2024铁人三项决赛CTF RE - mapmap 解题笔记
题目信息
- 题目名称:mapmap
- 题目描述:命令行的迷宫
- 题目类型:REVERSE(逆向)
- 赛事:2024年第一届"长城杯"信息安全铁人三项赛线下决赛
初步分析
拿到题目附件后,file 命令确认是一个 Linux ELF 可执行文件。运行程序,发现它接受键盘输入,输入 w/a/s/d 四个方向键来控制移动,输入错误路径时程序输出 false,走到终点则输出 flag。
题目描述"命令行的迷宫"已经给出了明确提示:这是一道迷宫类逆向题,核心是找到从起点到终点的正确路径。
逆向分析
加载进 IDA 分析主逻辑,程序结构相对清晰:
迷宫参数
- 迷宫大小:39×39(坐标范围 0~38)
- 起点:(0, 0)
- 终点:(38, 38)
- 路径长度:恰好 140 步
移动规则
w:y 坐标减 1(向上)s:y 坐标加 1(向下)a:x 坐标减 1(向左)d:x 坐标加 1(向右)
校验逻辑
程序在每次输入后实时校验当前路径是否合法,走到墙壁或越界时输出 false。这个特性非常关键——可以利用程序本身作为"迷宫验证器",通过与程序交互来探测哪些方向可以走。
直接静态分析的困难
迷宫的地图数据在程序中以较为复杂的方式存储,直接从二进制中提取地图并不直观。考虑到程序提供了实时反馈(走错就输出 false),更高效的方案是利用程序的这一特性进行动态爆破。
解题思路:动态爆破 + DFS
核心思路是:对程序做一处 patch,让它在输出 false 时不退出,而是继续接受输入;然后编写脚本,通过 DFS(深度优先搜索)枚举所有可能的路径,每走一步就调用程序验证,以此探测出完整的迷宫路径。
Patch 方案
找到程序中输出 false 后的跳转指令,将其修改为 NOP 或改变跳转方向,使程序在遇到错误路径时不终止,而是继续等待输入。这样脚本就可以持续与程序交互。
DFS 爆破脚本逻辑
import subprocess
def test_opt(data):
return subprocess.run(
"./mapmap_p",
input=data.encode(),
capture_output=True
).stdout
def is_wrong(output):
return b'false' in output
def get_enums(inp):
# 限制连续反向移动(优化搜索效率)
if len(inp) == 0:
return ['w', 'a', 's', 'd']
last_c = inp[-1]
if last_c == 'w': return ['w', 'a', 'd']
elif last_c == 'a': return ['w', 'a', 's']
elif last_c == 's': return ['a', 's', 'd']
elif last_c == 'd': return ['w', 's', 'd']
ans = ''
x, y = 0, 0
vis = [[0]*39 for _ in range(39)]
def dfs(depth):
global x, y, ans, vis
if depth == 140:
if x == 38 and y == 38:
print(ans)
exit(1)
return
for d in get_enums(ans):
nx, ny = x, y
if d == 'w': ny -= 1
elif d == 'a': nx -= 1
elif d == 's': ny += 1
elif d == 'd': nx += 1
if nx < 0 or nx > 38 or ny < 0 or ny > 38:
continue
if vis[nx][ny]: continue
ans += d
if not is_wrong(test_opt(ans)):
vis[nx][ny] = 1
oldx, oldy = x, y
x, y = nx, ny
dfs(depth + 1)
x, y = oldx, oldy
vis[nx][ny] = 0
ans = ans[:-1]
vis[0][0] = 1
dfs(0)
关键优化:禁止连续走回头路(比如上一步走了 w,下一步不允许走 s),大幅减少无效搜索分支,显著加快爆破速度。
运行结果
脚本运行后,DFS 成功找到从 (0,0) 到 (38,38) 的合法路径,将该路径字符串输入程序,程序输出 flag。
Flag
flag{f205f28a97000b7a21a5df3f9264d796}
总结
本题是经典的迷宫类逆向题,但迷宫规模较大(39×39,路径长度140步),直接静态分析地图数据成本较高。解题的巧妙之处在于充分利用程序本身提供的实时反馈机制,将"逆向分析地图"转化为"与程序交互的动态爆破"问题,思路转换后难度大幅降低。
这类题目的通用解法可以总结为:当迷宫数据难以直接提取时,优先考虑是否能通过程序的输出反馈来驱动路径搜索。结合 DFS/BFS 以及合理的剪枝策略(如禁止回头、记录已访问节点),通常能在可接受的时间内找到答案。
另外,patch 程序使其不在错误时退出是本题的关键前提,需要对程序的控制流有基本的理解,定位到错误分支的跳转指令并进行修改。

被折叠的 条评论
为什么被折叠?



