当前位置：首页 > news >正文

BUUCTF Reverse/[2019红帽杯]Snake

news 2025/9/14 17:51:52

BUUCTF Reverse/[2019红帽杯]Snake

下载解压缩后得到可执行文件，而且有一个unity的应用程序，应该是用unity编写的游戏

打开是一个贪吃蛇游戏

用.NET Reflector打开Assembly-CSharp.dll。（unity在打包后，会将所有的代码打进一个Assembly-CSharp.dll的文件里面，通过这个文件的反编译，就是详细看见里面的代码内容）

一个unity引擎写的贪吃蛇游戏，功能挺齐全的，看代码里，C#,和C++都有
搜索知道unity有两个主要特点，程序代码会打包进Assemblely-CSharp.dll库文件下，他主要储存这文件间的相互联系与文件所包含函数，其中gameobject()是用来创建对象的函数包含该函数的模块文件即为游戏的入口，可以看到在Interface下

把Snake\Snake_Data\Managed目录下的Assembly-CSharp.dll放到dnSpy里面反汇编看看，发现了导入外部interface动态链接库，且GameObject主函数就在这个库中。

现在来看看这个函数是如何被使用的，选中GameObject函数，右键点击分析，弹出的分析器中双击可以看出向这个函数传入了一个坐标参数。

找到Plugins下的Interface

是个用C++写的64位动态链接库。

ida64查看，在string窗口看到这个

查壳发现该文件为C++编写，不能用dnspy打开，换回ida

定位，是在函数GameObject中。

反编译GameObject函数，这个函数的逻辑看似很复杂，但是我们注意到这个函数只有一个参数a1（x坐标）传入，传入的a1范围如果在0到99之间就能输出flag。既然是个C++写的动态链接库，不妨写个程序导入这个动态链接库爆破一下。

查壳发现该文件为C++编写，不能用dnspy打开，换回ida
通过定位很容易发现主函数，且刚好位于GameObject()函数下，看到有几个大整数，并且有两次flag提醒，开始以为是RSA,但好像不是，运算比较复杂，师傅说可以直接调用dll函数进行爆破，在函数头我们可以发现确实有一个a1参数被传入

0x02 EXP
1. exp by C:

动态调用dll：

这边有个坑，就是一个64位进程不能加载一个32位dll，同理一个32位进程也不能加载一个64位dll。interface.dll是64位的，所以我们要设置一下编译器的支持平台为64位，不然LoadLibrary函数会一直返回null。
——参考：LoadLibrary加载动态库失败的可能原因以及解决方案
以vs2017为例，右键点击你的解决方案，进入属性。

#include<iostream>
#include<Windows.h>
#include"defs.h"//ida自带的头文件
//函数指针
typedef signed __int64(*Dllfunc)(int);
using namespace std;
int main()
{Dllfunc GameObject;//GameObject是dll中想要调用的函数名称HINSTANCE hdll = NULL;hdll = LoadLibrary(TEXT("Interface.dll"));//用LoadLibrary加载dll								if (hdll == NULL){cout << "加载失败\n";}else{GameObject = (Dllfunc)GetProcAddress(hdll, "GameObject");//到dll中定位函数if (GameObject == NULL){cout << "加载函数失败\n";}else{for (int i = 0; i <= 99; i++){signed __int64 res = GameObject(i);}}}FreeLibrary(hdll);//释放dllreturn 0;
}

小技巧：利用python内置的ctypes模块导入dll

python ctypes模块：

模块ctypes是Python内建的用于调用动态链接库函数的功能模块，一定程度上可以用于Python与其他语言的混合编程。由于编写动态链接库，使用C/C++是最常见的方式，故ctypes最常用于Python与C/C++混合编程之中。

flag{Ch4rp_W1th_R$@}

import ctypes
dll = ctypes.cdll.LoadLibrary("文件路径\\Interface.dll")#导入库
for i in range(100):dll.GameObject(i)#调用库函数print(i)

学到两点：

一是unity框架的定位
二是dll函数的调用

BUUCTF Reverse/[2019红帽杯]Snake

BUUCTF Reverse/[2019红帽杯]Snake

相关文章：

BUUCTF Reverse/[2019红帽杯]Snake

概率论相关题型

C#中的Attribute详解（上）

天津医科大学临床医学院专升本药学专业有机化学考试大纲

电脑开机自动断电，简单4招，快速解决！

线程基础知识（三）

elasticsearch系列七：聚合查询

SQL面试题挑战11：访问会话切割

2023“楚怡杯”湖南省赛“信息安全管理与评估“--应急响应（高职组）

【Python百宝箱】Python引领制造变革：CAM技术全景解析与实战指南

【新版Hi3559AV100 旗舰8K30 AI摄像机芯片】

小样本学习idea（不断更新）

表情包搜索网站

Linux账号和权限管理

Qt/QML编程学习之心得：QML和C++的相互调用（十五）

月入10.5K，专科小伙转行网优：据说每个领域都有一个“显眼包”

Python自动化测试：选择最佳的自动化测试框架

Ubuntu16.04 安装Anaconda

MR实战：统计总分与平均分

Redux与React环境准备、实现counter（及传参）、异步获取数据

国防科技大学计算机基础课程笔记02信息编码

Leetcode 3576. Transform Array to All Equal Elements

质量体系的重要

CocosCreator 之 JavaScript/TypeScript和Java的相互交互

新能源汽车智慧充电桩管理方案：新能源充电桩散热问题及消防安全监管方案

微服务商城-商品微服务

STM32HAL库USART源代码解析及应用

在 Spring Boot 项目里，MYSQL中json类型字段使用

沙箱虚拟化技术虚拟机容器之间的关系详解

GraphQL 实战篇：Apollo Client 配置与缓存