[2019红帽杯]Snake

题目:[2019红帽杯]Snake

0x01 分析

程序是个unity游戏。
[2019红帽杯]Snake_第1张图片
把Snake\Snake_Data\Managed目录下的Assembly-CSharp.dll放到dnSpy里面反汇编看看,发现了导入外部interface动态链接库,且GameObject主函数就在这个库中。
[2019红帽杯]Snake_第2张图片
现在来看看这个函数是如何被使用的,选中GameObject函数,右键点击分析,弹出的分析器中双击可以看出向这个函数传入了一个坐标参数。
[2019红帽杯]Snake_第3张图片
找到Plugins下的Interface
[2019红帽杯]Snake_第4张图片
是个用C++写的64位动态链接库。
[2019红帽杯]Snake_第5张图片
ida64查看,在string窗口看到这个
在这里插入图片描述
定位,是在函数GameObject中。
[2019红帽杯]Snake_第6张图片
这个函数只有一个参数a1(x坐标)传入,传入的a1范围如果在0到99之间就能输出flag。

既然是个C++写的动态链接库,不妨写个程序导入这个动态链接库爆破一下。

0x02 EXP

1. exp by C:

动态调用dll:

这边有个坑,就是一个64位进程不能加载一个32位dll,同理一个32位进程也不能加载一个64位dll。interface.dll是64位的,所以我们要设置一下编译器的支持平台为64位,不然LoadLibrary函数会一直返回null。
——参考:LoadLibrary加载动态库失败的可能原因以及解决方案

以vs2017为例,右键点击你的解决方案,进入属性。
[2019红帽杯]Snake_第7张图片
属性界面平台改成x64即可。
在这里插入图片描述
把interface.dll放在exp所在目录下(也可以自行设置路径),运行一下exp,等一段时间就可看到flag:

#include<iostream>
#include<Windows.h>
#include"defs.h"//ida自带的头文件
//函数指针
typedef signed __int64(*Dllfunc)(int);
using namespace std;
int main()
{
     
	Dllfunc GameObject;//GameObject是dll中想要调用的函数名称
	HINSTANCE hdll = NULL;
	hdll = LoadLibrary(TEXT("Interface.dll"));//用LoadLibrary加载dll								
	if (hdll == NULL)
	{
     
		cout << "加载失败\n";
	}
	else
	{
     
		GameObject = (Dllfunc)GetProcAddress(hdll, "GameObject");//到dll中定位函数
		if (GameObject == NULL)
		{
     
			cout << "加载函数失败\n";
		}
		else
		{
     
			for (int i = 0; i <= 99; i++)
			{
     
				signed __int64 res = GameObject(i);
			}
		}
	}
	FreeLibrary(hdll);//释放dll
	return 0;
}

[2019红帽杯]Snake_第8张图片

2. exp by Python:

相比于C的exp,用python内置的ctypes模块导入dll更加简单:

import ctypes
dll = ctypes.cdll.LoadLibrary("E:\\CTF_project\\BUUCTF\\0427-[2019红帽杯]Snake\\Snake\\Snake_Data\\Plugins\\Interface.dll")#导入库
for i in range(100):
    dll.GameObject(i)#调用库函数
    print(i)

[2019红帽杯]Snake_第9张图片

0x03 flag

flag{
     Ch4rp_W1th_R$@}

你可能感兴趣的:(CTF,c++,dll,游戏,python,安全)