180825 逆向-FLARE(2)

最新推荐文章于 2024-06-22 01:07:59 发布
最新推荐文章于 2024-06-22 01:07:59 发布
阅读量818 收藏
点赞数
分类专栏: CTF CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/82057260
版权
CTF 同时被 2 个专栏收录
163 篇文章 8 订阅
订阅专栏
CrackMe
83 篇文章 3 订阅
订阅专栏

比赛地址:FLARE-ON 2018

Ultimate Minesweeper

打开是个扫雷,点哪都死2333
IDA看一下发现是.NET,于是用dnspy打开

二话不说直接找success的窗口类

发现是由参数决定的flag
跟着交叉引用过去看参数
new SuccessPopup(this.GetKey(this.RevealedCells)).ShowDialog();
还调用了GetKey,继续看

由一个常数数组和以参数为种子的随机数生成

那么必须要搞出正确的种子才能得到flag啦,另一方面无数经验都证明随机数最好别自己复写了2333

继续去看种子是怎么来的
this.RevealedCells.Add(row * MainForm.VALLOC_NODE_LIMIT + column);
估计是把安全点的坐标都add进去了
那么最终还是转到寻找安全点的问题上了

我不怎么会C#的开发,所以尽量还是希望能够通过Patch来让程序主动调用

看了一下雷的是否存在是通过这里判断的

首先无敌,将中间的爆炸情况全部删去即可
然后一共30x30个格子,挨个点过去太累了

于是在Click事件中Patch上主动遍历所有按钮

然后试了一下,发现BombRevealed里判断了两个条件:

而后者MineVisible每次点击的时候会设置成True,而调试发现MinesPresent中存放的是雷和安全区

因此这里有两种解决方案,一种是遍历的时候顺道也设置一下MineVisible,另一种方案是只检查MinesPresent

我选择的是第二种
另外由于它是检查到剩余空数为0的时候才会判断成功,我们在已知无关的情况下可以强制遍历完以后直接调用成功弹窗方法

于是跑一下就能弹出flag了

另外可以看到左上角写着剩余雷数为897
那么可以再进一步逆向一下雷的生成方法

我们现在只到雷是存储在MinesPresent数组中的,于是继续跟着交叉引用向上翻
MinesPresent[]->this.minesPresent->GarbageCollect[]->AllocateMemory

而这个VALLOC_TYPE里正好有是三个值,对应三个点

于是可以通过自己遍历DeriveVallocType来找到三个安全点

24,28
28,7
7,20

于是可以手搓,反正就三个点(虽然会看瞎
也可以自己照着写一下随机数生成去正向运算
还可以强行Patch给定这三个点23333

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF [FlareOn2]YUSoMeta
weixin_53349587的博客
01-04 425
1.拿到文件,先查一下壳: .net语言,直接dnSpy打开: 之后发现里面有混淆,用de4dot去混淆。 2.找到关键函数,然后重新打开没有去过混淆的文件(因为去混淆之后就得不到flag): 通过与去混淆之后的函数对应,可以得到,\u0004下的\u0002即为主函数。 下断点: 动态调试,单步运行: 一直单步运行,会得到text2(这个字符串就是判断与我们的输入是否相等的字符串,如果相等,就输出flag): metaprogrammingisherd_DD9...
[FlareOn2]very_success
m0_46296905的博客
04-21 967
题目来源:[FlareOn2]very_success 确定是32位无壳程序 放入静态分析工具ida32里查看: 发现栈指针不平衡,"alt + k"手动调节一下,加个负号即可: 调节好之后查看伪代码: BOOL __usercall sub_401000@<eax>(int a1@<ebp>) { BOOL result; // eax HANDLE v2; // [esp-14h] [ebp-14h] HANDLE v3; // [esp-10h] [ebp-1
[FlareOn5]Ultimate Minesweeper
最新发布
Nike_name的博客
06-22 228
dnspy修改文件得到flag
Flare-On Challenge2 Writeup
blackcat
07-24 1333
这个题目是个php的题目。
BUU-[FlareOn5]Ultimate Minesweeper
qq_45771413的博客
04-19 546
查壳 无壳,但发现是.net程序 附程序运行截图: dnSPY 找到main函数,顺便瞟一圈有没有可疑的函数名: 找到了GetKey,像是作者明晃晃的暗示(要是不暗示我就跪了……) 可以发现有一长串数组,后面跟着数组间的异或操作。由于不太会dnSPY,不知道怎么溯源里面的arry2,放弃。 回到主函数,寻找调用GetKey的地方: 发现有两个if判断,第一个不知道干啥的,第二个是判断TotalUnrevealedEmptySquares == 0则有个sleep操作,让线程休眠1000毫秒。然后进
[FlareOn5]Ultimate Minesweeper(dnSpy新玩法)
寻梦&之璐
05-12 6169
看这个文件名字,老熟人喽。.Net Assembly,毫无疑问,直接dnSpy
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
cloudflare-bypass:NodeJS工具绕过Cloudflare iUam V2
04-28
绕云绕道 一个NodeJS工具绕过Cloudflare IUAM v2。这个怎么运作JS挑战( jsch )包含多个串联JavaScript挑战。 我正在尝试对所有这些进行逆向工程,在可以看到已经逆转的所有挑战。 验证码挑战可以在JS挑战之后提出...
cloudflare-cli:用于与Cloudflare交互的CLI
04-30
cloudflare-cli 用于与Cloudflare交互的CLI 安装 您可以使用NPM或Docker安装 通过npm安装 npm install -g cloudflare-cli 从Dockerhub安装 docker pull dpig/cloudflare-cli:latest # Running a command docker ...
commando-vm:完整的Mandiant进攻VM(Commando VM),这是一个完全可定制的基于Windows的渗透测试虚拟机发行版。 commandovm@fireeye.com
02-06
- FireEye Flare是FireEye的一个研究和开发团队,专注于恶意软件分析和逆向工程。Commando VM可能包含了Flare团队开发或推荐的一些工具和技术,使得用户可以利用这些高级分析技术来对抗恶意软件。 4. **Windows ...
cloudfire:CloudFIRE – Cloudflare + Pubnub 的去中心化开源替代品
06-28
Cloudflare + Pubnub 的开源替代品 在最近的一次中断之后,我们想知道更换及其机器人保护代码会有多困难。 一旦成功,我们意识到我们有一个不错的前端,可以让 websockets 大规模运行。 此代码库是用于交付 Web ...
[FlareOn5]Ultimate Minesweeper WP
P_Black_K的博客
08-01 300
[FlareOn5]Ultimate Minesweeper WP
buu练题记录14-[FlareOn5]Ultimate Minesweeper
Asteri5m
06-09 300
0x00 分析 尝试运行,扫雷,只有三个不是雷,好家伙要我不通关直说。 先查壳 net文件,直接用dnSpy打开,找到main函数,在里面发现一个getkey函数有可以字符串,怀疑是flag 但是只能获取其中一组,另一组由random函数得出,两组异或应该就是flag了。但是random函数的参数未知,所以换个点分析破解。 通过运行游戏知道只有找到三个正确的地方(既扫雷通过)就会出flag。所以看看其他函数。然后找到了MineField下的BombRevealed函数 雷区有雷为true。根据函数
BUUCTF Reverse/Ultimate Minesweeper
ookami6497的博客
08-18 396
BUUCTF Reverse/Ultimate Minesweeper 先看文件信息,没有加壳,且为net编写的程序 运行是一个扫雷游戏,只要点错一个就会自动退出(左上角显示的是雷的数目,一共有897个雷,总共900个格子,说明就三个数是能点的) 一个小提示 既然是net程序,分析软件的话可以参考这个推荐.Net、C# 逆向反编译四大工具利器 我用的是dnSpy,这个可以看到程序的大概结构 有main函数 这个FaiurePopup和SuccessPopupj是设置窗口
buu [FlareOn5]Ultimate Minesweeper1 WP
zzqzzq11的博客
01-08 2088
首先用exeinfo打开: 可以看到是NET程序。 因此使用非常好用的Net逆向工具dnSpy打开它 阅读MainForm的代码,核心逻辑是,先通过InitializeComponent函数初始化大部分变量,以及扫雷的主界面。 扫雷,顾名思义扫到雷,肯定游戏就结束了,因此看到SquareRevealedCallback函数: 可以看到,该函数若点中雷,则会调用FailurePopup函数,这个函数就是告诉你输了,游戏结束。而下面相对应的,若if(this.MineField.Tota.
搭建个人知识管理库
Studying
06-12 3361
今天介绍一下如何搭建个人知识管理库,个人知识管理库的重要性就不用多说了。下面介绍如何做: 你需要: 1、一个 主机空间,支持php,mysql,这里推荐hostinger,这是一个老牌的主机了。 2、一个FQ的软件,这里推荐GTX6加速,免费,付费都可以。免费有500M流量,够用了。 3、mediawiki,大名鼎鼎的维基百科都是用这个系统的,下载这里,我删减了语言包,大小减少了一大半
buu-[FlareOn5]Ultimate Minesweeper
qaq517384的博客
04-03 5937
题目是一个扫雷游戏 900格,897个雷,真有你的噢 扫一下可以看到是NET文件 dnSpy打开,瞅瞅main函数,有一个getkey(),应该就是flag 往上看调用 我的第一反应是: 两个都改成SuccessPopup 然后意料之内的报错了 试试注释(右键->编辑方法->编译) 然后文件->全部保存到新文件 踩雷不退出了 但是乱码了 然后又点了一次发现雷的位置是一样的,直接去源文件搞一下 flag{Ch3aters_Alw4ys_W1n@flare-on.com} 脑
[FlareOn4]IgniteMe
jentle8的博客
03-31 1597
没有壳,也看不出什么语言写的,逆向分析一波: 用writeFile函数伪装起来的printf函数,但是功能一样, sub_4010F0卵用没有,sub_401050函数是主要判断: v4返回的是一个定值,动态调试就能出来,v0就是接收函数的整的花里胡哨。 对输入的字符串,最后一个字符xor 0x4,然后之后按位和前一个异或,最后和403000比较,keygen: byte_403000=[0x...
BUUCTF [FlareOn2]starter
weixin_53349587的博客
01-04 391
1.拿到文件,运行一下: 运行之后好像和正常的exe程序不太一样,多了一个窗体,还有一堆英文,我们点击yes: 意思是“请键入要放置解压缩文件的位置”,随便放到一个文件夹下: 得到了一个exe程序,IDA打开: 进入就看到了一个异或,脚本解一下: a = [ 0x1F, 0x08, 0x13, 0x13, 0x04, 0x22, 0x0E, 0x11, 0x4D, 0x0D, 0x18, 0x3D, 0x1B, 0x11, 0x1C, 0x0F, 0x18, 0x5...
cloudflare的cookie逆向
09-15
2. 性能优化:通过将网站内容缓存到全球各个服务器节点,Cloudflare可以加快网站加载速度并减少服务器负载。Cookie用于识别用户和服务器之间的连接,以确保请求正确地路由到最近的服务器。 3. 会话管理:有些网站...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值