akiym

wolf

WOLF RPGエディターで作られたゲーム。起動するとゲームが始まって、配置されている宝箱に触るとflag?と聞いてくる。 Data/MapData/SampleMapA.mpsの中にflag?という文字列があり、おそらくここがflagチェック処理が含まれているバイナリであるがどういったものかは不明。{}QWERTYUIOPASDFGHJKLZXCVBNM_やTKTNT}RRUAPRHDSH{SXMREISUAH}RE}PUYPUQYDBQTLKXWCJXTYの文字列が見えるが、適当にxorしてもflagにはならないのでguessは諦める。

https://silversecond.com/WolfRPGEditor/ のエディタでそのまま開けるようだったので処理を読む。\v[0]のような文章を追加するとV0の変数を表示できるのでデバッグが楽。

あとは1文字ずつブルートフォースして求めた。

akiym

masking tape

デコンパイル結果を持ってきてブルートフォース。

enc1 = [0x08, 0x23, 0x03, 0x03, 0x13, 0x03, 0x13, 0x03, 0x01, 0x23, 0x31, 0x13, 0x11, 0xC8, 0x03, 0xC8, 0x03, 0x13, 0x01, 0xC8, 0x13, 0x13, 0x03, 0x13, 0x13, 0x11, 0x13, 0x23, 0x00, 0x00, 0x00, 0x00]
enc2 = [0x02, 0x40, 0x80, 0x08, 0x08, 0x08, 0xC8, 0xC8, 0x80, 0x88, 0x08, 0x80, 0x88, 0x32, 0x08, 0x32, 0x80, 0x80, 0x80, 0x32, 0x08, 0x80, 0x08, 0x08, 0x48, 0x88, 0x80, 0xC8, 0x00]

flag = ''
for i in range(100):

akiym

Oyster

なんとなくstrcmpしているのでnull文字を詰め込んでどうにかするものだろうと予想して、脳死でpasswordをすべてnull文字で送ってみたところそのままいけました。

from pwn import *

context.update(os='linux', arch='amd64', log_level='info')
p, u = pack, unpack

akiym

debugalyzer

フラグを2文字取ってきて計算する処理があるので、gdbで動かして取ってきて脳死z3で解ける。

import gdb

e = lambda c: gdb.execute(c, to_string=True)
p = lambda x: gdb.parse_and_eval(x)