惠州顺德网站建设,wordpress去主题插件提示,网站双线选择,二级域名免费恶搞原神抽卡模拟器 看到软件的界面#xff0c;大致有三种思路#xff1a;
修改石头数量一直抽#xff0c;如果概率正常肯定能抽到#xff08;但是估计设置的概率是0#xff09;在源码里找flag的数据把抽卡概率改成100%直接抽出来 Unity逆向#xff0c;根据经验应该dnsp…恶搞原神抽卡模拟器 看到软件的界面大致有三种思路
修改石头数量一直抽如果概率正常肯定能抽到但是估计设置的概率是0在源码里找flag的数据把抽卡概率改成100%直接抽出来 Unity逆向根据经验应该dnspy查看Assembly-CSharp.dll 上来看到SM4 Gacha是抽卡的意思这里应该是抽卡的主逻辑 Gift内可以看到主要逻辑以array作为keyNSSCTF_2024_R#18 为偏移IV用SM4/CBC/PKCS7Padding模式加密input数组最后保存字符串到flag对象里
也就是说如果静态分析直接求flag就是一个SM4_CBC的解密过程检查一下发现SM4没有经过魔改应该容易解出
静态分析解密
只要得到SM4解密需要的几个重要参数再结合在线工具就能得出答案
密文就是input数组 密钥key是array数组其计算方法很明显 然后找bucket数组在Check()函数里发现了一堆方程用于验证bucket数组的值 z3算一下SM4的密钥长度只有16字节设置变量类型时用IntBitVec会因为位数多导致解出结果过大
from z3 import *
from Crypto.Util.number import *
bucket [Int(bucket[%d] % i) for i in range(16)]
s Solver()
s.add(bucket[0] * 40 bucket[1] * 65 bucket[2] * -53 bucket[3] * 70 bucket[4] * -84 bucket[5] * -38 bucket[6] * 94 bucket[7] * -39 bucket[8] * -91 bucket[9] * -35 bucket[10] * 54 bucket[11] * 17 bucket[12] * 45 bucket[13] * 92 bucket[14] * -29 bucket[15] * 61 3004)
s.add(bucket[0] * -15 bucket[1] * 74 bucket[2] * -89 bucket[3] * -82 bucket[4] * -92 bucket[5] * 27 bucket[6] * 21 bucket[7] * -24 bucket[8] * -82 bucket[9] * -58 bucket[10] * -36 bucket[11] * 64 bucket[12] * -49 bucket[13] * -22 bucket[14] * 59 bucket[15] * -47 -674)
s.add(bucket[0] * 67 bucket[1] * -23 bucket[2] * 63 bucket[3] * -38 bucket[4] * -32 bucket[5] * 61 bucket[6] * -71 bucket[7] * 49 bucket[8] * 83 bucket[9] * -92 bucket[10] * -16 bucket[11] * 65 bucket[12] * -22 bucket[13] * 12 bucket[14] * -85 bucket[15] * 74 945 )
s.add(bucket[0] * -49 bucket[1] * 48 bucket[2] * -11 bucket[3] * 20 bucket[4] * -14 bucket[5] * 92 bucket[6] * -19 bucket[7] * 32 bucket[8] * 64 bucket[9] * -77 bucket[10] * 49 bucket[11] * -19 bucket[12] * 72 bucket[13] * -64 bucket[14] * 85 bucket[15] * 54 1721)
s.add(bucket[0] * 36 bucket[1] * -21 bucket[2] * -59 bucket[3] * -54 bucket[4] * -96 bucket[5] * -81 bucket[6] * -33 bucket[7] * 31 bucket[8] * -41 bucket[9] * -70 bucket[10] * -27 bucket[11] * 24 bucket[12] * 95 bucket[13] * -61 bucket[14] * -17 bucket[15] * -52 -2198)
s.add(bucket[0] * 78 bucket[1] * -62 bucket[2] * 70 bucket[3] * -69 bucket[4] * 38 bucket[5] * 90 bucket[6] * -52 bucket[7] * 41 bucket[8] * 63 bucket[9] * -65 bucket[10] * -15 bucket[11] * 59 bucket[12] * -31 bucket[13] * 54 bucket[14] * 33 bucket[15] * -57 -1833)
s.add(bucket[0] * 56 bucket[1] * 75 bucket[2] * 71 bucket[3] * 78 bucket[4] * -39 bucket[5] * -84 bucket[6] * 55 bucket[7] * 54 bucket[8] * -12 bucket[9] * -57 bucket[10] * 32 bucket[11] * -19 bucket[12] * 13 bucket[13] * -83 bucket[14] * 11 bucket[15] * -67 829)
s.add(bucket[0] * 10 bucket[1] * -97 bucket[2] * 56 bucket[3] * -61 bucket[4] * 45 bucket[5] * -22 bucket[6] * 33 bucket[7] * 81 bucket[8] * 32 bucket[9] * 49 bucket[10] * -19 bucket[11] * -18 bucket[12] * 80 bucket[13] * -98 bucket[14] * 79 bucket[15] * -36 -2551)
s.add(bucket[0] * 24 bucket[1] * -61 bucket[2] * 91 bucket[3] * 93 bucket[4] * 76 bucket[5] * 54 bucket[6] * -33 bucket[7] * -29 bucket[8] * -72 bucket[9] * 20 bucket[10] * 48 bucket[11] * 79 bucket[12] * 76 bucket[13] * 68 bucket[14] * 51 bucket[15] * 25 2996)
s.add(bucket[0] * -83 bucket[1] * -77 bucket[2] * -64 bucket[3] * -38 bucket[4] * -13 bucket[5] * -85 bucket[6] * 33 bucket[7] * -76 bucket[8] * 27 bucket[9] * 14 bucket[10] * -79 bucket[11] * -63 bucket[12] * -78 bucket[13] * 53 bucket[14] * -73 bucket[15] * 61 -2315)
s.add(bucket[0] * 84 bucket[1] * -67 bucket[2] * 57 bucket[3] * 26 bucket[4] * 94 bucket[5] * 20 bucket[6] * -71 bucket[7] * -88 bucket[8] * -28 bucket[9] * -13 bucket[10] * -40 bucket[11] * 76 bucket[12] * -14 bucket[13] * 33 bucket[14] * 76 bucket[15] * -75 -150)
s.add(bucket[0] * -60 bucket[1] * 88 bucket[2] * -66 bucket[3] * -72 bucket[4] * 41 bucket[5] * 49 bucket[6] * 48 bucket[7] * -77 bucket[8] * -42 bucket[9] * 25 bucket[10] * -50 bucket[11] * -84 bucket[12] * 40 bucket[13] * 50 bucket[14] * -83 bucket[15] * -27 -1919)
s.add(bucket[0] * -16 bucket[1] * -53 bucket[2] * -21 bucket[3] * -44 bucket[4] * 26 bucket[5] * -56 bucket[6] * -90 bucket[7] * -93 bucket[8] * -73 bucket[9] * 48 bucket[10] * 15 bucket[11] * -43 bucket[12] * -61 bucket[13] * -24 bucket[14] * 71 bucket[15] * 67 -1199)
s.add(bucket[0] * 55 bucket[1] * -34 bucket[2] * -22 bucket[3] * 60 bucket[4] * 93 bucket[5] * -95 bucket[6] * 50 bucket[7] * 36 bucket[8] * -48 bucket[9] * -26 bucket[10] * -94 bucket[11] * -35 bucket[12] * 21 bucket[13] * -27 bucket[14] * 91 bucket[15] * -76 -1163)
s.add(bucket[0] * 64 bucket[1] * -50 bucket[2] * -23 bucket[3] * -70 bucket[4] * -78 bucket[5] * 34 bucket[6] * 26 bucket[7] * 64 bucket[8] * -72 bucket[9] * 10 bucket[10] * -96 bucket[11] * 61 bucket[12] * -15 bucket[13] * 31 bucket[14] * 36 bucket[15] * 50 -266)
s.add(bucket[0] * -27 bucket[1] * 86 bucket[2] * -61 bucket[3] * 89 bucket[4] * -53 bucket[5] * 10 bucket[6] * -42 bucket[7] * 92 bucket[8] * -48 bucket[9] * 13 bucket[10] * 84 bucket[11] * -71 bucket[12] * 93 bucket[13] * 54 bucket[14] * -69 bucket[15] * -30 892)
if s.check() sat:s s.model()
print(s)[bucket[15] 16,bucket[13] 0,bucket[10] 1,bucket[11] 17,bucket[14] 2,bucket[4] 2,bucket[2] 1,bucket[1] 14,bucket[5] 1,bucket[7] 0,bucket[12] 2,bucket[6] 1,bucket[3] 17,bucket[8] 2,bucket[9] 4,bucket[0] 1]
然后每个53就可以得到array也就是key了
IV很显然是NSSCTF_2024_R#18
用脚本转化一下形式使得数据容易套进在线工具里 #genshin wp
enc [145,118,31,48,103,110,52,82,113,19,83,44,176,130,138,129,115,110,38,10,42,100,193,105,125,61,7,229,230,180,68,133,11,177,210,122,161,60,129,140,16,45,224,83,238,0,213,157,121,193,135,197,87,118,155,110,90,91,30,158,248,44,95,215,166,247,239,43,228,114,227,146,164,137,111,79,143,17,132,14]
print(enc: )
for i in enc: print(hex(i), end )
print(\n)
from z3 import *
from Crypto.Util.number import *
bucket [Int(bucket[%d] % i) for i in range(16)]
s Solver()
s.add(bucket[0] * 40 bucket[1] * 65 bucket[2] * -53 bucket[3] * 70 bucket[4] * -84 bucket[5] * -38 bucket[6] * 94 bucket[7] * -39 bucket[8] * -91 bucket[9] * -35 bucket[10] * 54 bucket[11] * 17 bucket[12] * 45 bucket[13] * 92 bucket[14] * -29 bucket[15] * 61 3004)
s.add(bucket[0] * -15 bucket[1] * 74 bucket[2] * -89 bucket[3] * -82 bucket[4] * -92 bucket[5] * 27 bucket[6] * 21 bucket[7] * -24 bucket[8] * -82 bucket[9] * -58 bucket[10] * -36 bucket[11] * 64 bucket[12] * -49 bucket[13] * -22 bucket[14] * 59 bucket[15] * -47 -674)
s.add(bucket[0] * 67 bucket[1] * -23 bucket[2] * 63 bucket[3] * -38 bucket[4] * -32 bucket[5] * 61 bucket[6] * -71 bucket[7] * 49 bucket[8] * 83 bucket[9] * -92 bucket[10] * -16 bucket[11] * 65 bucket[12] * -22 bucket[13] * 12 bucket[14] * -85 bucket[15] * 74 945 )
s.add(bucket[0] * -49 bucket[1] * 48 bucket[2] * -11 bucket[3] * 20 bucket[4] * -14 bucket[5] * 92 bucket[6] * -19 bucket[7] * 32 bucket[8] * 64 bucket[9] * -77 bucket[10] * 49 bucket[11] * -19 bucket[12] * 72 bucket[13] * -64 bucket[14] * 85 bucket[15] * 54 1721)
s.add(bucket[0] * 36 bucket[1] * -21 bucket[2] * -59 bucket[3] * -54 bucket[4] * -96 bucket[5] * -81 bucket[6] * -33 bucket[7] * 31 bucket[8] * -41 bucket[9] * -70 bucket[10] * -27 bucket[11] * 24 bucket[12] * 95 bucket[13] * -61 bucket[14] * -17 bucket[15] * -52 -2198)
s.add(bucket[0] * 78 bucket[1] * -62 bucket[2] * 70 bucket[3] * -69 bucket[4] * 38 bucket[5] * 90 bucket[6] * -52 bucket[7] * 41 bucket[8] * 63 bucket[9] * -65 bucket[10] * -15 bucket[11] * 59 bucket[12] * -31 bucket[13] * 54 bucket[14] * 33 bucket[15] * -57 -1833)
s.add(bucket[0] * 56 bucket[1] * 75 bucket[2] * 71 bucket[3] * 78 bucket[4] * -39 bucket[5] * -84 bucket[6] * 55 bucket[7] * 54 bucket[8] * -12 bucket[9] * -57 bucket[10] * 32 bucket[11] * -19 bucket[12] * 13 bucket[13] * -83 bucket[14] * 11 bucket[15] * -67 829)
s.add(bucket[0] * 10 bucket[1] * -97 bucket[2] * 56 bucket[3] * -61 bucket[4] * 45 bucket[5] * -22 bucket[6] * 33 bucket[7] * 81 bucket[8] * 32 bucket[9] * 49 bucket[10] * -19 bucket[11] * -18 bucket[12] * 80 bucket[13] * -98 bucket[14] * 79 bucket[15] * -36 -2551)
s.add(bucket[0] * 24 bucket[1] * -61 bucket[2] * 91 bucket[3] * 93 bucket[4] * 76 bucket[5] * 54 bucket[6] * -33 bucket[7] * -29 bucket[8] * -72 bucket[9] * 20 bucket[10] * 48 bucket[11] * 79 bucket[12] * 76 bucket[13] * 68 bucket[14] * 51 bucket[15] * 25 2996)
s.add(bucket[0] * -83 bucket[1] * -77 bucket[2] * -64 bucket[3] * -38 bucket[4] * -13 bucket[5] * -85 bucket[6] * 33 bucket[7] * -76 bucket[8] * 27 bucket[9] * 14 bucket[10] * -79 bucket[11] * -63 bucket[12] * -78 bucket[13] * 53 bucket[14] * -73 bucket[15] * 61 -2315)
s.add(bucket[0] * 84 bucket[1] * -67 bucket[2] * 57 bucket[3] * 26 bucket[4] * 94 bucket[5] * 20 bucket[6] * -71 bucket[7] * -88 bucket[8] * -28 bucket[9] * -13 bucket[10] * -40 bucket[11] * 76 bucket[12] * -14 bucket[13] * 33 bucket[14] * 76 bucket[15] * -75 -150)
s.add(bucket[0] * -60 bucket[1] * 88 bucket[2] * -66 bucket[3] * -72 bucket[4] * 41 bucket[5] * 49 bucket[6] * 48 bucket[7] * -77 bucket[8] * -42 bucket[9] * 25 bucket[10] * -50 bucket[11] * -84 bucket[12] * 40 bucket[13] * 50 bucket[14] * -83 bucket[15] * -27 -1919)
s.add(bucket[0] * -16 bucket[1] * -53 bucket[2] * -21 bucket[3] * -44 bucket[4] * 26 bucket[5] * -56 bucket[6] * -90 bucket[7] * -93 bucket[8] * -73 bucket[9] * 48 bucket[10] * 15 bucket[11] * -43 bucket[12] * -61 bucket[13] * -24 bucket[14] * 71 bucket[15] * 67 -1199)
s.add(bucket[0] * 55 bucket[1] * -34 bucket[2] * -22 bucket[3] * 60 bucket[4] * 93 bucket[5] * -95 bucket[6] * 50 bucket[7] * 36 bucket[8] * -48 bucket[9] * -26 bucket[10] * -94 bucket[11] * -35 bucket[12] * 21 bucket[13] * -27 bucket[14] * 91 bucket[15] * -76 -1163)
s.add(bucket[0] * 64 bucket[1] * -50 bucket[2] * -23 bucket[3] * -70 bucket[4] * -78 bucket[5] * 34 bucket[6] * 26 bucket[7] * 64 bucket[8] * -72 bucket[9] * 10 bucket[10] * -96 bucket[11] * 61 bucket[12] * -15 bucket[13] * 31 bucket[14] * 36 bucket[15] * 50 -266)
s.add(bucket[0] * -27 bucket[1] * 86 bucket[2] * -61 bucket[3] * 89 bucket[4] * -53 bucket[5] * 10 bucket[6] * -42 bucket[7] * 92 bucket[8] * -48 bucket[9] * 13 bucket[10] * 84 bucket[11] * -71 bucket[12] * 93 bucket[13] * 54 bucket[14] * -69 bucket[15] * -30 892)
if s.check() sat:s s.model()
print(s)
bucket[15] 16
bucket[13] 0
bucket[10] 1
bucket[11] 17
bucket[14] 2
bucket[4] 2
bucket[2] 1
bucket[1] 14
bucket[5] 1
bucket[7] 0
bucket[12] 2
bucket[6] 1
bucket[3] 17
bucket[8] 2
bucket[9] 4
bucket[0] 1
array [0]*16
print(bucket)
for i in range(len(bucket)):array[i] bucket[i] 53
key
for i in array:key chr(i)
print(key:,key)
#iv NSSCTF_2024_R#18 enc:
0x91 0x76 0x1f 0x30 0x67 0x6e 0x34 0x52 0x71 0x13 0x53 0x2c 0xb0 0x82 0x8a 0x81 0x73 0x6e 0x26 0xa 0x2a 0x64 0xc1 0x69 0x7d 0x3d 0x7 0xe5 0xe6 0xb4 0x44 0x85 0xb 0xb1 0xd2 0x7a 0xa1 0x3c 0x81 0x8c 0x10 0x2d 0xe0 0x53 0xee 0x0 0xd5 0x9d 0x79 0xc1 0x87 0xc5 0x57 0x76 0x9b 0x6e 0x5a 0x5b 0x1e 0x9e 0xf8 0x2c 0x5f 0xd7 0xa6 0xf7 0xef 0x2b 0xe4 0x72 0xe3 0x92 0xa4 0x89 0x6f 0x4f 0x8f 0x11 0x84 0xe[bucket[15] 16,bucket[13] 0,bucket[10] 1,bucket[11] 17,bucket[14] 2,bucket[4] 2,bucket[2] 1,bucket[1] 14,bucket[5] 1,bucket[7] 0,bucket[12] 2,bucket[6] 1,bucket[3] 17,bucket[8] 2,bucket[9] 4,bucket[0] 1]
[1, 14, 1, 17, 2, 1, 1, 0, 2, 4, 1, 17, 2, 0, 2, 16]
key: 6C6F7665796F757E几个参数注意一下就可以了 修改逻辑动态分析
但考虑修改抽卡概率的方法可能更方便 尝试在这里下断点但是直接抽卡根本不运行这一段代码无法在这里断下来
只能修改代码逻辑
我们找到这个GetRandomItem函数发现要经过Check才可以出发生成flag的Gift函数 即bucket必须满足上面我们z3解出来的那个值我们直接把bucket赋值
在GachaHistoryBucket中修改GetBucket()或者直接修改bucket初始值都可以 修改初始值的话记得选择编辑类不然编译不通过 抽取的部分也要改一下 我们要的flag在这里修改一下使得它必然被执行 保存一下运行 OCR提取一下文字少数几个错字自己改一下
