强网杯2021 misc 复现

最新推荐文章于 2021-11-24 21:45:17 发布
最新推荐文章于 2021-11-24 21:45:17 发布
阅读量1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrapeSour/article/details/118393618
版权

对强网杯BlueTeaming、ISO1995、CipherMan、Threebody的复现
(纯萌新学步)
可以参考mumuzi大佬的wp
https://blog.csdn.net/qq_42880719/article/details/117968361

BlueTeaming

审题

Powershell scripts were executed by malicious programs. What is the registry key that contained the power shellscript content?
Powershell脚本由恶意程序执行。包含power shell脚本内容的注册表项是什么?

注册表项

注册表编辑器”窗口的左边窗格中显示的文件夹就叫注册表项。注册表项包含其当中的子表项和值条目。简单来说,注册表项相当于注册表里的文件夹
在这里插入图片描述

解压得到一个无后缀的文件,分析文件头为7z,添加文件尾解压
得到一个memory.dmp文件,判断得到是内存镜像文件

对镜像进行分析,得到
在这里插入图片描述
使用pslist指令探测进程,发现cmd.exe的异常程序,但再看看
在这里插入图片描述
使用cmdline确认一下
在这里插入图片描述
但根据推测,他应该没什么问题
所以对cmd进行追踪,用memdump提取
得到一个7092.dmp文件,用010打开,搜索powershell,发现有2k+个结果,猜测有参数,所有搜索powershell -
在这里插入图片描述

得到flag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Communication

ISO1995

审题

We follow ISO1995. ISO1995 has many problems though. One known problem is a time.
我们遵循ISO1995。虽然ISO1995有很多问题。一个已知的问题是时间。

得到一个镜像文件,加上iso后缀,用ultraiso打开得到
在这里插入图片描述
将这些flag_f 0-1024保存下来,然后对文件flag的部分进行定位
在这里插入图片描述

发现FFFFFFFFF后面的两个字节是不一样的,但是其他都是一样的,所以写脚本提取后两位在这里插入图片描述
提取完成后

f = open("iso1995.iso",'rb').read()
f1 = open("flag",'wb')

def find_a(a,b):
    l1 = []
    length = len(a)
    index = 0
    while index < length:
        i = a.find(b, index)        
        if i == -1:
            print(l1)
            return l1
        l1.append(i)       
        index = i + 1       
    return l1

s = find_a(f,b'\xff\xff\xff\xff')
for i in s:
    f1.write(f[i+4:i+6])

提取完成后,将16进制转换成十进制

s = [""]*1024
f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
for i in range(1024):
    s[i] = int(f[i*4:i*4+4],16)

最后将他们进行重命名,按顺序重命名就行

import os
path = 'D:\\misc01-wym\\qwb\\ISO1995\\yiya'
num= 0
for file in os.listdir(path):
    os.rename(os.path.join(path,file),os.path.join(path,str(num)))
    num+=1

然后对重命名完的文件进行排序拼接,按照上上文中的s的顺序,

f = open("flag1",'wb')
for j in s:
    f1 = open("D:\\misc01-wym\\qwb\\ISO1995\\yiya\\"+str(j),"rb").read()
    f.write(f1)
print("done")

最后得到flag

FLAG{Dir3ct0ry_jYa_n41}

CipherMan

第一步审题:

The attacker maliciously accessed the user’s PC and encrypted specific volumes. How to decrypt the volume?
攻击者恶意访问用户的PC并加密特定卷。如何解密卷?

解压得到一个无后缀文件,用010分析文件头为7z,添加7z解压得到一个memory和一个secret文件
给memory文件添加vmem,用volatility打开
先判断镜像的属性
在这里插入图片描述
搜索桌面,发现有bitlocker的恢复密码标识
在这里插入图片描述

将他dump出来
在这里插入图片描述
拖进010发现
在这里插入图片描述

找了一万个工具,最后使用OSFMount,挂载之后,点击更多选项,解密成功
在这里插入图片描述
在这里插入图片描述
得到flag

Threebody

审题

  1. 所有出现图片的内容都是有意义的 1. 不要埋头做,根据已有信息合理使用搜索引擎

首先解压得到一个图片,使用stegsolve发现在这里插入图片描述
没有什么头绪,回到原图放大,发现像素点排序很有规律
在这里插入图片描述
用010查看像素点值
在这里插入图片描述
一般来说,正常的图片像素点之间差值都是很小的,发现以3为周期之间差值很大,但是以4为周期的话差距就很小,所以考虑将这个图片进行升维处理
在这里插入图片描述
在图片前面有个bibitcount,这个是每个像素所站的字节数,现在为24,即3个字节,将24改成32,再重新打开图片,发现了新图片
在这里插入图片描述
再将图片用stegsolve打开观察,发现一个老头
在这里插入图片描述
仔细观察图片发现右上角有一串白点,代表里面存着信息
用data extra查看其中信息,先按照行来查看
在这里插入图片描述
发现who am i?在按照列来查看
在这里插入图片描述
得到以上信息,一个老头叫David,通过一番查询得到,这是一个著名的数学家,大卫希尔伯特
然后就没有了思路,再回过去看图片的010
在这里插入图片描述
发现多了一个通道,并且这个通道的值跟blue通道值很接近,所以尝试将reserved通道值复制给blue

with open('threebody.bmp', 'rb') as f:
    d = f.read()

w = 580
h = 435
b = 4
l = bytearray(d)
off = l[10]
for i in range(h):
    for j in range(w):
        l[off+j*b+i*b*w] = l[off+j*b+i*b*w+3]

with open('threebody_new.bmp', 'wb') as f:
    f.write(l)

然后再用stegslove查看,得到一张新的图片
在这里插入图片描述
看到这张图片一般就是二维数组了,所以考虑将图片按照01序列保存,带没有什么结果,并且如果是逐行保存的话不应该出现左上角的区域与其他区域密度明显不同的情况。

前面的三体和大卫联合搜索一下,会发现一个网址

https://mp.weixin.qq.com/s/IOSGOJnGyiGoD8J1ITQJlg
希尔伯特曲线
这是一种将高维进行降维处理的一种方法,所以在这里可以将二维的二进制数组转成一维的二进制流。

因为这里我们得到的是128128的矩阵,128=2*7,所以我们应该使用7维的希尔伯特矩阵。

我们可以使用脚本把二维的01矩阵降维成一维的二进制流,便可以得到隐藏的文件。在写脚本时用到了https://github.com/galtay/hilbertcurve 这个库,实现的代码为:

import numpy as np
from PIL import Image
from hilbertcurve.hilbertcurve import HilbertCurve

with Image.open('threebody_new.bmp') as img:
    arr = np.asarray(img)
arr = np.vectorize(lambda x: x&1)(arr[:,:,2])

for x1 in range(np.size(arr,0)):
    if sum(arr[x1])>0:
        break
for x2 in reversed(range(np.size(arr,0))):
    if sum(arr[x2])>0:
        break
for y1 in range(np.size(arr,1)):
    if sum(arr[:,y1])>0:
        break
for y2 in reversed(range(np.size(arr,1))):
    if sum(arr[:,y2])>0:
        break

arr = arr[x1:x2+1, y1:y2+1]

hilbert_curve = HilbertCurve(7, 2)

s = ''
for i in range(np.size(arr)):
    [x,y] = hilbert_curve.point_from_distance(i)
    s += str(arr[127-y][x])

with open('output', 'wb') as f:
    f.write(int(s,2).to_bytes(2048, 'big'))

然后010发现最后的output是一个c语言文件,将文件编译运行后,发现有个小瑕疵,在molloc前加上(char*)成功运行,得到输出为代码本身
在这里插入图片描述
将输出复制下来以后,仔细观察两者不同,发现源代码的11段后面全是大量的空格和tab
在这里插入图片描述

在一番尝试之后,发现tab对应0,空格对应1,将其转化成二进制

01100110011011000110000101100111011110110100010000110001011011010100010101101110001101010110100100110000011011100100000101101100010111110101000001110010001100000011011000110001011001010110110101111101

再将二进制转化成字符串得到flag

flag{D1mEn5i0nAl_Pr061em}

梦梦梦梦梦梦梦梦
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[]-2021强网杯 [强网先锋]赌徒
zji
06-27 533
[]-2021强网杯 [强网先锋]赌徒 主要过程 首先我是centos7 php 。然后vim /flag根目录创建flag flag{35-44c7-850e-131e10c9a6ud} 我省略了zip.www扫描源码。 1、 在根目录下建立flag文件(这个文件在正式做题中我们是见不到的,实际上是需要我们通过解题找到这个文件的) vim /flag输入flag: flag{70702196032-ec35-44c7-850e-131e10c9a6ud} 保存退出 2、 在网站目录建立test
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
[ctf misc][2021强网杯]BlueTeaming
ShenZ的博客
11-24 691
[2021强网杯]BlueTeaming 解压得BlueTeaming改后缀BlueTeaming.zip,再解压得memory.dmp发是内存镜像 根据题目提示·Powershell scripts were executed by malicious programs. What is the registry key that contained the power shellscript content?· 先将注册表导出 volatility.exe -f C:\Users\shen\Deskt
强网杯2021✿MISC1 BlueTeaming
Tokeii想躺平
06-15 469
题目要求找到powershell执行的脚本储存的注册表键 以下为整体思路 使用到工具volatility、010editer 首先使用volatility查看dump文件基本情况 这里我使用的是windows下的volatility所以以下以windows语法为主 vol.exe -f memory.dmp imageinfo 如图所以要加上参数**–profile=Win7SP1x64** 因为题目让找powershell下,所以先看一下日志文件 vol.exe -f memory.dmp --pro
2021强网杯部分misc题解
Sapphire037的博客
06-20 850
Cipher man 下载得到memory和Secret,把memory放进虚拟机中,用vol取证,暂时没什么思路。查看Secret,用DiskGenius打开secret,发有bitlocker加密,根据题目描述,解密的秘钥应该就在memory中,先filescan,发一个可疑文件,dump下来得 下面这一串BitLocker的东西就是解密的密钥,成功打开secret,readme.txt里的话就是flag。 Eztime 下载得到 分别百度两个文件名,了解$Logfile是数据流文件,用文本文档打
强网杯2021 qwb misc WP 5题
mumuzi的博客
06-16 2763
BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime 本来是说昨天发的,忘了…… 然后取证题,比较偏向爆破出的flag;如果是想知道原理等可以去看看空白师傅的WP:https://mp.weixin.qq.com/s/ItaIgLxcXCjvAhyyP3On9Q BlueTeaming 下载解压,得到一个无后缀,winhex查看是7z文件头,添加.7z,解压 得到一个5个G的memory.dmp文件 是一个内存镜像,常见的内存镜像文件有raw、vmem、dmp
2018强网杯CTF-题目整理-校本图片Readme.zip
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动,旨在提升参赛者在信息安全领域的专业技能,增强社会对网络安全的重视。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛团队通过解决一系列...
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
2018红帽线上MISC----OS_038c9291c8039792d1aad140f6664671.iso
05-03
2018红帽线上MISC(听说你们喜欢手工爆破)文件----OS_038c9291c8039792d1aad140f6664671.iso
2021强网杯 ezmath
u010883831的博客
06-15 784
2021强网杯 reverse ezmath 奇怪的思路,但也算是出了flag。 bdl_4020是一个double数组,内容是19个小数。 sub_13F3函数如图: v3的初值是0.2021,但是在运行过程中修改成了0.000483 v3是一个递推的关系,递推公式是an+1=e−n×ana_{n+1}=e-n\times a_nan+1​=e−n×an​ 用python简单的打一个表,可以发v3初值无论为多少,经过80次左右的循环后,都会在正负无穷之间跳跃。 >>> v3 = [
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 797
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
强网杯2021 [强网先锋]赌徒
weixin_45805993的博客
09-14 420
0x00 前言 当时打比赛的时候因为队里的web师傅tql(r2 yyds),就一直在做misc,web就做了一道强网先锋,在回来一下,不过buu的上的题不全,也没得办法 0x01 [强网先锋]赌徒 正好还留着有源码,先贴一波 <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name='guest'; public $flag='sy
2021强网杯全国网络安全挑战赛Writeup
道阻且长,行则将至。
06-20 7606
文章目录前言强网先锋-赌徒PHP的魔术方法题目POP链构造强网先锋-寻宝Key1之代码审计Key2之脚本搜索 前言 上周末端午假期期间(6月12日9:00至6月13日21:00)参与了为期 36h 的第五届强网杯网络安全竞赛,不得不说题目比去年难多了,两天下来腰酸背痛脑壳疼……比赛的数据大致如下: 幸运的是最终在实力傍队友的情况下,又一年获得竞赛前 10% 有效排名的 “强网先锋” 称号,在此记录下比赛的 Writeup。 强网先锋-赌徒 1、下发赛题,访问地址如下: 2、结合题目源码提醒,利用 dir
2021强网杯 LongTimeAgo
VRMEI的博客
06-20 758
我们这题被锤了,理由是与摘星实验室wp重合度高 重合度有多高我不知道,但是我们所有人都压根没听说过这个实验室 所以我这里放一个更加细致的wp,不想让几十个小时的努力
2021强网杯 Web寻宝 WP
热门推荐
weixin_46245411的博客
06-14 1万+
前言:大佬们太强了、队友太强了,我只能写写被大佬们打爆的题来摸鱼 文章目录寻宝一、KEY1获取方式bypass二、KEY2获取总结 寻宝 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、KEY1获取方式bypass 具体步骤: 第一层:要求非纯数字,利用PHP的格式转换(字符串比较读取)$num1=1025a即可 第二层:绕过intv
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1262
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
强强联手:2021强网杯LongTimeAgo盘分析
kali_Ma的博客
07-24 425
花指令 查看main函数能看出有异常跳转。 查看汇编,将此处c为代码。 之后再依次去除花指令,再反汇编得到main函数伪代码。 主函数不短,先根据参数大概还原函数名,可以看出是常规的对输入加密再check。 接下来结合动态调试逐步分析。 初步check与自定义结构体初始化 这一段出的变量v3,v4,v5最终只在最后一个if语句中使用,可以直接动调查看比较的左侧的值即可得知这段代码的作用。 在比较处下断点,可知值为我们输入的长度,因此这段代码实质上是用来计算输入长度。即输入长度为64。 之后进行.
2021强网杯网络安全挑战赛Nu1L Team Writeup分析
"2021强网杯Writeup--by Nu1L Team.pdf" 是一份关于第五届“强网杯”全国网络安全挑战赛的赛后分析报告,由Nu1L团队编写。报告涵盖了多个网络安全领域的挑战,包括CTF(Capture The Flag)竞赛、网络安全和信息安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值