【Pwn】maze - writrup
1.运行函数,收集字符串
获取关键词字符串:luck
2.寻找字符串引用代码
3.生成伪代码
4.获得main函数的C语言代码
5.分析程序逻辑
check函数:
main函数
int __fastcall main(int argc, const char **argv, const char **envp)
{
unsigned int v3; // edx
char v5; // [rsp+23h] [rbp-Dh]
unsigned int v6; // [rsp+28h] [rbp-8h]
unsigned int v7; // [rsp+2Ch] [rbp-4h]
_main(argc, argv, envp);
puts("Welcome to the maze. You need to find the exit, which is at point C. Your current position is marked as @.");
puts("flag{\"The shortest route\"},good luck!!");
v7 = 14;
v6 = 0;
while ( (unsigned int)check(v7, v6) != 1 )
{
while ( 1 )
{
v5 = getchar();
if ( v5 == 108 )
break;
if ( v5 > 108 )
{
if ( v5 == 115 )
{
++v7;
goto LABEL_15;
}
if ( v5 == 121 )
{
--v7;
goto LABEL_15;
}
}
else if ( v5 == 99 )
{
++v6;
goto LABEL_15;
}
}
--v6;
LABEL_15:
if ( (unsigned int)check_1(v7, v6) )
{
puts("you've hit a wall!!bro@!");
if ( v5 == 108 )
{
++v6;
}
else if ( v5 > 108 )
{
if ( v5 == 115 )
{
--v7;
}
else if ( v5 == 121 )
{
++v7;
}
}
else if ( v5 == 99 )
{
--v6;
}
}
else
{
puts("You are one step closer to victory!!");
v3 = idx++;
str[v3] = v5;
}
}
puts("you are win!!");
sleep(60LL);
return 0;
}
发现 ‘s' 'l' 'y ' 'c' 为控制上下左右移动
要使map[10 * a1 + a2] == 67 为真
提取map数组数据,获取得到地图
替换方便查看
观察发现 0属于路,1属于墙
由于当check(v7,v6) !=1时跳出循环,游戏胜利,所以需要设法构建使得check函数返回1
由check函数分析得出,67为迷宫出口
由此可得67为出口,64为起点
由以上算法可得 c为向右 y向上 s向下 l向左
故路径为cyyyyyyyyyccccssscccssssssc
不过这里应该有个什么脚本可以可以。(BFS //不过我还没学过hhh)
【Pwn】maze - writrup的更多相关文章
- 【pwn】学pwn日记——栈学习(持续更新)
[pwn]学pwn日记--栈学习(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用. 学习视频链接:XMCVE 2020 CTF Pw ...
- 【pwn】DASCTF Sept 九月赛
[pwn]DASCTF Sept 月赛 1.hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出, ...
- 【pwn】V&N2020 公开赛 simpleHeap
[pwn]V&N2020 公开赛 simpleHeap 1.静态分析 首先libc版本是ubuntu16的2.23版本,可以去buu的资源处下载 然后checksec一下,保护全开 拖入IDA ...
- 【pwn】学pwn日记(堆结构学习)
[pwn]学pwn日记(堆结构学习) 1.什么是堆? 堆是下图中绿色的部分,而它上面的橙色部分则是堆管理器 我们都知道栈的从高内存向低内存扩展的,而堆是相反的,它是由低内存向高内存扩展的 堆管理器的作 ...
- 【pwn】攻防世界 pwn新手区wp
[pwn]攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了. 1.get_sh ...
- 【PWN】初见BROP
前言|与BROP的相遇 第一次BROP,它让我觉得pwn,或者说网安很妙,也很折磨 在遇到它之前,之前接触的题目都是简单的栈溢出,感觉没有啥有趣的,很简单,找gadget溢出就可以,一切都看得见 可遇 ...
- 【hdu4035】Maze
Portal --> hdu4035 Solution 讲道理不是很懂为啥概d那么喜欢走迷宫qwq (推式子推的很爽的一题?) 首先大力dp列式子 用\(f[i]\)表示从\(i\)到离开的期望 ...
- 【CF123E】Maze
Portal --> cf123E Solution 首先步数的话可以转化成每条边经过了几次这样来算 假设现在确定了起点\(S\)和终点\(T\),我们将\(T\)看成树根,那么考虑边\((u, ...
- 【XSY2525】Maze 2017多校
Description 考虑一个 N×M 的网格,每个网格要么是空的,要么是障碍物.整个网格四周都是墙壁(即第1行和第n行,第1列和第m列都是墙壁),墙壁有且仅有两处开口,分别代表起点和终点.起点总是 ...
- 【南京邮电】maze 迷宫解法
[南京邮电]maze 迷宫解法 题目来源:南京邮电大学网络攻防训练平台. 题目下载地址:https://pan.baidu.com/s/1i5gLzIt (密码rijss) 0x0 初步分析 题目中给 ...
随机推荐
- 对比`Pinia `和` Vuex`,全面了解` Vue`状态管理
Pinia和Vuex一样都是是vue的全局状态管理器.其实Pinia就是Vuex5,只不过为了尊重原作者的贡献就沿用了这个看起来很甜的名字Pinia. 本文将通过Vue3的形式对两者的不同实现方式进行 ...
- MFC BCG 一些记录
MFC: UpdateData (TRUE) // 更新值到控件 UpdateData (TRUE) // 更新控件到值DECLAREMESSAGEMAPBEGINMESSAGEMAP(d ...
- Jmeter函数助手24-longSum
longSum函数可用于计算两个或多个长值的和.intSum函数参数值的范围在-2147483648到2147483647之间,而longSum函数的参数值范围比intSum的大. First lon ...
- CentOS-7离线安装net-tools
1.下载相关安装包 CentOS-7 所有rpm包的仓库地址:https://vault.centos.org/7.9.2009/os/x86_64/Packages/ net-tools-2.0-0 ...
- 【Web】 抓包工具Charles
官方软件包下载 https://www.charlesproxy.com/download/ 在线生成激活码: https://www.zzzmode.com/mytools/charles/ 代理设 ...
- 【C】Re01
一.GCC分步编译 xxx.c文件经历的一系列编译过程: #include <stdio.h> int main() { printf("Hello, World!\n" ...
- Python多进程共享numpy 数组
引用:https://zhuanlan.zhihu.com/p/32513483 共享 numpy 数组 需要用到 numpy 时往往是数据量较大的场景,如果直接复制会造成大量内存浪费.共享 nump ...
- NVIDIA公司推出的GPU运行环境下的机器人仿真环境(NVIDIA Isaac Gym)—— 到底实现了什么功能,意义价值又是什么???
相关内容: NVIDIA公司推出的GPU运行环境下的机器人仿真环境(NVIDIA Isaac Gym)的安装--强化学习的仿真训练环境 ================================ ...
- vue-表单与v-model
使用 v-model 后,表羊控件显示的值只依赖所绑定的数据,不再关心初始化时的 value 属性,对于 textarea></textarea> 之间插入的值,也不会生效. 使用 ...
- C# 使用特性的方式封装报文
在编写上位机软件时,需要经常处理命令拼接与其他设备进行通信,通常对不同的命令封装成不同的方法,扩展稍许麻烦. 本次拟以特性方式实现,以兼顾维护性与扩展性. 思想: 一种命令对应一个类,其类中的各个属性 ...