BUUCTF Reverse/[2019红帽杯]Snake
下载解压缩后得到可执行文件,而且有一个unity的应用程序,应该是用unity编写的游戏
打开是一个贪吃蛇游戏
用.NET Reflector打开Assembly-CSharp.dll。(unity在打包后,会将所有的代码打进一个Assembly-CSharp.dll的文件里面,通过这个文件的反编译,就是详细看见里面的代码内容)
一个unity引擎写的贪吃蛇游戏,功能挺齐全的,看代码里,C#,和C++都有
搜索知道unity有两个主要特点,程序代码会打包进Assemblely-CSharp.dll库文件下,他主要储存这文件间的相互联系与文件所包含函数,其中gameobject()是用来创建对象的函数包含该函数的模块文件即为游戏的入口,可以看到在Interface下
把Snake\Snake_Data\Managed目录下的Assembly-CSharp.dll放到dnSpy里面反汇编看看,发现了导入外部interface动态链接库,且GameObject主函数就在这个库中。
现在来看看这个函数是如何被使用的,选中GameObject函数,右键点击分析,弹出的分析器中双击可以看出向这个函数传入了一个坐标参数。
找到Plugins下的Interface
是个用C++写的64位动态链接库。
ida64查看,在string窗口看到这个
查壳发现该文件为C++编写,不能用dnspy打开,换回ida
定位,是在函数GameObject中。
反编译GameObject函数,这个函数的逻辑看似很复杂,但是我们注意到这个函数只有一个参数a1(x坐标)传入,传入的a1范围如果在0到99之间就能输出flag。既然是个C++写的动态链接库,不妨写个程序导入这个动态链接库爆破一下。
查壳发现该文件为C++编写,不能用dnspy打开,换回ida
通过定位很容易发现主函数,且刚好位于GameObject()函数下,看到有几个大整数,并且有两次flag提醒,开始以为是RSA,但好像不是,运算比较复杂,师傅说可以直接调用dll函数进行爆破,在函数头我们可以发现确实有一个a1参数被传入
0x02 EXP
1. exp by C:
动态调用dll:
这边有个坑,就是一个64位进程不能加载一个32位dll,同理一个32位进程也不能加载一个64位dll。interface.dll是64位的,所以我们要设置一下编译器的支持平台为64位,不然LoadLibrary函数会一直返回null。
——参考:LoadLibrary加载动态库失败的可能原因以及解决方案
以vs2017为例,右键点击你的解决方案,进入属性。
#include<iostream>
#include<Windows.h>
#include"defs.h"//ida自带的头文件
//函数指针
typedef signed __int64(*Dllfunc)(int);
using namespace std;
int main()
{
Dllfunc GameObject;//GameObject是dll中想要调用的函数名称
HINSTANCE hdll = NULL;
hdll = LoadLibrary(TEXT("Interface.dll"));//用LoadLibrary加载dll
if (hdll == NULL)
{
cout << "加载失败\n";
}
else
{
GameObject = (Dllfunc)GetProcAddress(hdll, "GameObject");//到dll中定位函数
if (GameObject == NULL)
{
cout << "加载函数失败\n";
}
else
{
for (int i = 0; i <= 99; i++)
{
signed __int64 res = GameObject(i);
}
}
}
FreeLibrary(hdll);//释放dll
return 0;
}
小技巧:利用python内置的ctypes模块导入dll
python ctypes模块:
模块ctypes是Python内建的用于调用动态链接库函数的功能模块,一定程度上可以用于Python与其他语言的混合编程。由于编写动态链接库,使用C/C++是最常见的方式,故ctypes最常用于Python与C/C++混合编程之中。
flag{Ch4rp_W1th_R$@}
import ctypes dll = ctypes.cdll.LoadLibrary("文件路径\\Interface.dll")#导入库 for i in range(100): dll.GameObject(i)#调用库函数 print(i)
学到两点:
- 一是unity框架的定位
- 二是dll函数的调用
