2026腾讯游戏安全竞赛Android初赛
2026腾讯游戏安全竞赛Android初赛 wp初赛对godot的理解不够,以前学习的主要是UE4相关,godot还是第一次搞,godot也有类似ue4那种dump,决赛才发现. 题目附件:下载压缩包 主要目标 正算法:根据屏幕左上角的随机token生成右上角的flag 逆算法:根据屏幕右上角的flag反推左上角的token 按实现的算法数量和完成度计分 到达绿色方块也可获得flag Flag获取 [Frida Hook碰撞]更简单的方法是把属性dump出来直接去触发碰撞,我这样调得出来的效率太低了 补充patch掉校验 主动触发 然后重新编译打包 失败会闪退 估计是得用原来的引擎或版本不对? 这个其实应该放在后面的,我是解完包,逆完算法在开始的,还好搞了,不对不知道,自己逆向的算法搞错了 要想获得flag 无非几种常见思路 主动调用process 主动撞箱子,飞上去 主动触发装箱函数 由于初次解出godot对感觉没有ue4那么有规律,也不知道怎么看字符串,对照方法,只能硬调 当前方案是用 Frida 强制 Trigger2 碰撞,让真 flag 显示在 Label2...
安卓UE4 SDKdump原理及魔改解决办法
UE4 SDKdump原理及魔改解决办法之前只会使用工具去dump对其原理没有细究 魔改就直接G了,本研究基于UE4Dumper/jni/Mem.h at master · revercc/UE4Dumper项目进行分析 后半段其实写的一坨,最核心的主要是拿源码的数据结构去对照,这里我用的AI,总之具体的寻找方法肯定是找对应的ue4小版本的数据结构去对照 DumpString1./ue4dumper --strings --newue+ --gname 0x4E2EC00 --package com.tencent.ace.gamematch2024final --output /data/local/tmp 这条命令的本质是通过 process_vm_readv 系统调用读取游戏进程的内存,按照 UE4.25+ 的 FNamePool 数据结构格式,遍历所有字符串池块,解析每个 FNameEntry 的 header +...
2025腾讯游戏安全竞赛Android决赛
2025腾讯游戏安全竞赛Android决赛准备工作需求 效果 寻找Gname 0xADF07C0 寻找Gworld通过Seamless定位 0xAFAC398 寻找GObject 0xAE34A98 SDKdump1234./ue4dumper64 --strings --newue+ --gname 0xADF07C0 --package com.ACE2025.Game --output /data/local/tmp./ue4dumper64 --objs --newue+ --gname 0xADF07C0 --guobj 0xAE34A98 --package com.ACE2025.Game --output /data/local/tmp./ue4dumper64 --sdku --newue+ --gname 0xADF07C0 --guobj 0xAE34A98 --package com.ACE2025.Game --output /data/local/tmp --verbose./ue4dumper64 --sdkw --newue+...
2023腾讯游戏安全竞赛Android初赛
2023腾讯游戏安全竞赛Andorid初赛 dumpdump so我使用的是gc修改器可以dump 具体操作参考https://blog.csdn.net/qq_49619863/article/details/131155604 当然用frida也行 12345678910111213141516171819202122var target_so = "libil2cpp.so";var path = "/data/data/com.com.sec2023.rocketmouse.mouse/";function dump_so(so_name) { var libso = Process.getModuleByName(so_name); console.log("[name]:", libso.name); console.log("[base]:", libso.base); console.log("[size]:",...
2024腾讯游戏安全竞赛Android初赛
2024腾讯游戏安全竞赛Andorid初赛需要附件请直接联系我 准备工作 寻找Gname 0xB171CC0 寻找Gworld 0xB32D8A8 寻找GUobject 0xB1B5F98 DumpSDK1234./ue4dumper64 --strings --newue+ --gname 0xB171CC0 --package com.tencent.ace.match2024 --output /data/local/tmp./ue4dumper64 --objs --newue+ --gname 0xB171CC0 --guobj 0xB1B5F98 --package com.tencent.ace.match2024 --output /data/local/tmp./ue4dumper64 --sdku --newue+ --gname 0xB171CC0 --guobj 0xB1B5F98 --package com.tencent.ace.match2024 --output /data/local/tmp --verbose./ue4dumper64...
2025腾讯游戏安全竞赛Android初赛
2025腾讯游戏安全竞赛Android初赛需要附件请直接联系我 发现了穿墙透视,子弹射速有问题,可能移动速度也有问题 准备工作寻找Gname搜索ByteProperty GName 对应的就是全局变量 wlock_,地址 0xADF07C0。 注意,这题里的 UE4 不是老式一个 GNames 数组指针的形态FNamePool,NamePoolData。也就是说ByteProperty 等硬编码名字,是被 sub_6A21FA4 调 sub_6A23DA8 塞进这个池里的 寻找GUObject dword_AE34A98 GUObjectArray 寻找Gworld qword_AFAC398,我这里的字符串识别错误了 DumpSDK1234./ue4dumper64 --strings --newue+ --gname 0xADF07C0 --package com.ACE2025.Game --output /data/local/tmp./ue4dumper64 --objs --newue+ --gname 0xADF07C0 --guobj...
Android-Flutter逆向原理及实战
Android-Flutter逆向原理及实战文章原理部分参考:Android-Flutter逆向 | LLeaves Blog 最近实战逆向一些APP发现都有用到flutter,因此学习下flutter逆向,本文预计包括flutter介绍,flutter例题,flutter实战逆向几部分 Flutter介绍Flutter 是由 Google 推出的一个跨平台 UI 开发框架,最早在 2017 年发布。它允许开发者使用一套代码同时构建Android、iOS、Web、Windows、macOS、Linux 等多个平台的应用。Flutter 的核心语言是 Dart。 从逆向角度看,Flutter 与传统 Android 应用(Java/Kotlin + XML UI)在结构上差异非常大,因此分析方法也不同。 Flutter的基本架构Flutter 的架构大致分为三层: Framework(Dart 层):这是开发者主要编写代码的地方,全部使用 Dart Flutter框架层,开发者可以通过 Flutter框架层 与 Flutter 交互,该框架提供了以 Dart...
WMCTF2023 VNCTF2023 BabyAnti 分析
BabyAnti 详解重要:这里有个更正从WMCTF2023下载的附件应该出错了应该是BabyAnti1.0的附件,后面我出flag和发现没碰到mincore的问题才发现 java层发现了一些反调试的东西,并且在lib下发现了anticheat.so libapp.so直接搜索3000 用blutter分析下 1python3 blutter.py path/to/app/lib/arm64-v8a out_dir 然后ida导入脚本add_names,就能恢复符号了,但是问题在于不能建立交叉引用 1.rodata:0000000000020C78 39 39 C4 43 6F 6E 67 72 61 74 75 6C 61 74 69 6F ... 里面确实能看出明文: 1Congratulation! Here is your flag: 为什么没有普通字符串交叉引用,在普通 native 程序里,常见情况是: 12ADR X0, aHelloBL puts 这里代码直接拿到了字符串地址,所以 IDA 很容易建立:代码 -> 字符串 的...
WMCTF2025 Want2BecomeMagicalGirl复现
WMCTF2025 Want2BecomeMagicalGirl最近在总结flutter逆向 又重新看了一遍这道题 WMCTF2025 Want2BecomeMagicalGirl - Britney java层Java 层其实很短,真正有用的只有一条 Flutter 通道和一个 XXTEA变种 入口MainActivity onCreate() 只做了几件事: 注册 Flutter 通道:P0.b.c(aVarJ)。 弹一个 120 秒倒计时对话框,文本来自 story 资源。 真正流程关键在 P0/b.java:48: 它向 Flutter 注册了一个 MethodChannel(“to”)。 handler 取的是 hVar.f7172a,也就是 MethodCall.method,不是 arguments。 收到字符串后走 f(str)。 f(str) 的逻辑在 P0/b.java:79: 第一次调用时启动一个后台线程。 把种子重置为固定值 114514。 用 Java Random 同款 LCG 公式生成一个 16-bit...
简单学习ollvm混淆&polyre例题解析
简单学习ollvm混淆转载参考自:[原创]深入浅出 Ollvm 混淆原理及反混淆技术-Android安全-看雪安全社区|专业技术交流与安全研究论坛 OLLVM 的三大核心混淆手段:指令替换、虚假控制流、控制流平坦化 指令替换通过数学等价变换来增加代码复杂度的混淆技术。它的核心思想是将程序中原本简单的指令(如加法、异或),替换为一段功能等效但逻辑极其晦涩的指令序列。 比如把a+b换成a-b+c-c+b+b 去除手段D810 可以看到,虽然 D-810 成功去除了一部分混淆,但核心逻辑(RC4 的异或操作)依然被更深层次的 MBA 表达式掩盖,未能完全还原。 当 D-810 无法完全还原,或者你需要处理极高强度的 MBA 表达式时,GAMBA 是你的终极武器。 该工具的详细使用方法请移步:[分享]Ollvm 指令替换混淆还原神器:GAMBA 使用指南 虚假控制流通过向代码中注入永远不会执行的“死代码”块和难以预测的条件跳转,来干扰控制流图(CFG)分析。 不透明谓词:在程序运行时其真假结果是确定的,但对静态分析器而言难以推断其恒真或恒假的条件表达式。 示例:if (x *...