攻防世界逆向高手题之easy_Maze

最新推荐文章于 2023-12-21 02:18:34 发布
最新推荐文章于 2023-12-21 02:18:34 发布
阅读量737 收藏 3
点赞数 3
分类专栏: 逆向 CTF 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/120012374
版权
CTF 同时被 2 个专栏收录
173 篇文章 29 订阅
订阅专栏
逆向
99 篇文章 32 订阅
订阅专栏

攻防世界逆向高手题之easy_Maze

继续开启全栈梦想之逆向之旅~
这题是攻防世界逆向高手题的easy_Maze
在这里插入图片描述
下载附件,照例扔入exeinfope中查看信息:
在这里插入图片描述
64位ELF文件无壳,照例扔入IDA中查看伪代码信息,有main函数看main函数:
在这里插入图片描述
在这里插入图片描述
这里积累第一个经验:一进去看到一堆变量,三个自定义函数,跟踪进step_0看看代码:
在这里插入图片描述
发现对v7有超过[7]下标的操作,怀疑主函数中一堆变量是v7的数组分出来的,看了一下堆栈,发现是连续的,于是调整主函数栈中局部变量构造:
在这里插入图片描述
在这里插入图片描述

结合题目暗示maze迷宫类型,开始分析三个step函数,第一个step_0函数,第一个红框显示是程序自运行操作,大概是把v7数组按条件给到v6数组:
在这里插入图片描述
第二个step_1函数,也是简单的v6条件赋值给v5,但是这里中间经过两个函数。
在这里插入图片描述
跟踪第一个函数getA,是三层循环嵌套加递归。
在这里插入图片描述
跟踪getAStart函数,也是三层嵌套,到时其中还调用getA函数。
在这里插入图片描述
这里积累第二个经验:
一开始受前面一道EASYHOOK题目的影响,我以为这里会有类似的虚实代码替换。跟踪进去后发现step_1不断嵌套而且没有系统函数替换进程地址,判断不是HOOK。但是由于step_1函数不断的嵌套,而且是那种循环算法的嵌套,我又以为是Newbie_calculations这类有冗余代码代码需要自己简化函数的题目,结果发现也是错的,因为Newbie_calculations的冗余代码作用是消耗时间,而这题也没有消耗时间。
最后查了资料我才明白,这种step_0和step_1代码的确是算法,但是它们在用户输入命令之前,也就是说这些是系统自执行代码,是为程序渲染环境做前期准备用的,没有必要弄懂它。比如这里step_0和step_1是为程序做迷宫地图的,设计迷宫算法,弄懂它与解题没有太大关系,而且前期准备环境的算法函数也不会有故意出错的地方来设考点,毕竟考点是走迷宫。
.
.
理解完这些之后我们看step_2,发现输入cin函数方法在这里,那么我们只要观察输入函数cin之后的逻辑和在内存中截取出前面step_0和step_1函数自动运算生成的地图来参考即可:
在这里插入图片描述

上图第一个框标识走够29步,而且每一步都是1才行。第二个框是cin输入框,是我们定位的关键,后面的框就是打游戏常见的aswd这样来移动,移动到1上面才行。
.
.
所以我们现在要在内存中截断出step_0和step_1前期自动运行出的地图出来即可。
下面图中第一个框表示制作的是7*7的地图。(结合我们前面粗略看得step逻辑也可以判断出来出入7是一边界,我们的v7也是49个元素的数组)

这里积累第三个经验:
第二个框表示送入v5作为最终地图,值得注意的是这个v5是int型的,v5也是数组,但是我们查看内存时是以1byte为单位的,所以我们要转成4bytes来看内存才行。

在这里插入图片描述
.
.
第一种方法:
IDA直接调试,在step_2处下断点,查看v5,转4bytes,取49个单位77排列。下面三个框描述的都是一样的数据,记住要转32位int型,即dd类型!按77排列即可,可以看出第一排是1001111,后面继续往下看。
(这里用右键菜单data format调成4bytes和signed即可用±1简化显示。这里有个坑,我现在选择的是8列一行,但是如果选择auto自动或4列一行的话就会出错,好像是隐藏了一些列,然后导致整个地图就画错了,这里注意一下。)
在这里插入图片描述

总的地图就是:(借别人的图)
在这里插入图片描述

那么每一步走到1上面就是:

ssddwdwdddssaasasaaassddddwdds

.
.

第二种方法GDB动态调试,首先看汇编代码,v5给了eax寄存器,那么有确定的内存位置就可以直接打印内存了,如果不知道v5放在哪里的话是没办法打印内存的。这里v5给了rax和rdi,所以两个都可以查。
在这里插入图片描述

根据上图的汇编地址,断点断在564793D24AB0即可:(这是别人的图,我自己找不到断掉,知道用./80dw命令显示rax寄存器即可,w是双字,d是整数打印。)
在这里插入图片描述
.
.
.
总结:

1: 这里积累第一个经验:一进去看到一堆变量,三个自定义函数,跟踪进step_0看看代码。
发现对v7有超过[7]下标的操作,怀疑主函数中一堆变量是v7的数组分出来的,看了一下堆栈,发现是连续的,于是调整主函数栈中局部变量构造。

2:
这里积累第二个经验:一开始受前面一道EASYHOOK题目的影响,我以为这里会有类似的虚实代码替换。跟踪进去后发现step_1不断嵌套而且没有系统函数替换进程地址,判断不是HOOK。但是由于step_1函数不断的嵌套,而且是那种循环算法的嵌套,我又以为是Newbie_calculations这类有冗余代码代码需要自己简化函数的题目,结果发现也是错的,因为Newbie_calculations的冗余代码作用是消耗时间,而这题也没有消耗时间。
最后查了资料我才明白,这种step_0和step_1代码的确是算法,但是它们在用户输入命令之前,也就是说这些是系统自执行代码,是为程序渲染环境做前期准备用的,没有必要弄懂它。比如这里step_0和step_1是为程序做迷宫地图的,设计迷宫算法,弄懂它与解题没有太大关系,而且前期准备环境的算法函数也不会有故意出错的地方来设考点,毕竟考点是走迷宫。

3:
这里积累第三个经验:
第二个框表示送入v5作为最终地图,值得注意的是这个v5是int型的,v5也是数组,但是我们查看内存时是以1byte为单位的,所以我们要转成4bytes来看内存才行。
第一种方法:
IDA直接调试,在step_2处下断点,查看v5,转4bytes,取49个单位77排列。下面三个框描述的都是一样的数据,记住要转32位int型,即dd类型!按77排列即可,可以看出第一排是1001111,后面继续往下看。
(这里用右键菜单data format调成4bytes和signed即可用±1简化显示。这里有个坑,我现在选择的是8列一行,但是如果选择auto自动或4列一行的话就会出错,好像是隐藏了一些列,然后导致整个地图就画错了,这里注意一下。)

解毕!敬礼!

沐一 · 林
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界逆向WP,easy_Maze
Darclindy的博客
07-19 456
迷宫问参考:https://ctf-wiki.github.io/ctf-wiki/reverse/maze/maze/ 下载下来后发现是64位ELF文件,没有加壳。由文件名easy_Maze知道这是一个迷宫问,我们需要求出迷宫所存数组,以及在迷宫中行走对应的输入。拖入IDA,查找字符串交叉应用找到主函数,F5反编译发现主界面定义了51个连续变量,猜想这些变量极有可能就是迷宫的构成要素。除去变量,函数操作如下: 可以看到这里有三个函数,Step_0,Step_1,Step_2,应该就是对已.
xctf easy_Maze
weixin_43655690的博客
03-09 194
这是一道迷宫。 经过step_1,2是创建迷宫,step_3是走迷宫。进入step_3后发现: 使用了w、a、s、d表示上下左右,我们输入这四个字母对应正确的迷宫路径就是flag,那么得到迷宫就是关键了,我们可以直接在step_3设断点、调试时查看step_1、2运行后的迷宫。 然后写脚本得到迷宫 maze=[ 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0,
Re学习之攻防世界-easy_Maze
qq_43682582的博客
09-28 287
文章目录攻防世界-easy_Maze二、步骤总结 攻防世界-easy_Maze 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、步骤 查看文件类型,拖进Ubuntu,终端file命令 ida打开,找到main函数,F5查看伪代码,发现一共三个步骤 进入到Step_0() a3为主函数中的v7,a2=7,a1是主函数中的v9。继续分析代码,看的出来一共执行了49次,这说明了v9这个数组并不是如ida翻译的那样是个长度为7的数组,它后面的那些数据也应该是v9.
攻防世界Reverse进阶区-easy_Maze-writeup
y4ung
12-04 688
1. 介绍 本是xctf攻防世界中Reverse的进阶区的easy_Maze 2. 分析 $ file easy_Maze easy_Maze: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=0cb6db3836551a104de9a42d40
maze_Grid.zip_Maze grid_迷宫
09-21
用计算机生成迷宫是一个很有趣的任务。我们可以用 ? 道路网格(Road Grid)? ? 来表示迷宫的道路,那么 3 x 3 的 ? 道路网格? ( ? 图 -1 左? )可以对应一个 7 x 7 的 ? 渲染网格(Render Grid)? ——? 图 -1 右? 的方式(迷宫的墙是灰 色的,道路是白色的)
easy_Maze 攻防世界
re1wn
04-28 1468
easy_Maze 攻防世界
CTF逆向总结(二)
沐一 · 林 的博客
10-21 5608
CTF 逆向总结 非预期行为: 指解中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 不同系统的特殊数: 指解中遇到考察特定位数系统中特定的数的真实值的时候,需要辨认出对应的值才能继续解。如:32位系统中100000000就是0了 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 目类型总结: 目描述
re学习 (11)---攻防世界 maze(迷宫问
m0_66039322的博客
07-01 237
攻防世界
攻防世界逆向入门maze
沐一 · 林 的博客
08-17 708
攻防世界逆向入门maze 继续开启全栈梦想之逆向之旅~ 这攻防世界逆向入门maze 我本来以为我越过了新手区,本来想信心满满地自己做出一道,结果攻防世界还是给了我一个大巴掌。 附件下载扔入exeinpefo中查看信息: 64位ELF文件,无壳,先扔入IDA中查看伪代码判断目类型,再决定要不要在linux中运行: 从这里犯下第一个错误,我竟然对第一个判断语句的!=125的125不知所云,还去查了ASCII表,对后面的79,46这些竟然也想查。真的得给自己个一巴掌,flag基本都是字符和数字
攻防世界 easy_Maze
Bsecure的博客
05-04 1066
easy_Maze 这道还是挺好玩的. 由目我们能知道是关于迷宫的. 下载下来是elf文件, 查壳后无壳, 在linux下运行看看大概流程. 载入IDA, 先分析了接受我们输入的字符的函数. 知道在外面一层的主函数是先生成一个每行7个元素的数组. 然后通过我们输入的字符按控制在矩阵迷宫中走向, 最后按照规定的到达一个目的地. 接下来就是找生成那个矩阵了. 通过上面的49...
MAZE_TEST.zip_Java中maze_maze_maze java 迷宫_maze stack java_迷宫 jav
09-24
一个用java写的迷宫小程序,能自动生成迷宫,并使用深度优先和广度优先算法解迷宫
c.rar_c 语言_maze game
09-25
01迷宫,输入01矩阵的行和列,输出走出迷宫的路径数,递归实现
maze dfs.rar_dfs maze_dfs.zip_maze_maze DFS_mazedfs.zip
09-23
dfs 深度优先搜索!这是走迷宫的基本算法。用广义表建立迷宫,用邻接表建立图,用dfs搜索,许多大学的数据结构作业
maze-c.rar_binary_maze_迷宫 三元组
09-21
首先实现一个以链表作存储结构的栈类型,然后编写一个求解迷宫的非递归程序;求得的通路以三元组的形式输出
CTF复现
m0_73725283的博客
12-21 1009
流密码加密过程是使用初始密钥产生一个伪随机的密码流,为了防止密钥穷举,使用和明文信息一样长的密钥(无限)流进行加密,连续地处理输入元素序列(通常是用密码流和输入序列做异或运算),产生对应的连续输出序列(密文)。:有1,2,4,8这四个数字,可以通过加法来用这四个数字表示0-9中的任何一个数字,例如 0=28, 也就是0=2+8,同理7=124, 9=18。看了wp之后才理解了。由rsa解出flag=[5,11,0,6,8,18,19,7,8,18,8,18,21,4,17,24,4,0,18,24]
NSSCTF靶场练习---HNCTF2022Week3&4部分wp
Sciurdae的博客
12-05 1249
函数来获取DLL中某个导出函数的地址,在这里就是,加载Dll1.dll,来获取其中名为ttt的函数地址,之后将其保存在ProcAddress变量中。不过这不用怎么过,直接动态调试就好,断点下载11行main函数处,之后看汇编,在第一处exit处要跳过。加载了一个名为Dll1.dll的动态链接库,这个函数会返回一个模块的句柄hModule。IDA64打开,发现就是一个TEA加密,然后用dododo函数对v6(key)做了加密。之后就一直F8,直到程序打印出新的key就好了。先查壳,无壳,64bit。
CTF MISC系列————2、剧情大反转
Fly_鹏程万里
04-12 2023
目:解思路:联想到我们提交flag的格式为“flag{XXXX}”,在根据目“大反转”,所以将以上内容进行翻转即可:flag{w41c0me_t0_441~}
CTF easy_maze 一道简单的迷宫
yoyo_573的博客
08-15 2556
CTF easy_maze 一道简单的迷宫。 打开IDA进行分析。 定位到main函数 查看程序 在main函数中查看子方法 这里发现如是遇字母“o"则退出,查看unk_400AE0这个数组,知道了是大小是100。 大概知道了数字0通过,字母o中止,#是出口 查看程序和方法的具体含意 在main函数的 子函数sub_4007BC(&unk_601064, dword_601068); V3=j: 由于是1维数组,a1,a2分别表示个位数和10位数 v3=k时 这两个函数得到
“std::vector<std::vector<int>> &_maze”解释一下
最新发布
04-10
"std::vector<std::vector<int>> &_maze" 是一个引用类型的变量,它是一个二维向量(vector)的引用。在C++中,std::vector是一个动态数组容器,可以存储多个元素,并且可以根据需要自动调整大小。 在这个特定的情况下,_maze是一个二维向量,其中每个元素都是int类型的值。可以将_maze看作是一个迷宫的表示,其中每个元素代表迷宫中的一个位置。int类型的值可以表示不同的状态,比如墙壁、通道、起点、终点等。 使用引用类型的变量可以避免对_maze进行复制,而是直接操作原始的二维向量。这样可以提高效率并减少内存消耗。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值