玄机靶场:2024铁人三项决赛CTF RE - mapmap 解题笔记

2024铁人三项决赛CTF RE - mapmap 解题笔记

题目信息

  • 题目名称:mapmap
  • 题目描述:命令行的迷宫
  • 题目类型:REVERSE(逆向)
  • 赛事:2024年第一届"长城杯"信息安全铁人三项赛线下决赛

初步分析

拿到题目附件后,file 命令确认是一个 Linux ELF 可执行文件。运行程序,发现它接受键盘输入,输入 w/a/s/d 四个方向键来控制移动,输入错误路径时程序输出 false,走到终点则输出 flag。

题目描述"命令行的迷宫"已经给出了明确提示:这是一道迷宫类逆向题,核心是找到从起点到终点的正确路径。


逆向分析

加载进 IDA 分析主逻辑,程序结构相对清晰:

迷宫参数

  • 迷宫大小:39×39(坐标范围 0~38)
  • 起点:(0, 0)
  • 终点:(38, 38)
  • 路径长度:恰好 140 步

移动规则

  • w:y 坐标减 1(向上)
  • s:y 坐标加 1(向下)
  • a:x 坐标减 1(向左)
  • d:x 坐标加 1(向右)

校验逻辑

程序在每次输入后实时校验当前路径是否合法,走到墙壁或越界时输出 false。这个特性非常关键——可以利用程序本身作为"迷宫验证器",通过与程序交互来探测哪些方向可以走。

直接静态分析的困难

迷宫的地图数据在程序中以较为复杂的方式存储,直接从二进制中提取地图并不直观。考虑到程序提供了实时反馈(走错就输出 false),更高效的方案是利用程序的这一特性进行动态爆破。


解题思路:动态爆破 + DFS

核心思路是:对程序做一处 patch,让它在输出 false 时不退出,而是继续接受输入;然后编写脚本,通过 DFS(深度优先搜索)枚举所有可能的路径,每走一步就调用程序验证,以此探测出完整的迷宫路径。

Patch 方案

找到程序中输出 false 后的跳转指令,将其修改为 NOP 或改变跳转方向,使程序在遇到错误路径时不终止,而是继续等待输入。这样脚本就可以持续与程序交互。

DFS 爆破脚本逻辑

import subprocess

def test_opt(data):
    return subprocess.run(
        "./mapmap_p",
        input=data.encode(),
        capture_output=True
    ).stdout

def is_wrong(output):
    return b'false' in output

def get_enums(inp):
    # 限制连续反向移动(优化搜索效率)
    if len(inp) == 0:
        return ['w', 'a', 's', 'd']
    last_c = inp[-1]
    if last_c == 'w': return ['w', 'a', 'd']
    elif last_c == 'a': return ['w', 'a', 's']
    elif last_c == 's': return ['a', 's', 'd']
    elif last_c == 'd': return ['w', 's', 'd']

ans = ''
x, y = 0, 0
vis = [[0]*39 for _ in range(39)]

def dfs(depth):
    global x, y, ans, vis
    if depth == 140:
        if x == 38 and y == 38:
            print(ans)
            exit(1)
        return
    for d in get_enums(ans):
        nx, ny = x, y
        if d == 'w': ny -= 1
        elif d == 'a': nx -= 1
        elif d == 's': ny += 1
        elif d == 'd': nx += 1
        if nx < 0 or nx > 38 or ny < 0 or ny > 38:
            continue
        if vis[nx][ny]: continue
        ans += d
        if not is_wrong(test_opt(ans)):
            vis[nx][ny] = 1
            oldx, oldy = x, y
            x, y = nx, ny
            dfs(depth + 1)
            x, y = oldx, oldy
            vis[nx][ny] = 0
        ans = ans[:-1]

vis[0][0] = 1
dfs(0)

关键优化:禁止连续走回头路(比如上一步走了 w,下一步不允许走 s),大幅减少无效搜索分支,显著加快爆破速度。


运行结果

脚本运行后,DFS 成功找到从 (0,0) 到 (38,38) 的合法路径,将该路径字符串输入程序,程序输出 flag。


Flag

flag{f205f28a97000b7a21a5df3f9264d796}

总结

本题是经典的迷宫类逆向题,但迷宫规模较大(39×39,路径长度140步),直接静态分析地图数据成本较高。解题的巧妙之处在于充分利用程序本身提供的实时反馈机制,将"逆向分析地图"转化为"与程序交互的动态爆破"问题,思路转换后难度大幅降低。

这类题目的通用解法可以总结为:当迷宫数据难以直接提取时,优先考虑是否能通过程序的输出反馈来驱动路径搜索。结合 DFS/BFS 以及合理的剪枝策略(如禁止回头、记录已访问节点),通常能在可接受的时间内找到答案。

另外,patch 程序使其不在错误时退出是本题的关键前提,需要对程序的控制流有基本的理解,定位到错误分支的跳转指令并进行修改。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值