VNCTF2024misc方向部分wp

最新推荐文章于 2024-03-15 17:31:13 发布
最新推荐文章于 2024-03-15 17:31:13 发布
阅读量1.4k 收藏 22
点赞数 22
文章标签: VNCTF misc ssh Gnu Radio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyttttttt/article/details/136150540
版权
文章探讨了一种SQL注入攻击手法,利用tshark抓包工具分析了异常的payload。涉及到了OpenGl库的绕过方法,以及在OnlyLocalSql挑战中的逆向工程和权限利用,如SSH端口转发和恶意MySQL服务器利用。
摘要由CSDN通过智能技术生成

文章目录

sqlshark

tshark -r sqlshark.pcap -Y "http" -T fields -e frame.len -e http.file_data > data.txt

不太像常规的盲注,一次性发送两条很类似的payload,比常规的多了一个least在判断password值的最小值

Form item: "password" = "any'/**/Or/**/(iF(((((Ord(sUbstr((sElect(grOup_cOncat(password))frOm(users)) frOm 14 fOr 1))))in(99))),1,0))#"
Form item: "password" = "any'/**/Or/**/(iF(((leAst((Ord(sUbstr((sElect(grOup_cOncat(password))frOm(users)) frOm 14 fOr 1))),99)in(99))),1,0))#"

其实可以直接忽略这一条,用长度判断直接去掉,随手写的乱七八糟脚本如下:

import re
import urllib.parse
with open('data.txt','r',encoding='utf-8')as file:
    lists = file.readlines()

flag=''
tmp = 1
flag_tmp = 0
for i in range(0,len(lists),2):
    match = re.search(r'(\d+)', lists[i+1])
    length = match.group(1)
    # print(length)
    payload = (urllib.parse.unquote((bytes.fromhex(lists[i].split("\t")[1])).decode())).lower()
    # print(len(payload))
    if length == "492" and len(payload)<135:
        print(payload)
        match = re.search(r'in\((\d+)\)\)', payload)
        asc = int(match.group(1))

        match = re.search(r'from\+(\d+)\+',payload)
        # print(match)
        location = int(match.group(1))
        flag+=chr(int(asc))
print(flag)

得到的密码套个VNCTF{}就是flag了

LearnOpenGL

flag被砖块挡住了,直接用全透明图覆盖掉砖的图片

from PIL import Image

# 创建一个全透明的RGBA模式图片
img = Image.new("RGBA", (128, 128), (0, 0, 0, 0))

# 保存图片
img.save("transparent_image.png")

image-20240217182134194

image-20240217182148134

ez_msb

总体流程如下,在blocks_add_xx_0处将两个数据结合到一起了

image-20240217183828864

照着逆就好了,打印一下振幅再加题目名其实就很明显可以看出flag.txt对应哪部分数据了

jio本:

from scipy.io import wavfile
import numpy as np

# 读取音频文件
samplerate, data = wavfile.read('out.wav')

# 将音频数据转换为浮点数类型
samples = np.array(data, dtype=float)

# 获取音频振幅
amplitudes = np.abs(samples)
amplitudes = np.abs(samples)*1000/2

# 获取整数部分
int_amplitudes = amplitudes.astype(int)
data = ''
for i in int_amplitudes[:200]:
    data += (bin(i)[2:].zfill(2))
print(data)

image-20240217184133187

OnlyLocalSql

坏,被搞得怀疑人生的题目

源码:CTF-Archives/VNCTF2024-OnlyLocalSql: VNCTF2024 - Misc - OnlyLocalSql - Source Code (github.com),请给巨魔一个star!

出题人讲解https://space.bilibili.com/12949995

可以看到有个web服务,同时看源码就可以看出是不久前的西湖论剑的only_sql的源码,当然是后话了

image-20240217184428278

直接访问http服务访问不通,看题目描述提到强制连接本地服务

发现本地curl是通的

image-20240217184712083

因此想到使用流量转发,过ssh隧道去访问服务器的内网

彻底搞懂SSH端口转发命令 - 知乎 (zhihu.com)

Lateral Movement and Pivoting - 横向移动和枢纽 | TryHackMe CN Mirror (tryhackmyoffsecbox.github.io)

将服务器127.0.0.1的80端口转发到本地的8888端口,因此访问本地的8888端口的流量就会被通过服务器21013的ssh端口访问80端口,相当于从服务器本地进行访问

ssh -p 21013 ctf@manqiu.top -L 8888:127.0.0.1:80

image-20240217190307021

成功访问到,不过这里mysql密码被改了,不是query.php里的注释密码,后面不能直接跟西湖论剑里一样去连接并命令执行

不过由于知道flag的位置/flag,并且发现/flag www-data就能读了

image-20240217190718310

两种方法,一个是rogue_mysql_server项目rmb122/rogue_mysql_server: A rouge mysql server supports reading files from most mysql libraries of multiple programming languages. (github.com),伪造mysql服务,任意读文件,需要把本地的端口转发给服务器的33060,写到这里平台关了,题目docker还没启好,先留个坑迟一点填

还有一个非预期是题目权限没弄好 /var/www/html下有写权限,直接写个一句话就搞定了,反正flag不是root权限读

在这里插入图片描述

是toto
关注
  • 22
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2024 VNCTF----misc---sqlshark sql盲注+流量分析
2202_75787160的博客
02-18 611
这是sql盲注, 从1到14可以看出flag有14位,每位只取最后成功的一个转码。最后拼成admin_p@ssw0rd。
[VNCTF2024]-PWN:shellcode_master解析(orw,用mmap代替read读文件)
2301_79326813的博客
02-25 703
查看保护查看ida在sandbox函数中,函数先使用了seccomp_init初始化,允许了所有系统调用,再用seccomp_rule_add来禁用掉了部分系统调用,其中包括execve和readseccomp_init函数可以进行系统调用全禁用和全允许初始化seccomp_rule_add函数可以运行或禁用部分系统调用题目很明显地提示要使用shellcode,我们可以使用两种方式去编写shellcode。
[VNCTF2024] babyc2 复现
weixin_55295713的博客
02-18 412
不负所望的爆零了!!!借此机会鞭策一下自己,顺便记录一下学习心得本次遗憾爆零,希望吸取教训,再接再厉 我似乎从来没有做好过任何一件事,但希望在CTF的道路上我能一直走下去,务必一定。
VNCTF 2024 Web方向 WP
Jay17的博客
02-17 2344
VNCTF 2024 Web方向 WP 没做多少,菜菜呜呜
迟到的VNCTF2024逆向题WP
sln_1550的博客
02-28 1656
这次比赛因为有事外出,只做了前两题,最近有空才把另外3题也做出来,总体来说比以往的VNCTF逆向题目要难一些。当然也有可能是我水平退步了,就算有时间参加比赛,也做不完这5题。VN的小伙伴越来越厉害了,出的题质量还不错哦。
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
UNCTF2021 部分wp.pdf
12-10
UNCTF2021 部分 WP 解题报告 本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021 的 WEB 部分中,我们遇到了一...
UNCTF misc 和crypot的wp
11-09
UNCTF misc 和crypot的wp
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
LitCTFMISC部分
05-14
Litctf赛后wpmisc部分
新手向-从VNCTF2024的一道题学习QEMU Escape
最新发布
蚁景网安学院
03-15 628
[F] 说在前面本文的草稿是边打边学边写出来的,文章思路会与一个“刚打完用户态 pwn 题就去打 QEMU Escape ”的人的思路相似,在分析结束以后我又在部分比较模糊的地方加入了一些补充,因此阅读起来可能会相对轻松(当然也不排除这是我自以为是????)[1] 题目分析流程[1-1] 启动文件分析读Dockerfile,了解到它在搭起环境以后启动了start.sh,再读start.sh,了解到它...
VNCTF2024-misc方向部分wp
Rick66Ashley的博客
02-17 1679
那就看看配置文件吧.dll略过,据说是播放音乐的,resources文件夹里有音乐图片和字体,图片里什么也没发现还剩一个着色器文件夹其中的particle应该是渲染小球的,post_process应该是震动效果,至于text就是文字,应该是我们要找的flag,还有一个sprite去问了一下gpt,这里面渲染游戏元素的颜色,比如砖头之类的颜色,代码是。2.乘除,合成分离运算在Math,类型转换typeconverter,然后文件操作是fileoperator,文件源source,文件处理结果sink)
2024BeginCTF(自由赛道)writeup
qq_74349936的博客
02-06 1582
参加了beginCTF的比赛,在此记录一下我自己做题的思路。(本人太菜没写出几道题)有什么写的不对的地方,欢迎指正。
[VNCTF] EasyJava
Landasika的博客
05-17 392
目录 [VNCTF] EasyJava一、拿到源码二、分析源码三、Servlet的线程安全问题:条件竞争四、构造反序列化 [VNCTF] EasyJava 一、拿到源码 首先拿到题目,查看源码发现了提示:/file? 进入/file文件发现需要提交一个url。由于前面提示用file进入,这个时候我们可以尝试用文件读取。 输入 ?url=file:/// 之后显示发现有一个flag,但是...
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3
arttnba3的博客
04-05 995
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca
VNCTF2021[WEB]
Y4tacker的博客
03-18 3588
文章目录前言Ez_gamenaiverealezjvavEasy_laravel 前言 这次比赛题目质量很好,本菜鸡做出了两道web题目,还是比较开心,只是赛后复现laravel一天半也没有成功,我好自闭啊 Ez_game 在game.js里面发现,直接放到console里面跑,得到flag ["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6
VNCTF 公开赛 2021 factor
blog
03-14 1356
[VNCTF 2021] factor task.py from Crypto.Util.number import * from gmpy2 import * from secret import flag from icecream import * # flag = b'SYC{123123123123123}' def get_public_key(d): while 1: p, q = getPrime(512), getPrime(512) N, phi,
vn_pwn_babybabypwn_1(SROP+栈迁移)
seaaseesa的博客
04-09 605
vn_pwn_babybabypwn_1 首先检查一下程序的保护机制 然后,我们用IDA分析一下 显然一个signreturn的系统调用,因此可以做SROP。由于开启了PIE,因此,我们不考虑程序的bss段,而是考虑glibc的bss段,因为重新一开始告诉了我们puts函数的地址,我们就可以知道glibc的地址。我们先利用read在glibc的bss段布置下rop,然后栈迁移过去即可...
[VNCTF 2021]naive
Y4tacker的博客
03-15 2549
[VNCTF 2021]naive 拿了一个二血开心 亮点 nodeJs的ES6特性import及其动态加载特性 Wp 首先打开题目是一个计算器,以为是常规的审计Node去实现逃逸啥的,后来发现不是 在源代码当中发现,存在任意文件读取,先放一边 app.use("/source", (req, res) => { let p = req.query.path || file; p = path.resolve(path.dirname(file), p); if (p.includes("
工业互联网安全misc wp
10-27
工业互联网安全是指保护工业互联网系统免受各类恶意攻击和数据泄露的安全措施。随着工业互联网的快速发展,工业互联网安全问题日益突出,需要采取有效措施确保系统的可靠性和稳定性。 首先,工业互联网安全需要进行系统漏洞的识别和修复。通过对系统进行全面的安全漏洞扫描,及时修复已知漏洞,避免黑客利用安全漏洞对系统进行攻击。 其次,建立严格的访问控制机制也是工业互联网安全的重要环节。只允许经过认证的用户访问系统,并设置不同权限的用户角色,确保只有授权的用户才能进行相关操作,避免未经授权的用户对系统进行恶意操作。 此外,工业互联网安全还需要进行实时的威胁监测和入侵检测。通过监测系统流量、事件日志和用户行为等信息,及时发现潜在风险和入侵行为,采取及时的应对措施,避免系统被攻击或数据泄露。 最后,定期进行系统备份和恢复也是保障工业互联网安全的重要手段。定期备份系统数据,并制定完善的恢复计划,以免系统故障或攻击导致数据丢失或恢复困难。 综上所述,工业互联网安全是保护工业互联网系统安全的重要措施,需要进行系统漏洞修复、访问控制、实时威胁监测和入侵检测以及系统备份和恢复等多方面的工作,确保系统运行的安全可靠。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值