GACTF trihistory writeup

最新推荐文章于 2020-09-17 00:08:35 发布
最新推荐文章于 2020-09-17 00:08:35 发布
阅读量512 收藏 1
点赞数 1
分类专栏: ctf-writeup 文章标签: docker 安全 git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alexhcf/article/details/108347822
版权

知识点

docker各种命令使用&git使用、回滚&vim的.swp文件

题目描述

triple history
docker pull impakho/trihistory:latest

Write up

预备知识

在开始正式解题前,最好能知道docker各种命令使用&git使用

信息收集&正式解题

首先拉取镜像

docker pull impakho/trihistory:latest
docker run impakho/trihistory:latest

docker exec进入容器内部

docker exec -it <容器ID> /bin/bash

find命令模糊搜索flag文件名以此收集有无flag信息

find ./ -name flag*

在这里插入图片描述
然而flag显示被移除,那么我们现在有两个思路,一个是查看docker的操作历史,另一个是数据恢复,考虑数据恢复太麻烦,先试docker历史信息寻找蛛丝马迹
在这里插入图片描述

再启个shell,或退出docker shell,但仍在后台运行docker Ctrl + d or exit然后使用docker history命令

docker history --no-trunc=true impakho/trihistory:latest

输出非常迷惑,而且还是我后来用了-H模式

IMAGE                                                                     CREATED             CREATED BY                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 SIZE                COMMENT
sha256:f8f0608cd1a4334c15aa7f37598f5aa1ba7aca9556897a1d119a2e8432424238   3 months ago        /bin/sh -c #(nop)  ENTRYPOINT ["/start.sh"]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                0B                  
<missing>                                                                 3 months ago        /bin/sh -c #(nop) WORKDIR /                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                0B                  
<missing>                                                                 3 months ago        /bin/sh -c chmod +x /start.sh     && rm -rf /root/*                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        32B                 
<missing>                                                                 3 months ago        /bin/sh -c /bin/sh /root/history/init.sh                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   28.3kB              
<missing>                                                                 3 months ago        /bin/sh -c #(nop) COPY dir:10842f89fba0ff8cdfd2969f21e2f35efa6b9006ef2c8384db167b9892829977 in /root/history/                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              58.4kB              
<missing>                                                                 3 months ago        /bin/sh -c #(nop) COPY file:4e890e335b2de11108429b029b2d46b7798246b31303d9d9396a95e8398272cc in /                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          32B                 
<missing>                                                                 3 months ago        /bin/sh -c apt-get install nginx -y                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        60.3MB              
<missing>                                                                 3 months ago        /bin/sh -c echo 'deb http://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse' > /etc/apt/sources.list     && echo 'deb http://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse' >> /etc/apt/sources.list     && echo 'deb http://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse' >> /etc/apt/sources.list     && echo 'deb http://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse' >> /etc/apt/sources.list     && apt-get update -y     && apt-get dist-upgrade -y                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              33.6MB              
<missing>                                                                 3 months ago        /bin/sh -c #(nop)  EXPOSE 80                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               0B                  
<missing>                                                                 4 months ago        /bin/sh -c #(nop)  CMD ["/bin/bash"]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       0B                  
<missing>                                                                 4 months ago        /bin/sh -c mkdir -p /
最低0.47元/天 解锁文章
尸者狗
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GACTF】EasyRe WriteUp
古月浪子的博客
08-31 623
IDA打开直接能看到main函数 可以看到,在执行sub_8048838前,调用了前一个函数,对它进行动态patch(直接点进去sub_8048838会发现是无意义代码) 这个动态patch代码的算法有点复杂,直接gdb下断点然后dump memory ./dmp 0x8048838 0x8048de0,然后用WinHex把dump出来的替换掉原本的,IDA重新打开patch后的,就可以了 可以看出来,这是一个虚拟机,main函数里有对其进行初始化的函数 同样在main函数中我们可以找到opcod
GACTF oldmodem writeup
汗的博客
09-01 1537
题目描述 old modem (bell 202) China: https://pan.baidu.com/s/184Trg9M94uVSekGycaAR_w (密码:5mp2) Overseas: https://drive.google.com/drive/folders/1T94OrcveHAZTmTCwaVCojLXYlJc3lL3f?usp=sharing Writeup 首先,modem是调制解调器(猫)的意思,Google发现bell 202是一种标准,完成这些信息收集后,正式开始 下载文件
GACTF】Checkin WriteUp
古月浪子的博客
08-31 404
运行程序后隔了半秒才出现输入flag的提示,且用IDA搜索字符串搜索不到出现过的字符串。 用OD附加后F9,直接退出,索性慢慢F8跟,一直到跟入sub_404920函数中 发现与文件读写有关,继续OD跟踪,一直到标黄处 可以在栈窗口中看到被写入的文件的路径 程序被断在了这里,文件应该不可能被清理,资源管理器打开看看 直接在src目录里有一个Checkin.rb源代码 require 'openssl' require 'base64' def aes_encrypt(key,encry
GACTF crymisc writeup
汗的博客
09-02 698
题目描述 8.25 is Chinese Valentine’s Day.Yesterday my brother told me he was refused by a beautiful girl.He was sooooooooooooo sad and bursted into tears. 链接:https://pan.baidu.com/s/1EZzhnAa5Q4OD8y-YEAcjzQ 提取码:866h https://drive.google.com/drive/folders/1gDfMB
GACTF2020 checkin
lhk124的博客
09-08 261
题目虽然是签到题。但是我刚开始不知道该如何入手。 查看字符串,没有发现有用的内容。 有人会习惯性查看import table 应该学习。 除了有详细的地方需要动态调试之外,当静态看不出什么时,应该先动态调试起来。 动态调试时f8开始走,跑飞时f7进入。抽丝剥茧。不是无脑f8 f7。要注意使用的api 函数等等。 GetCommandLineA :检索当前进程的命令行字符串(即获取内容的api) CreateProcessA:创建新进程 在我OD载入并运行时出现了这情况。在ocr88A.tmp\s
2023 强网杯 Writeup
最新发布
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
古典加密writeup
01-05
做CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
WriteUp模板1
08-08
WriteUp模板1-文档编写指南 WriteUp模板1是用于编写解题报告的模板,旨在帮助参与校赛的选手编写高质量的解题报告。本文将详细介绍 WriteUp 模板1 的结构和编写要求,帮助选手更好地编写解题报告。 标题 WriteUp ...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
Writeup.rar
12-01
标题 "Writeup.rar" 暗示这可能是一个关于技术分析或解决问题的文档集合,可能是某项编程竞赛、课程作业或者编程挑战的解决方案。描述中同样提到 "Writeup.rar",意味着这个压缩包可能包含了对某个问题或项目的详细...
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
writeup
03-15
【标题】:“writeup”通常指的是安全研究或漏洞分析的报告 在IT行业中,“writeup”一词常常出现在网络安全、漏洞挖掘以及逆向工程的领域里。它是一种详细的技术文档,用于记录研究人员在分析漏洞、破解代码或者...
GACTF2020 WannaUp
lhk124的博客
09-08 330
要点:任何求余的操作都指明了一个点:限制了一个范围,从而限制了用到它的地方的范围 这道题的计算由 某一处的异或爆破+循环移位操作+异或运算 组成。 定位关键代码的几种方法 1.ida查找字符串,发现flag.bin和flag.txt。再使用x查找到了函数sub_402280 2.ida查看import表 发现如CryptDecryptGetWindowTextA 这类API,同样能定位到函数sub_402280 3.运行程序,一个gui界面,动态调试软件下断获取信息的api(r如GetDl..
GACTF easyre复现
苗_的博客
09-17 169
简单说一下函数逻辑: 首先输入38位char型数据过后进行三层加密encode_one, encode_two, encode_three,然后对比在程序里面存放的数据,如果相同则通过,否则就不通过 encode_one:base64编码(啊...这里源码看了好久...算是看到第二层输出并且看了个源码大概然后蒙出来的,换个表就容易懵...base64源码之前看的有点囫囵吞枣,单看源码还有点懵,主要是移位感觉没太学好的样子,最近再仔细学一下写篇博客) encode_two:每13个一...
GACTF复现 Easyre wp
苗_的博客
09-13 171
改栈指针(alt+k),f5反编译主函数:
GACTF复现 Checkin wp
苗_的博客
09-03 230
拿到附件,发现输入flag的时候,不输入,直接回车,会有下面的报错: 所以直接来到报错中出现的目录下,找到ruby脚本。 注意程序运行完之后会删除上面解压出来的那个目录,所以运行程序后,停在输入flag的那一步,接着去找上面的目录中的ruby脚本。 AES的ecb模式,有密文和密钥,然后直接在线解密: 这个报错有一部分是碰巧碰出来的,正常我们可以用process monitor来监测进程,找到ruby文件,具体见该师傅题解。 ...
GACTF2020 misc_crymisc
PushSafe
09-01 1067
GACTF2020 misc_crymisc 本人刚开始打ctf不久,希望各位师傅能对此文章提出宝贵的建议。 题目地址. 题目文件下载。866h 下载好的文件为:crymisc.docx 打开后显示报错,考虑将docx转换为zip文件查看docx文件里面的内容: 发现题目要求的文件打开3.jpg报错并提示密码错误,这时考虑zip伪加密 找到加密位置 改为00即可。 奇怪的知识又增加了: zip文件头信息 标准开头:50 4B 03 04 解压pkware版本:14 00 全局方式位标记: 00 00

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值