计算。到这里我们可知道用z3进行求解。

用z3进行创建求解即可。

关于z3

在这里插入图片描述

在这里插入图片描述

一般的模板:

from z3 import *
s = Solver()
flag = [BitVec('x%d' % i, 8) for i in range(13)]

# 将flag限制为可见字符
for i in range(47):
    s.add(flag[i] <= 127)
    s.add(flag[i] >= 32)
# 中间添加程序的加密算法

if s.check() == sat:
    model = s.model()
    string = [chr(model[num[i]].as_long().real) for i in range(13)]
    print(model)
    print("".join(string))

else:
    print('无')

对于本道题,我们进行解题:

from z3 import *
array = [132,47,80,7,216,45,68,6,39,246,124,2,243,137,58,172,53,200,99,91,83,13,171,80,108,235,179,58,176,28,216,36,11,80,39,162,97,58,236,130,123,176,24,212,56,89,72]
s = Solver()
num = [BitVec('x%d' % i, 8) for i in range(13)]

#
# for i in range(47):
#     s.add(num[i] <= 127)
#     s.add(num[i] >= 32)
# 中间添加程序的加密算法

s.add(num[0] + 52296 + num[1] - 26211 + num[2] - 11754 + (num[3] ^ 41236) + num[4] * 63747 + num[5] - 52714 + num[6] - 10512 + num[7] * 12972 + num[8] + 45505 + num[9] - 21713 + num[10] - 59122 + num[11] - 12840 + (num[12] ^ 21087) == 12702282)

s.add(num[0] - 25228 + (num[1] ^ 20699) + (num[2] ^ 8158) + num[3] - 65307 + num[4] * 30701 + num[5] * 47555 + num[6] - 2557 + (num[7] ^ 49055) + num[8] - 7992 + (num[9] ^ 57465) + (num[10] ^ 57426) + num[11] + 13299 + num[12] - 50966 == 9946829)

s.add(num[0] - 64801 + num[1] - 60698 + num[2] - 40853 + num[3] - 54907 + num[4] + 29882 + (num[5] ^ 13574) + (num[6] ^ 21310) + num[7] + 47366 + num[8] + 41784 + (num[9] ^ 53690) + num[10] * 58436 + num[11] * 15590 + num[12] + 58225 == 2372055)

s.add(num[0] + 61538 + num[1] - 17121 + num[2] - 58124 + num[3] + 8186 + num[4] + 21253 + num[5] - 38524 + num[6] - 48323 + num[7] - 20556 + num[8] * 56056 + num[9] + 18568 + num[10] + 12995 + (num[11] ^ 39260) + num[12] + 25329 == 6732474)

s.add(num[0] - 42567 + num[1] - 17743 + num[2] * 47827 + num[3] - 10246 + (num[4] ^ 16284) + num[5] + 39390 + num[6] * 11803 + num[7] * 60332 + (num[8] ^ 18491) + (num[9] ^ 4795) + num[10] - 25636 + num[11] - 16780 + num[12] - 62345 == 14020739)

s.add(num[0] - 10968 + num[1] - 31780 + (num[2] ^ 31857) + num[3] - 61983 + num[4] * 31048 + num[5] * 20189 + num[6] + 12337 + num[7] * 25945 + (num[8] ^ 7064) + num[9] - 25369 + num[10] - 54893 + num[11] * 59949 + (num[12] ^ 12441) == 14434062)

s.add(num[0] + 16689 + num[1] - 10279 + num[2] - 32918 + num[3] - 57155 + num[4] * 26571 + num[5] * 15086 + (num[6] ^ 22986) + (num[7] ^ 23349) + (num[8] ^ 16381) + (num[9] ^ 23173) + num[10] - 40224 + num[11] + 31751 + num[12] * 8421 == 7433598)

s.add(num[0] + 28740 + num[1] - 64696 + num[2] + 60470 + num[3] - 14752 + (num[4] ^ 1287) + (num[5] ^ 35272) + num[6] + 49467 +num[7] - 33788 + num[8] + 20606 + (num[9] ^ 44874) + num[10] * 19764 + num[11] + 48342 + num[12] * 56511 == 7989404)

s.add((num[0] ^ 28978) + num[1] + 23120 + num[2] + 22802 + num[3] * 31533 + (num[4] ^ 39287) + num[5] - 48576 + (num[6] ^ 28542) + num[7] - 43265 + num[8] + 22365 + num[9] + 61108 + num[10] * 2823 + num[11] - 30343 + num[12] + 14780 == 3504803)

s.add(num[0] * 22466 + (num[1] ^ 55999) + num[2] - 53658 + (num[3] ^ 47160) +(num[4] ^ 12511) + num[5] * 59807 + num[6] + 46242 + num[7] + 3052 + (num[8] ^ 25279) + num[9] +30202 + num[10] * 22698 + num[11] + 33480 + (num[12] ^ 16757) == 11003580)

s.add(num[0] * 57492 +(num[1] ^ 13421) + num[2] - 13941 + (num[3] ^ 48092) + num[4] * 38310 + num[5] + 9884 + num[6] -45500 + num[7] - 19233 + num[8] + 58274 + num[9] + 36175 + (num[10] ^ 18568) + num[11] * 49694 + (num[12] ^ 9473) == 25546210)

s.add(num[0] - 23355 + num[1] * 50164 + (num[2] ^ 34618) + num[3] + 52703 + num[4] + 36245 + num[5] * 46648 + (num[6] ^ 4858) + (num[7] ^ 41846) + num[8] * 27122 +(num[9] ^ 42058) + num[10] * 15676 + num[11] - 31863 + num[12] + 62510 == 11333836)

s.add(num[0] * 30523 + (num[1] ^ 7990) + num[2] + 39058 + num[3] * 57549 + (num[4] ^ 53440) + num[5] * 4275 + num[6] - 48863 +(num[7] ^ 55436) + (num[8] ^ 2624) + (num[9] ^ 13652) + num[10] + 62231 + num[11] + 19456 + num[12] - 13195 == 13863722)

flag = []
text = 47*[0]
for i in range(len(array)):
    text[i] = (array[i] ^ num[i % len(num)])
for i in range(47):
    s.add(text[i] < 127)  # 添加约束条件,解出来的满足的num有很多,但是我们要的是能够解出可见字符的num,
                          #因此需要添加约束条件来解出可见的flag
    s.add(text[i] > 32)

if s.check() == sat:  # 检测是否有解
    result = s.model()
    for i in num:  # 因为最后得出的是等式,先遍历 temp,把 temp 的每个依次赋给 i
        flag.append(result[i])  # 然后找到每个 temp 对应的解,附加到空列表的后面
    print(flag)
else:
    print('无解')

在这里插入图片描述

这道题比较特殊的地方就是这里。由于我们z3是限制求解,解有很多,z3只会给我们一个,我们的限制越多,越接近准确答案。因而这步的原因就是对我们解出的num再解出的flag进行限制,来确保我们num解出来的flag都是可见字符。如果不这样,我们解出的num来解flag就是乱码。

可得num=[236, 72, 213, 106, 189, 86, 62, 53, 120, 199, 15, 93, 133]

array = [132,47,80,7,216,45,68,6,39,246,124,2,243,137,58,172,53,200,99,91,83,13,171,80,108,235,179,58,176,28,216,36,11,80,39,162,97,58,236,130,123,176,24,212,56,89,72]

text =""
arr = [236, 72, 85, 106, 189, 86, 62, 53, 120, 71, 15, 93, 133]
for i in range(47):
    x = chr(array[i] ^ arr[i % 13])
    text += x

print(text)

解出flag: hgame{z3_1s_very_u5eful_1n_rever5e_engin3ering}

abcd123mmmm2
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
hgame:Haskell 游戏引擎
05-30
3. **数据结构与算法**:游戏引擎中涉及到大量的数据处理,如碰撞检测、物理模拟、图形渲染等,都需要高效的数据结构和算法支持。Haskell的类型系统可以帮助开发者在编译时检查错误,避免运行时的问题。 4. **并发...
hgame-week3-web-wp
www_xuhss_com的博客
02-12 278
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 hgame第三周(web ak) 1.SecurityCenter 先看看hint(**vendor是第三方库和插件放置的文件夹,一般来源于composer的安装) 找到了使用的twig模板,应该是twig模板注入 查博客 依葫芦画瓢http://146.56.223.
Hgame-Week3
qq_53086690的博客
03-03 615
目录WebLazyDogR4UPost to zuckonit200OK!!Liki的生日礼物 Web LazyDogR4U 地址:http://718a753f92.lazy.r4u.top 提示:懒狗R4u把Flag藏起来了,但由于他是懒狗,所以flag藏的很不安全。 进入页面之后是登录页面,用子域名爆破工具进行爆破。发现有www.zip. 下载之后分析源代码。发现有flag.php。分析代码得出 $_SESSION[‘username’] === 'admin’就会得到flag。 然后再lazy页
HGame 2023 Week3 部分Writeup
vvbbnn00的专栏
01-30 1034
本周在迎新春,走亲戚(真的很忙),外加题目难度增加,笔者比较菜,因此只解出了寥寥几题,不过姑且也算是一些成就,故作此题解,希望能够对各位读者有些帮助。Week3 比赛地址:https://hgame.vidar.club/contest/4。
2020 HGAME WEB_Week3[cosmos的留言板-2](基于时间的盲注)
Kaleido76的博客
02-10 503
一道SQL盲注题目[cosmos的留言板]
hgame2023 week3 writeup
02-03 1529
hgame2023 week3
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
3D模型图片查看器(可查看3D程序模型)
11-03
在游戏领域,尤其是Hgame(成人游戏)中,3D模型的创建和展示是至关重要的,因为它们构成了游戏内的角色和环境。 描述中提到的“Hgame图片模型查看工具”表明这个查看器可能专门针对游戏行业内,特别是成人游戏的3D...
hgame2021 week3 FAKE
__ys的博客
05-04 441
FAKE(SMC) 丢进IDA分析,找到check函数 发现是求解方程组,这里我们可以用z3约束器来求解,详细可以参考这两篇文章(文章1 文章2) python代码如下: from z3 import * s = Solver()#设置一个解方程的类Solver(必须要设置) v1,v2,v3,v4,v5,v6,v7,v8,v9,v10,v11,v12,v13,v14,v15,v16,v17,v18,v19,v20,v21,v22,v23,v24,v25,v26,v27,v28,v29,v30,v31,v
【wp】hgame2023 week3 Re&&Pwn
woodwhale的博客
02-01 806
hgame2023 week3 2个re和3个pwn的wp
hgame2021 week3 pwn刷题
qq_45595732的博客
02-21 399
blackgive 栈迁移 from pwn import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) #p = process('./blackgive') p =remote('182.92.108.71',30459) elf = ELF('./blackgive') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') puts_plt =
HGAME 2020 web week3 writeup
stepone4ward的博客
02-07 837
序列之争-ordinal scale 首先source.zip获得源码,得知需要让rank为1即可获得flag 先找一下有没有反序列化的点,在monster类的构造函数中找到了unserialize方法 再找一下哪里可以让rank值变为1,在Rank类的析构函数中找到了让$_SESSION['rank']变为1的地方 如果我们可以满足$this->key === $this->serv...
2021 Geek re
lucky_boyQAQ的博客
11-15 5063
2021 Geek re 一年一度的极客大挑战,做完了逆向,题目质量有高有低,一些适合新生,一些又不适合新生,写wp给新生看看,毕竟大家都是这么过来的。 Re0 签到题 ida打开,shift + f12查看字符串就行。 SYC{Welcome_to_Geek_challenge2021} 顺便也将几个常用的快捷键讲讲吧 f5 反编译出类似于c代码的窗口 h键 10进制和16进制互换 d键 将IDA view-RIP解面的单个字节进行转换,可转换为2个,3个,4个,甚至更多个字节。 u键 将多个字节数
2020 HGAME WEB_Week3 [二发入魂][cosmos的二手市场]
Kaleido76的博客
02-08 567
一道mt_rand()伪随机题目[二发入魂]和一道条件竞争题目[cosmos的二手市场]
hgame week3
wuerror的博客
02-23 575
week3-wp wuerror web 1.sqli-1 首先写个脚本过code import hashlib from multiprocessing.dummy import Pool as ThreadPool # MD5截断数值已知 求原始数据 # 例子 substr(md5(captcha), 0, 6)=60b7ef|| substr(md5($_GET[&quot;code&quot;]),0,4)...
HGAME-WEEK3-WRITE-UP
郁离歌丶的博客
03-10 1514
HGAME-WEEK3-WRITE-UPWEB送分的SQLi 这题非常简单,什么过滤都没有就是简单的有回显数字型SQL注入。 所以我们可以直接构造union注入就可以完成所有操作/*库名*/ id=1 union select database(),1 /*表名*/ id=1 union select table_name,1 from information_schema.tables wher...
hgame2019 week3 wp
qq_42192672的博客
02-16 1188
上周的wp我咕了,图片太多,云不想弄,第三周堆有点难受,之后把tcache抽空学一下 Pwn namebook 打开程序,五个功能,没有开启PIE,没有后门函数以及system,需要泄露 64为程序中,每一次创建的chunk是0x80大小,实际大小0x90,最多建立10个name struct eachname { int ptr[i]; //size:0x80 } 分析一下个函数...
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
最新发布
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值