[2019红帽杯]Snake

题目：[2019红帽杯]Snake

0x01 分析

程序是个unity游戏。

把Snake\Snake_Data\Managed目录下的Assembly-CSharp.dll放到dnSpy里面反汇编看看，发现了导入外部interface动态链接库，且GameObject主函数就在这个库中。

现在来看看这个函数是如何被使用的，选中GameObject函数，右键点击分析，弹出的分析器中双击可以看出向这个函数传入了一个坐标参数。

找到Plugins下的Interface

是个用C++写的64位动态链接库。

ida64查看，在string窗口看到这个

定位，是在函数GameObject中。

这个函数只有一个参数a1（x坐标）传入，传入的a1范围如果在0到99之间就能输出flag。

既然是个C++写的动态链接库，不妨写个程序导入这个动态链接库爆破一下。

0x02 EXP

1. exp by C:

动态调用dll：

这边有个坑，就是一个64位进程不能加载一个32位dll，同理一个32位进程也不能加载一个64位dll。interface.dll是64位的，所以我们要设置一下编译器的支持平台为64位，不然LoadLibrary函数会一直返回null。
——参考：LoadLibrary加载动态库失败的可能原因以及解决方案

以vs2017为例，右键点击你的解决方案，进入属性。

属性界面平台改成x64即可。

把interface.dll放在exp所在目录下（也可以自行设置路径），运行一下exp，等一段时间就可看到flag：

#include<iostream>
#include<Windows.h>
#include"defs.h"//ida自带的头文件
//函数指针
typedef signed __int64(*Dllfunc)(int);
using namespace std;
int main()
{
     
	Dllfunc GameObject;//GameObject是dll中想要调用的函数名称
	HINSTANCE hdll = NULL;
	hdll = LoadLibrary(TEXT("Interface.dll"));//用LoadLibrary加载dll								
	if (hdll == NULL)
	{
     
		cout << "加载失败\n";
	}
	else
	{
     
		GameObject = (Dllfunc)GetProcAddress(hdll, "GameObject");//到dll中定位函数
		if (GameObject == NULL)
		{
     
			cout << "加载函数失败\n";
		}
		else
		{
     
			for (int i = 0; i <= 99; i++)
			{
     
				signed __int64 res = GameObject(i);
			}
		}
	}
	FreeLibrary(hdll);//释放dll
	return 0;
}

2. exp by Python:

相比于C的exp，用python内置的ctypes模块导入dll更加简单：

import ctypes
dll = ctypes.cdll.LoadLibrary("E:\\CTF_project\\BUUCTF\\0427-[2019红帽杯]Snake\\Snake\\Snake_Data\\Plugins\\Interface.dll")#导入库
for i in range(100):
    dll.GameObject(i)#调用库函数
    print(i)

0x03 flag

flag{
     Ch4rp_W1th_R$@}