[CTF题目总结-Reverse篇]Reversing.Kr:FPS

2023-11-20 21:59

本文主要是介绍[CTF题目总结-Reverse篇]Reversing.Kr:FPS,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

    • 一、题目分析
    • 二、具体思路
    • 三、题目总结

Reverse is a cup of hot tea ,we need to drink it slowly.

:创造是极客唯一的属性

一、题目分析

一个枪战游戏,试玩发现场景内很多“潇洒哥”并且可以被清除。但是游戏体验不佳(20-30枪才能打死一个“潇洒哥”以及移动速度慢)。
IDA载入分析程序逻辑:
前面一大堆代码都是在载入图片并初始化场景,可以直接跳过。
然后在8F90和F6B0地址空间初始化48个“潇洒哥”对象内存和2个不死对象内存(每个占据528字节),并进入windows桌面程序的消息循环机制(PeekMessage),从这里我们就走到核心逻辑了。
通过关键字符串“Game Over! You are dead"找到血量判断节点块,然后找到通过跳转分支顺藤摸瓜进入flag显示节点块。很自然猜到"Game Clear!"后的参数就是flag,然而是一段乱码。
查看交叉引用发现对flag有异或,相应异或字节为各“潇洒哥”对象的第500个内存字节,这些字节内容是动态写入的(起码得在“潇洒哥”被初始化之后吧!),那么运行程序并写个IDC脚本打印字节内容(规律是4*i(0<=i<=49)),最后再写个脚本进行异或就得到flag。
然而flag只能算作小菜,crack才是目标。
所以在“具体思路”环节我会根据自己的理解把整个程序的逻辑理顺,并加入一些额外却很有趣的逆向破解(无限血量、一秒清怪)。

FPS运行时画面:
在这里插入图片描述
在这里插入图片描述

二、具体思路

说明:
1.共有48个“潇洒哥”对象和2个不死对象,但本着语言简洁的原则,后文会一直用“潇洒哥”统称这50个对象。
2.由于IDA每次运行程序的基址都有所不同,故后文的地址都是RVA(即绝对地址后四位)

IDA载入分析节点块功能:
1.场景初始化。建造矩形块,注册窗口
在这里插入图片描述
可以看到图片对象所占内存从7060到8D90延伸,并且每个占0x200个字节。(底下12张图片加载过程恰好与之对应,前面三张图片的初始化则另说。)
在这里插入图片描述

2.对48个“潇洒哥”和2个不死对象(估计是韩国女明星的画像和中间那个蒙古包)进行初始化:起始地址为8F90,结束地址为F6B0,占据0x210个字节空间。
为方便记忆,把起始地址字符串改为“monsterStart_FA8F90”,结束地址字符串改为“monsterEnd_FAF6B0”。
在这里插入图片描述

3.这里开始进入消息循环。
在这里插入图片描述

4.根据关键字符串“Game Over! You are dead”可以判定字节7020即为血量,同时另一节点块“loc_FA2F4C”就通向胜利,也就是说,flag在这里!
同样,把血量字符串改为“myHP_FA7020”。
在这里插入图片描述
5.跟进到关键过程sub_FA39C0,很显然“Game clear”之后的参数asc_FA7028就是flag。从9194到F8B4进行50次比较,若每个比较字节皆不为1(即0)则打印flag,据此可判定每个“潇洒哥”对象的第516个字节为其活着的凭证——1则活,0则死(0x9194-0x8F90=516)。
但是flag是一段乱码,查看交叉引用发现有异或操作,然而手动修改“潇洒哥”内存并没有触发此异或(得不到正确的结果),故而我们只好自己去内存里查看对应的异或字节流并进行脚本异或了。
修改第一个“潇洒哥”生命字符串为“monsterHPStart_FA9194”,最后一个不死对象生命字符串为“monsterHPEnd_FAF8B4”,flag字符串为“flag_FA7028”。

在这里插入图片描述
在这里插入图片描述

6.根据交叉引用进入到过程sub_FA3400。这里负责完成“killing 潇洒哥”和flag字节异或,根据偏移量可以判定异或字节为每个“潇洒哥”对象的第500个字节。由于“潇洒哥”对象是在运行时被初始化的,故而我们无法静态分析出flag。
那么下个断点运行程序,用IDC脚本dump下内存。
在这里插入图片描述
7.dump出结果如下:每个字节值形如4*i(0<=i<=50)(不好意思,到这里地址前缀就突然变为17了,我只是运行了一遍ORZ)
在这里插入图片描述
8.其实不用dump也可以,直接IDC异或就可以跑出flag,如下:
在这里插入图片描述
9.flag已经找到,接下来我们分析下剩余的程序逻辑并开个外挂。
逐一判断50个对象是否死亡,如果仍然活着则可与玩家发生碰触(估计碰触逻辑在2390和2460两个过程中实现),“潇洒哥”每与玩家碰触一次,玩家HP-2。
那么想要无限血量的话,我们修改这里的2为0即可。
在这里插入图片描述

可以看到玩家已经和“潇洒哥”缠绵在一起了,然而血量还是纹丝不动。真乃“风雨不动安入山”。
在这里插入图片描述
10.这里是开枪逻辑,开枪有后坐力和音效,并且前者和后两者之间是有时间间隔的。
在这里插入图片描述

11.最后我们来个瞬时清怪吧,其实也很简单,写个脚本把所有“潇洒哥”直接kill就行了。注意不能把50个对象全杀掉,因为那会导致游戏直接结束。
而且我发现这个游戏是有怒气/buff加成的,每杀掉一个“潇洒哥”会增加自身移动速度以及提升攻击力,具体表现为:
a.开始走路如蜗牛,到最后简直是健步如飞了。
b.击杀一个“潇洒哥”开始需要20多枪,最后只需3枪。
在这里插入图片描述

三、题目总结

这个题让我第一次真正见识到IDA的强大,从此弃坑od。

这篇关于[CTF题目总结-Reverse篇]Reversing.Kr:FPS的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/397751

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的

二分最大匹配总结

HDU 2444  黑白染色 ,二分图判定 const int maxn = 208 ;vector<int> g[maxn] ;int n ;bool vis[maxn] ;int match[maxn] ;;int color[maxn] ;int setcolor(int u , int c){color[u] = c ;for(vector<int>::iter

整数Hash散列总结

方法:    step1  :线性探测  step2 散列   当 h(k)位置已经存储有元素的时候,依次探查(h(k)+i) mod S, i=1,2,3…,直到找到空的存储单元为止。其中,S为 数组长度。 HDU 1496   a*x1^2+b*x2^2+c*x3^2+d*x4^2=0 。 x在 [-100,100] 解的个数  const int MaxN = 3000

状态dp总结

zoj 3631  N 个数中选若干数和(只能选一次)<=M 的最大值 const int Max_N = 38 ;int a[1<<16] , b[1<<16] , x[Max_N] , e[Max_N] ;void GetNum(int g[] , int n , int s[] , int &m){ int i , j , t ;m = 0 ;for(i = 0 ;

题目1254:N皇后问题

题目1254:N皇后问题 时间限制:1 秒 内存限制:128 兆 特殊判题:否 题目描述: N皇后问题,即在N*N的方格棋盘内放置了N个皇后,使得它们不相互攻击(即任意2个皇后不允许处在同一排,同一列,也不允许处在同一斜线上。因为皇后可以直走,横走和斜走如下图)。 你的任务是,对于给定的N,求出有多少种合法的放置方法。输出N皇后问题所有不同的摆放情况个数。 输入

题目1380:lucky number

题目1380:lucky number 时间限制:3 秒 内存限制:3 兆 特殊判题:否 提交:2839 解决:300 题目描述: 每个人有自己的lucky number,小A也一样。不过他的lucky number定义不一样。他认为一个序列中某些数出现的次数为n的话,都是他的lucky number。但是,现在这个序列很大,他无法快速找到所有lucky number。既然

go基础知识归纳总结

无缓冲的 channel 和有缓冲的 channel 的区别? 在 Go 语言中,channel 是用来在 goroutines 之间传递数据的主要机制。它们有两种类型:无缓冲的 channel 和有缓冲的 channel。 无缓冲的 channel 行为:无缓冲的 channel 是一种同步的通信方式,发送和接收必须同时发生。如果一个 goroutine 试图通过无缓冲 channel

9.8javaweb项目总结

1.主界面用户信息显示 登录成功后,将用户信息存储在记录在 localStorage中,然后进入界面之前通过js来渲染主界面 存储用户信息 将用户信息渲染在主界面上,并且头像设置跳转,到个人资料界面 这里数据库中还没有设置相关信息 2.模糊查找 检测输入框是否有变更,有的话调用方法,进行查找 发送检测请求,然后接收的时候设置最多显示四个类似的搜索结果