【re】[HGAME 2023 week3]kunmusic -- .net程式逆向，z3庫約束

-Advertisement-

引言上一篇中 WPF 重寫DataGrid樣式，因新產品UI需要，重寫了一下微軟 WPF 原生的 DataGrid 的樣式，包含如下內容：基礎設置，一些基本背景色，字體顏色等。滾動條樣式。實現圓角表格，重寫表格的一些基礎樣式，例如 CellStyle ，RowStyle,RowHeaderS ...

附件下載下來有三個東西。

點開exe，發現是雞哥

判斷應該是.net程式(.NET 是一個免費的跨平臺開源開發人員平臺，用於生成許多不同類型的應用程式。憑藉 .NET，可以使用多種語言、編輯器和庫來生成 Web、移動應用、桌面應用、游戲和 IoT 應用),可以用dnspy打開，那個exe和json打開後都沒發現什麼，接著打開dll文件

點進去Main函數看看

這裡有對 Resources.data 的數據進行加密，下一步我們將data文件dump下來

將dump的文件按照上面的加密異或104，我們看看異或後是什麼文件，或是什麼數據

這裡用python進行處理：

f=open("data",'rb') data=f.read() new_data=[0]*len(data) for i in range(len(data)): new_data[i]=data[i]^104 byte_data=bytes(new_data) file=open("gg",'wb') file.write(byte_data) 得到的gg文件我們拖進Hxd看看是什麼文件

MZ開頭，又是一個程式，我們再拖進dnspy看看

這裡就是一堆方程求解，直接用z3庫解密，然後再來一下異或就行了

z3庫求解：

from z3 import* x=Solver() num=[BitVec(('num[%d]'%i),8)for i in range(13)] x.add(num[0] + 52296 + num[1] - 26211 + num[2] - 11754 + (num[3] ^ 0xA114) + num[4] * 63747 + num[5] - 52714 + num[6] - 10512 + num[7] * 12972 + num[8] + 45505 + num[9] - 21713 + num[10] - 59122 + num[11] - 12840 + (num[12] ^ 0x525F) == 12702282) x.add(num[0] - 25228 + (num[1] ^ 0x50DB) + (num[2] ^ 0x1FDE) + num[3] - 65307 + num[4] * 30701 + num[5] * 47555 + num[6] - 2557 + (num[7] ^ 0xBF9F) + num[8] - 7992 + (num[9] ^ 0xE079) + (num[10] ^ 0xE052) + num[11] + 13299 + num[12] - 50966 == 9946829) x.add(num[0] - 64801 + num[1] - 60698 + num[2] - 40853 + num[3] - 54907 + num[4] + 29882 + (num[5] ^ 0x3506) + (num[6] ^ 0x533E) + num[7] + 47366 + num[8] + 41784 + (num[9] ^ 0xD1BA) + num[10] * 58436 + num[11] * 15590 + num[12] + 58225 == 2372055) x.add(num[0] + 61538 + num[1] - 17121 + num[2] - 58124 + num[3] + 8186 + num[4] + 21253 + num[5] - 38524 + num[6] - 48323 + num[7] - 20556 + num[8] * 56056 + num[9] + 18568 + num[10] + 12995 + (num[11] ^ 0x995C) + num[12] + 25329 == 6732474) x.add(num[0] - 42567 + num[1] - 17743 + num[2] * 47827 + num[3] - 10246 + (num[4] ^ 0x3F9C) + num[5] + 39390 + num[6] * 11803 + num[7] * 60332 + (num[8] ^ 0x483B) + (num[9] ^ 0x12BB) + num[10] - 25636 + num[11] - 16780 + num[12] - 62345 == 14020739) x.add(num[0] - 10968 + num[1] - 31780 + (num[2] ^ 0x7C71) + num[3] - 61983 + num[4] * 31048 + num[5] * 20189 + num[6] + 12337 + num[7] * 25945 + (num[8] ^ 0x1B98) + num[9] - 25369 + num[10] - 54893 + num[11] * 59949 + (num[12] ^ 0x3099) == 14434062) x.add(num[0] + 16689 + num[1] - 10279 + num[2] - 32918 + num[3] - 57155 + num[4] * 26571 + num[5] * 15086 + (num[6] ^ 0x59CA) + (num[7] ^ 0x5B35) + (num[8] ^ 0x3FFD) + (num[9] ^ 0x5A85) + num[10] - 40224 + num[11] + 31751 + num[12] * 8421 == 7433598) x.add(num[0] + 28740 + num[1] - 64696 + num[2] + 60470 + num[3] - 14752 + (num[4] ^ 0x507) + (num[5] ^ 0x89C8) + num[6] + 49467 + num[7] - 33788 + num[8] + 20606 + (num[9] ^ 0xAF4A) + num[10] * 19764 + num[11] + 48342 + num[12] * 56511 == 7989404) x.add((num[0] ^ 0x7132) + num[1] + 23120 + num[2] + 22802 + num[3] * 31533 + (num[4] ^ 0x9977) + num[5] - 48576 + (num[6] ^ 0x6F7E) + num[7] - 43265 + num[8] + 22365 + num[9] + 61108 + num[10] * 2823 + num[11] - 30343 + num[12] + 14780 == 3504803) x.add(num[0] * 22466 + (num[1] ^ 0xDABF) + num[2] - 53658 + (num[3] ^ 0xB838) + (num[4] ^ 0x30DF) + num[5] * 59807 + num[6] + 46242 + num[7] + 3052 + (num[8] ^ 0x62BF) + num[9] + 30202 + num[10] * 22698 + num[11] + 33480 + (num[12] ^ 0x4175) == 11003580) x.add(num[0] * 57492 + (num[1] ^ 0x346D) + num[2] - 13941 + (num[3] ^ 0xBBDC) + num[4] * 38310 + num[5] + 9884 + num[6] - 45500 + num[7] - 19233 + num[8] + 58274 + num[9] + 36175 + (num[10] ^ 0x4888) + num[11] * 49694 + (num[12] ^ 0x2501) == 25546210) x.add(num[0] - 23355 + num[1] * 50164 + (num[2] ^ 0x873A) + num[3] + 52703 + num[4] + 36245 + num[5] * 46648 + (num[6] ^ 0x12FA) + (num[7] ^ 0xA376) + num[8] * 27122 + (num[9] ^ 0xA44A) + num[10] * 15676 + num[11] - 31863 + num[12] + 62510 == 11333836) x.add(num[0] * 30523 + (num[1] ^ 0x1F36) + num[2] + 39058 + num[3] * 57549 + (num[4] ^ 0xD0C0) + num[5] * 4275 + num[6] - 48863 + (num[7] ^ 0xD88C) + (num[8] ^ 0xA40) + (num[9] ^ 0x3554) + num[10] + 62231 + num[11] + 19456 + num[12] - 13195 == 13863722)
if x.check()==sat: ans = x.model() print(ans) 解密： num=[0]*13 num[10]=15 num[9]=199 num[8]=120 num[4]=189 num[6]=190 num[3]=234 num[12]=5 num[1]=72 num[2]=85 num[7]=53 num[11]=93 num[5]=86 num[0]=236 pw=[132, 47, 180, 7, 216, 45, 68, 6, 39, 246, 124, 2, 243, 137, 58, 172, 53, 200, 99, 91, 83, 13, 171, 80, 108, 235, 179, 58, 176, 28, 216, 36, 11, 80, 39, 162, 97, 58, 236, 130, 123, 176, 24, 212, 56, 89, 72] flag='' for i in range(len(pw)): flag+=chr((pw[i]^num[i%13])%128) print(flag) flag：hgame{z3_1s_very_u5eful_1n_rever5e_engin3ering}

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

C語言【運算符】

C++ 指針學習筆記引入指針是什麼指針是一個變數，其值為另一個變數的地址。指針聲明的一般形式為： type *ptr_name; type 是指針的基類型，ptr_name 是指針的名稱，* 用來指定一個變數是指針對於一個指針，需要明確四個方面的內容：指針的類型、指針所指向的類型、指針的值 ...
Java Junit單元測試（入門必看篇）

Hi i,m JinXiang ⭐ 前言 ⭐ 本篇文章主要介紹單元測試工具Junit使用以及部分理論知識 🍉歡迎點贊 👍 收藏 ⭐留言評論 📝私信必回喲😁 🍉博主收將持續更新學習記錄獲，友友們有任何問題可以在評論區留言什麼是Junit單元測試？ JUnit 是一個 Java 編程語言的單 ...
聊聊Flink必知必會(五)

聊聊Flink的必知必會(三) 聊聊Flink必知必會(四) 從源碼中，根據關鍵的代碼，梳理一下Flink中的時間與視窗實現邏輯。 WindowedStream 對數據流執行keyBy()操作後，再調用window()方法，就會返回WindowedStream，表示分區後又加窗的數據流。如果數據流沒 ...
重磅！Seata 加入 Apache！！

大家好，我是棧長。今天給大家宣佈一個重大消息，又一國產項目宣佈加入 Apache，那就是 Alibaba 開源的分散式事務開源項目：Seata，Apache Seata 來了！恭喜 Seata 成功加入 Apache 孵化器，走向全球。說到 Seata，相信使用 Spring Cloud Al ...
Spring5學習隨筆-生命周期、自定義類型轉換器、後置處理Bean

學習視頻：【孫哥說Spring5：從設計模式到基本應用到應用級底層分析，一次深入淺出的Spring全探索。學不會Spring？只因你未遇見孫哥】第十章、對象的生命周期 1.什麼是對象的生命周期指的是一個對象創建、存活、消亡的一個完整過程 2.為什麼要學習對象的生命周期由Spring負責對象的創 ...
PDF操作

一、概述生成PDF文檔通常涉及使用模板引擎、PDF庫以及數據填充。常見以下幾種方法： iText：iText是一個強大的PDF庫，支持創建和操作PDF文檔。使用場景：您可以使用iText來直接構建PDF文檔，也可以將其與模板引擎結合使用，通過數據填充來生成PDF。 Apache PDFBox： ...
go 上下文：context.Context

Go語言中的上下文（Context）是一種用於在 Goroutines 之間傳遞取消信號、截止時間和其他請求範圍值的標準方式。context 包提供了 Context 類型和一些相關的函數，用於在併發程式中有效地傳遞上下文信息。在Go語言中，上下文通常用於以下場景：請求的傳遞：當一個請求從客戶端 ...
28. 乾貨系列從零用Rust編寫正反向代理，項目日誌的源碼實現

wmproxy wmproxy已用Rust實現http/https代理, socks5代理, 反向代理, 靜態文件伺服器，四層TCP/UDP轉發，內網穿透，後續將實現websocket代理等，會將實現過程分享出來，感興趣的可以一起造個輪子項目地址國內: https://gitee.com/tic ...