[HGAME 2023 week3]kunmusicin

demo41發表於2024-06-18

GAM

這道題挺好玩的，坑了我幾下，記錄一下

題目

下載得到3個檔案

exe開啟，不同按鈕發出不同聲音，除此之外就沒有其他東西了

exe-Die

exe-IDA

main函式，沒有找到“唱”“跳”“籃球”之類的關鍵字串

因為爆紅，所以動調了一下，也沒發現什麼東西

string視窗也沒有找到關鍵詞語

所以我打算去看看dll檔案，在之前做過的題目中，有發現dll中含有程式的關鍵程式碼

dll-Die

我看到了NET，後面會用ILSpy或者dnSpy開啟

我先拖到IDA中看一眼

dll-IDA

string視窗

看來這個dll就是關鍵了

dll-dnSpy

發現入口點就是mian函式，直接雙擊進去

byte[] data = Resources.data; 可以看出data是一個被呼叫的資源

下面的異或操作式對資源的解密

那找找資源中的data

右鍵-->直接儲存

根據main函式的解密邏輯，寫一個解密指令碼

f=open("data",'rb')
f1=open('111','wb')
data=f.read()
for i in data:
    f1.write(bytes([i^104]))

得到一個111

111-Die

是一個PE，又看到了NET

111-ILSpy

這次用ILSpy開啟，因為dnSpy開啟有點醜，沒有ILSpy清晰

在這個位置，往下翻

if條件特別多，一看就是要用z3

下面還有一個異或操作

EXP

這個exp我瘋狂踩坑.....

最初指令碼

from z3 import *
s=Solver()
num=[BitVec(('num[%d]'%i),8)for i in range(13)]
s.add(num[0] + 52296 + num[1] - 26211 + num[2] - 11754 + (num[3] ^ 0xA114) + num[4] * 63747 + num[5] - 52714 + num[6] - 10512 + num[7] * 12972 + num[8] + 45505 + num[9] - 21713 + num[10] - 59122 + num[11] - 12840 + (num[12] ^ 0x525F) == 12702282)
s.add(num[0] - 25228 + (num[1] ^ 0x50DB) + (num[2] ^ 0x1FDE) + num[3] - 65307 + num[4] * 30701 + num[5] * 47555 + num[6] - 2557 + (num[7] ^ 0xBF9F) + num[8] - 7992 + (num[9] ^ 0xE079) + (num[10] ^ 0xE052) + num[11] + 13299 + num[12] - 50966 == 9946829)
s.add(num[0] - 64801 + num[1] - 60698 + num[2] - 40853 + num[3] - 54907 + num[4] + 29882 + (num[5] ^ 0x3506) + (num[6] ^ 0x533E) + num[7] + 47366 + num[8] + 41784 + (num[9] ^ 0xD1BA) + num[10] * 58436 + num[11] * 15590 + num[12] + 58225 == 2372055)
s.add(num[0] + 61538 + num[1] - 17121 + num[2] - 58124 + num[3] + 8186 + num[4] + 21253 + num[5] - 38524 + num[6] - 48323 + num[7] - 20556 + num[8] * 56056 + num[9] + 18568 + num[10] + 12995 + (num[11] ^ 0x995C) + num[12] + 25329 == 6732474)
s.add(num[0] - 42567 + num[1] - 17743 + num[2] * 47827 + num[3] - 10246 + (num[4] ^ 0x3F9C) + num[5] + 39390 + num[6] * 11803 + num[7] * 60332 + (num[8] ^ 0x483B) + (num[9] ^ 0x12BB) + num[10] - 25636 + num[11] - 16780 + num[12] - 62345 == 14020739)
s.add(num[0] - 10968 + num[1] - 31780 + (num[2] ^ 0x7C71) + num[3] - 61983 + num[4] * 31048 + num[5] * 20189 + num[6] + 12337 + num[7] * 25945 + (num[8] ^ 0x1B98) + num[9] - 25369 + num[10] - 54893 + num[11] * 59949 + (num[12] ^ 0x3099) == 14434062)
s.add(num[0] + 16689 + num[1] - 10279 + num[2] - 32918 + num[3] - 57155 + num[4] * 26571 + num[5] * 15086 + (num[6] ^ 0x59CA) + (num[7] ^ 0x5B35) + (num[8] ^ 0x3FFD) + (num[9] ^ 0x5A85) + num[10] - 40224 + num[11] + 31751 + num[12] * 8421 == 7433598)
s.add(num[0] + 28740 + num[1] - 64696 + num[2] + 60470 + num[3] - 14752 + (num[4] ^ 0x507) + (num[5] ^ 0x89C8) + num[6] + 49467 + num[7] - 33788 + num[8] + 20606 + (num[9] ^ 0xAF4A) + num[10] * 19764 + num[11] + 48342 + num[12] * 56511 == 7989404)
s.add((num[0] ^ 0x7132) + num[1] + 23120 + num[2] + 22802 + num[3] * 31533 + (num[4] ^ 0x9977) + num[5] - 48576 + (num[6] ^ 0x6F7E) + num[7] - 43265 + num[8] + 22365 + num[9] + 61108 + num[10] * 2823 + num[11] - 30343 + num[12] + 14780 == 3504803)
s.add(num[0] * 22466 + (num[1] ^ 0xDABF) + num[2] - 53658 + (num[3] ^ 0xB838) + (num[4] ^ 0x30DF) + num[5] * 59807 + num[6] + 46242 + num[7] + 3052 + (num[8] ^ 0x62BF) + num[9] + 30202 + num[10] * 22698 + num[11] + 33480 + (num[12] ^ 0x4175) == 11003580)
s.add(num[0] * 57492 + (num[1] ^ 0x346D) + num[2] - 13941 + (num[3] ^ 0xBBDC) + num[4] * 38310 + num[5] + 9884 + num[6] - 45500 + num[7] - 19233 + num[8] + 58274 + num[9] + 36175 + (num[10] ^ 0x4888) + num[11] * 49694 + (num[12] ^ 0x2501) == 25546210)
s.add(num[0] - 23355 + num[1] * 50164 + (num[2] ^ 0x873A) + num[3] + 52703 + num[4] + 36245 + num[5] * 46648 + (num[6] ^ 0x12FA) + (num[7] ^ 0xA376) + num[8] * 27122 + (num[9] ^ 0xA44A) + num[10] * 15676 + num[11] - 31863 + num[12] + 62510 == 11333836)
s.add(num[0] * 30523 + (num[1] ^ 0x1F36) + num[2] + 39058 + num[3] * 57549 + (num[4] ^ 0xD0C0) + num[5] * 4275 + num[6] - 48863 + (num[7] ^ 0xD88C) + (num[8] ^ 0xA40) + (num[9] ^ 0x3554) + num[10] + 62231 + num[11] + 19456 + num[12] - 13195 == 13863722)

if s.check() == sat:
   print(s.model())

num[7]=23
num[1]=66
num[11]=131
num[5]=174
num[10]=153
num[9]=239
num[8]=252
num[4]=149
num[6]=218
num[3]=6
num[12]=74
num[2]=160
num[0]=168

key=[
   132, 47, 180, 7, 216, 45, 68, 6, 39, 246,
   124, 2, 243, 137, 58, 172, 53, 200, 99, 91,
   83, 13, 171, 80, 108, 235, 179, 58, 176, 28,
   216, 36, 11, 80, 39, 162, 97, 58, 236, 130,
   123, 176, 24, 212, 56, 89, 72
]

flag=''
for i in range(len(key)):
   flag += chr((key[i]^num[i%13])&0xFF)

print(flag)

執行結果：

以為是我方程少了東西，仔細檢查幾遍後發現沒有問題，一頭霧水的卡了

看了其他師傅的wp

發現是我條件不夠，這裡還要加上下面的條件

s.add(num[0]==ord('h')^key[0])
s.add(num[1]==ord('g')^key[1])
s.add(num[2]==ord('a')^key[2])
s.add(num[3]==ord('m')^key[3])
s.add(num[4]==ord('e')^key[4])
s.add(num[5]==ord('{')^key[5])

這個比賽flag的提交格式是hgame{}，要把前面的也約束上

加上約束條件後指令碼如下

from z3 import *
key=[
   132, 47, 180, 7, 216, 45, 68, 6, 39, 246,
   124, 2, 243, 137, 58, 172, 53, 200, 99, 91,
   83, 13, 171, 80, 108, 235, 179, 58, 176, 28,
   216, 36, 11, 80, 39, 162, 97, 58, 236, 130,
   123, 176, 24, 212, 56, 89, 72
]

s=Solver()
num=[BitVec(('num[%d]'%i),8)for i in range(13)]
s.add(num[0] + 52296 + num[1] - 26211 + num[2] - 11754 + (num[3] ^ 0xA114) + num[4] * 63747 + num[5] - 52714 + num[6] - 10512 + num[7] * 12972 + num[8] + 45505 + num[9] - 21713 + num[10] - 59122 + num[11] - 12840 + (num[12] ^ 0x525F) == 12702282)
s.add(num[0] - 25228 + (num[1] ^ 0x50DB) + (num[2] ^ 0x1FDE) + num[3] - 65307 + num[4] * 30701 + num[5] * 47555 + num[6] - 2557 + (num[7] ^ 0xBF9F) + num[8] - 7992 + (num[9] ^ 0xE079) + (num[10] ^ 0xE052) + num[11] + 13299 + num[12] - 50966 == 9946829)
s.add(num[0] - 64801 + num[1] - 60698 + num[2] - 40853 + num[3] - 54907 + num[4] + 29882 + (num[5] ^ 0x3506) + (num[6] ^ 0x533E) + num[7] + 47366 + num[8] + 41784 + (num[9] ^ 0xD1BA) + num[10] * 58436 + num[11] * 15590 + num[12] + 58225 == 2372055)
s.add(num[0] + 61538 + num[1] - 17121 + num[2] - 58124 + num[3] + 8186 + num[4] + 21253 + num[5] - 38524 + num[6] - 48323 + num[7] - 20556 + num[8] * 56056 + num[9] + 18568 + num[10] + 12995 + (num[11] ^ 0x995C) + num[12] + 25329 == 6732474)
s.add(num[0] - 42567 + num[1] - 17743 + num[2] * 47827 + num[3] - 10246 + (num[4] ^ 0x3F9C) + num[5] + 39390 + num[6] * 11803 + num[7] * 60332 + (num[8] ^ 0x483B) + (num[9] ^ 0x12BB) + num[10] - 25636 + num[11] - 16780 + num[12] - 62345 == 14020739)
s.add(num[0] - 10968 + num[1] - 31780 + (num[2] ^ 0x7C71) + num[3] - 61983 + num[4] * 31048 + num[5] * 20189 + num[6] + 12337 + num[7] * 25945 + (num[8] ^ 0x1B98) + num[9] - 25369 + num[10] - 54893 + num[11] * 59949 + (num[12] ^ 0x3099) == 14434062)
s.add(num[0] + 16689 + num[1] - 10279 + num[2] - 32918 + num[3] - 57155 + num[4] * 26571 + num[5] * 15086 + (num[6] ^ 0x59CA) + (num[7] ^ 0x5B35) + (num[8] ^ 0x3FFD) + (num[9] ^ 0x5A85) + num[10] - 40224 + num[11] + 31751 + num[12] * 8421 == 7433598)
s.add(num[0] + 28740 + num[1] - 64696 + num[2] + 60470 + num[3] - 14752 + (num[4] ^ 0x507) + (num[5] ^ 0x89C8) + num[6] + 49467 + num[7] - 33788 + num[8] + 20606 + (num[9] ^ 0xAF4A) + num[10] * 19764 + num[11] + 48342 + num[12] * 56511 == 7989404)
s.add((num[0] ^ 0x7132) + num[1] + 23120 + num[2] + 22802 + num[3] * 31533 + (num[4] ^ 0x9977) + num[5] - 48576 + (num[6] ^ 0x6F7E) + num[7] - 43265 + num[8] + 22365 + num[9] + 61108 + num[10] * 2823 + num[11] - 30343 + num[12] + 14780 == 3504803)
s.add(num[0] * 22466 + (num[1] ^ 0xDABF) + num[2] - 53658 + (num[3] ^ 0xB838) + (num[4] ^ 0x30DF) + num[5] * 59807 + num[6] + 46242 + num[7] + 3052 + (num[8] ^ 0x62BF) + num[9] + 30202 + num[10] * 22698 + num[11] + 33480 + (num[12] ^ 0x4175) == 11003580)
s.add(num[0] * 57492 + (num[1] ^ 0x346D) + num[2] - 13941 + (num[3] ^ 0xBBDC) + num[4] * 38310 + num[5] + 9884 + num[6] - 45500 + num[7] - 19233 + num[8] + 58274 + num[9] + 36175 + (num[10] ^ 0x4888) + num[11] * 49694 + (num[12] ^ 0x2501) == 25546210)
s.add(num[0] - 23355 + num[1] * 50164 + (num[2] ^ 0x873A) + num[3] + 52703 + num[4] + 36245 + num[5] * 46648 + (num[6] ^ 0x12FA) + (num[7] ^ 0xA376) + num[8] * 27122 + (num[9] ^ 0xA44A) + num[10] * 15676 + num[11] - 31863 + num[12] + 62510 == 11333836)
s.add(num[0] * 30523 + (num[1] ^ 0x1F36) + num[2] + 39058 + num[3] * 57549 + (num[4] ^ 0xD0C0) + num[5] * 4275 + num[6] - 48863 + (num[7] ^ 0xD88C) + (num[8] ^ 0xA40) + (num[9] ^ 0x3554) + num[10] + 62231 + num[11] + 19456 + num[12] - 13195 == 13863722)

s.add(num[0]==ord('h')^key[0])
s.add(num[1]==ord('g')^key[1])
s.add(num[2]==ord('a')^key[2])
s.add(num[3]==ord('m')^key[3])
s.add(num[4]==ord('e')^key[4])
s.add(num[5]==ord('{')^key[5])

if s.check() == sat:
   print(s.model())

num[8]=120
num[11]=93
num[10]=15
num[9]=71
num[12]=133
num[7]=53
num[1]=72
num[3]=106
num[5]=86
num[0]=236
num[6]=190
num[4]=189
num[2]=213


flag=''
for i in range(len(key)):
   flag += chr((key[i]^num[i%13])&0xFF)

print(flag)

執行結果：

乍一看好像沒有問題，但是中間有亂碼，且提交出錯，又卡了一下下

後面發現是 &0xFF 有問題，以往寫題約束範圍我喜歡用&0xFF

已知ASCII可見字串的範圍是32~127

0xFF是255>127，還是大於可見字串的範圍

指令碼中改成%128就可以了

最終的正確指令碼

from z3 import *
key=[
   132, 47, 180, 7, 216, 45, 68, 6, 39, 246,
   124, 2, 243, 137, 58, 172, 53, 200, 99, 91,
   83, 13, 171, 80, 108, 235, 179, 58, 176, 28,
   216, 36, 11, 80, 39, 162, 97, 58, 236, 130,
   123, 176, 24, 212, 56, 89, 72
]

s=Solver()
num=[BitVec(('num[%d]'%i),8)for i in range(13)]
s.add(num[0] + 52296 + num[1] - 26211 + num[2] - 11754 + (num[3] ^ 0xA114) + num[4] * 63747 + num[5] - 52714 + num[6] - 10512 + num[7] * 12972 + num[8] + 45505 + num[9] - 21713 + num[10] - 59122 + num[11] - 12840 + (num[12] ^ 0x525F) == 12702282)
s.add(num[0] - 25228 + (num[1] ^ 0x50DB) + (num[2] ^ 0x1FDE) + num[3] - 65307 + num[4] * 30701 + num[5] * 47555 + num[6] - 2557 + (num[7] ^ 0xBF9F) + num[8] - 7992 + (num[9] ^ 0xE079) + (num[10] ^ 0xE052) + num[11] + 13299 + num[12] - 50966 == 9946829)
s.add(num[0] - 64801 + num[1] - 60698 + num[2] - 40853 + num[3] - 54907 + num[4] + 29882 + (num[5] ^ 0x3506) + (num[6] ^ 0x533E) + num[7] + 47366 + num[8] + 41784 + (num[9] ^ 0xD1BA) + num[10] * 58436 + num[11] * 15590 + num[12] + 58225 == 2372055)
s.add(num[0] + 61538 + num[1] - 17121 + num[2] - 58124 + num[3] + 8186 + num[4] + 21253 + num[5] - 38524 + num[6] - 48323 + num[7] - 20556 + num[8] * 56056 + num[9] + 18568 + num[10] + 12995 + (num[11] ^ 0x995C) + num[12] + 25329 == 6732474)
s.add(num[0] - 42567 + num[1] - 17743 + num[2] * 47827 + num[3] - 10246 + (num[4] ^ 0x3F9C) + num[5] + 39390 + num[6] * 11803 + num[7] * 60332 + (num[8] ^ 0x483B) + (num[9] ^ 0x12BB) + num[10] - 25636 + num[11] - 16780 + num[12] - 62345 == 14020739)
s.add(num[0] - 10968 + num[1] - 31780 + (num[2] ^ 0x7C71) + num[3] - 61983 + num[4] * 31048 + num[5] * 20189 + num[6] + 12337 + num[7] * 25945 + (num[8] ^ 0x1B98) + num[9] - 25369 + num[10] - 54893 + num[11] * 59949 + (num[12] ^ 0x3099) == 14434062)
s.add(num[0] + 16689 + num[1] - 10279 + num[2] - 32918 + num[3] - 57155 + num[4] * 26571 + num[5] * 15086 + (num[6] ^ 0x59CA) + (num[7] ^ 0x5B35) + (num[8] ^ 0x3FFD) + (num[9] ^ 0x5A85) + num[10] - 40224 + num[11] + 31751 + num[12] * 8421 == 7433598)
s.add(num[0] + 28740 + num[1] - 64696 + num[2] + 60470 + num[3] - 14752 + (num[4] ^ 0x507) + (num[5] ^ 0x89C8) + num[6] + 49467 + num[7] - 33788 + num[8] + 20606 + (num[9] ^ 0xAF4A) + num[10] * 19764 + num[11] + 48342 + num[12] * 56511 == 7989404)
s.add((num[0] ^ 0x7132) + num[1] + 23120 + num[2] + 22802 + num[3] * 31533 + (num[4] ^ 0x9977) + num[5] - 48576 + (num[6] ^ 0x6F7E) + num[7] - 43265 + num[8] + 22365 + num[9] + 61108 + num[10] * 2823 + num[11] - 30343 + num[12] + 14780 == 3504803)
s.add(num[0] * 22466 + (num[1] ^ 0xDABF) + num[2] - 53658 + (num[3] ^ 0xB838) + (num[4] ^ 0x30DF) + num[5] * 59807 + num[6] + 46242 + num[7] + 3052 + (num[8] ^ 0x62BF) + num[9] + 30202 + num[10] * 22698 + num[11] + 33480 + (num[12] ^ 0x4175) == 11003580)
s.add(num[0] * 57492 + (num[1] ^ 0x346D) + num[2] - 13941 + (num[3] ^ 0xBBDC) + num[4] * 38310 + num[5] + 9884 + num[6] - 45500 + num[7] - 19233 + num[8] + 58274 + num[9] + 36175 + (num[10] ^ 0x4888) + num[11] * 49694 + (num[12] ^ 0x2501) == 25546210)
s.add(num[0] - 23355 + num[1] * 50164 + (num[2] ^ 0x873A) + num[3] + 52703 + num[4] + 36245 + num[5] * 46648 + (num[6] ^ 0x12FA) + (num[7] ^ 0xA376) + num[8] * 27122 + (num[9] ^ 0xA44A) + num[10] * 15676 + num[11] - 31863 + num[12] + 62510 == 11333836)
s.add(num[0] * 30523 + (num[1] ^ 0x1F36) + num[2] + 39058 + num[3] * 57549 + (num[4] ^ 0xD0C0) + num[5] * 4275 + num[6] - 48863 + (num[7] ^ 0xD88C) + (num[8] ^ 0xA40) + (num[9] ^ 0x3554) + num[10] + 62231 + num[11] + 19456 + num[12] - 13195 == 13863722)

s.add(num[0]==ord('h')^key[0])
s.add(num[1]==ord('g')^key[1])
s.add(num[2]==ord('a')^key[2])
s.add(num[3]==ord('m')^key[3])
s.add(num[4]==ord('e')^key[4])
s.add(num[5]==ord('{')^key[5])

if s.check() == sat:
   print(s.model())

num[8]=120
num[11]=93
num[10]=15
num[9]=71
num[12]=133
num[7]=53
num[1]=72
num[3]=106
num[5]=86
num[0]=236
num[6]=190
num[4]=189
num[2]=213


flag=''
for i in range(len(key)):
   flag += chr((key[i]^num[i%13])%128)

print(flag)

執行結果：

flag

hgame{z3_1s_very_u5eful_1n_rever5e_engin3ering}

hgame-week3-web-wp
2022-02-11
GAMWeb
HGAME-week2-web-wp
2022-02-17
GAMWeb
【week3】psp （技術隨筆）
2016-09-29
Coursera課程筆記----C++程式設計----Week3
2020-05-15
筆記C++程式設計
2024年在職考公Week3【5.13~5.19】
2024-05-19
【week3】四人小組專案—東師論壇
2016-09-28
16位簡單ASM題的記錄——[HGAME 2022 week1]easyasm
2024-06-03
ASMGAM
Illustrator 2023 for mac(ai2023)27.0
2023-04-04
MacAI
AE2023：After Effects 2023 for Mac
2024-01-15
Mac
Illustrator 2023(ai2023中文版)
2022-10-18
AI
photoshop 2023 for mac(ps 2023)支援m1！
2022-10-15
Mac
CLion 2023 for Mac v2023.1中文版
2023-03-30
Mac
WebStorm 2023.1.2
2023-05-18
WebORM
CISCN 2023 WEB
2024-04-28
Web
2023.3.14
2024-03-14
ps2023中文--Photoshop 2023完整啟用安裝
2023-11-03
EC-Final 2023 & CCPC Final 2023 遊記
2024-04-01
IDEA 2023漢化破解版+IDEA 2023永久啟用碼v2023.3.1
2023-12-20
Idea
PhpStorm 2023 啟用序列號最新+PhpStorm 2023 破解安裝包v2023.3
2023-12-13
PHPORM
2023 WebStorm中文啟用安裝包v2023.3.2
2023-12-22
WebORM
After Effects 2023 for Mac(Ae2023)23.6啟用版
2023-11-07
Mac
IntelliJ IDEA 2023 for Mac v2023.1漢化版
2023-03-30
IntelliJIdeaMac
中文Illustrator 2023破解版最新+ai破解補丁2023
2023-12-28
AI
2023年終總結
2024-01-01
2023 重學 Angular
2022-11-30
Angular
CCPC2023-Shenzhen
2024-03-10
CSP 2023 遊記
2024-03-26
Audition 2023中文破解版「au啟用補丁2023最新」
2023-11-08
IntelliJ IDEA 2023 v2023.2.4中文啟用版
2023-10-30
IntelliJIdea
DataGrip 2023 Mac(資料庫管理) 2023.2.3中文啟用版
2023-11-01
Mac資料庫
Photoshop 2023 (ps 2023) for Mac v24.0中文版
2023-03-16
Mac
GoLand 2023漢化啟用版+GoLand 2023啟用金鑰碼
2023-12-14
GoLand
領先的向量圖形軟體Ai2023(Illustrator 2023)
2023-02-08
AI
Illustrator 2023 for mac(ai2023) v27.9中文版
2024-01-03
MacAI
PhpStorm 2023註冊碼「PhpStorm 圖文安裝教程2023最新」
2023-10-27
PHPORM
InDesign 2023 for Mac(id 2023) v18.5中文啟用版
2023-09-28
Mac
智慧PHP程式碼編輯器：PhpStorm 2023 v2023.1.1
2023-05-04
PHPORM
PhpStorm 2023 for Mac(PHP整合開發) v2023.1.1漢化版
2023-05-04
PHPORMMac

[HGAME 2023 week3]kunmusicin

題目

exe-Die

exe-IDA

dll-Die

dll-IDA

dll-dnSpy

111-Die

111-ILSpy

EXP

flag

相關文章