DozerCTF re

最新推荐文章于 2021-12-12 11:10:03 发布
最新推荐文章于 2021-12-12 11:10:03 发布
阅读量423 收藏
点赞数 1
分类专栏: dozer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/106771199
版权

这个题目出的还行,不错。。。。比赛中做出了三题,刷了1000分,却被两个150 200分的签到题难住了。。。太菜了

  1. Maze
    Maze这类题都是老套路了,不过出题人还是变着花样,想出新点子阿。。。
    首先upx脱壳,之后发现程序内置反调试懒得nop了,干脆静态分析得了
    在这里插入图片描述
    发现我每走一步,我的方向健都会发生变化,同时发现这个迷宫是有插入的,
    于是我想到一个绝妙的点子,只要我把插入的a换成b或0就可以了,同时每走一步方向键按照他换一下就可以了(看的我眼睛都瞎了。。。。。a换b真tm多)
#include<stdio.h>
#include<string.h>

int main()
{int u;
	
	unsigned char op[]="WASD";
	unsigned  char q;
	int i =144;
	int l=0;
	int o=0;
	int r;
	unsigned char C[] =
{
  0x41, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x00, 
  0x41, 0x42, 0x42, 0x41, 0x41, 0x41, 0x42, 0x42, 0x42, 0x42, 0x42, 0x42, 0x00, 
  0x41, 0x42, 0x42, 0x41, 0x42, 0x41, 0x0, 0x0, 0x42, 0x42, 0x41, 0x41, 0x00, 
  0x41, 0x42, 0x42, 0x41, 0x42, 0x41, 0x42, 0x41, 0x42, 0x42, 0x42, 0x41, 0x00, 
  0x41, 0x41, 0x41, 0x41, 0x42, 0x41, 0x42, 0x41, 0x42, 0x42, 0x42, 0x41, 0x00,
  0x42, 0x42, 0x42, 0x42, 0x42,  0x41, 0x42, 0x42, 0x42, 0x41, 0x0, 0x0, 0x00, 
  0x42, 0x41, 0x41, 0x41, 0x41, 0x41, 0x42, 0x42, 0x42, 0x0, 0x42, 0x42, 0x00, 
  0x42, 0x41, 0x42, 0x42, 0x42, 0x42, 0x42, 0x41, 0x41, 0x41, 0x41, 0x0, 0x00, 
  0x42, 0x41, 0x41, 0x41, 0x41, 0x41, 0x42, 0x41, 0x42, 0x42, 0x41, 0x42, 0x00, 
  0x42, 0x42, 0x42, 0x42, 0x42, 0x41, 0x42, 0x41, 0x42, 0x42, 0x41, 0x42, 0x00, 
  0x42, 0x42, 0x42, 0x42, 0x42, 0x41, 0x42, 0x41, 0x42, 0x42, 0x41, 0x42, 0x00, 
  0x42, 0x42, 0x42, 0x0, 0x0, 0x41, 0x41, 0x41, 0x42, 0x42, 0x41, 0x45, 0x00
};
unsigned char s[200];
for( r=0;r<150;++r)
s[r]=0;
s[0]=1;

	
	while(i--)
	{
		int tmp1 = l;
		int tmp2 = o;
		if((tmp1<11)&& (s[13*(tmp1+1)+tmp2]==0))
	{
			if(C[13*(tmp1+1)+tmp2]==0x41||C[13*(tmp1+1)+tmp2]==0x45)
	 {
	 
		 
			printf("%c",op[2]);
					char v0 = op[1];
			op[1] = op[3];
			op[3] = v0;
			char v1 = op[0];
			op[0] = op[2];
			op[2] = v1;
			l++;
		
	
			s[13*l+o]=1;
		
			continue;
			
		}
	}
		
		if((tmp1>0)&&(s[13*(tmp1-1)+tmp2]==0))
		if(C[13*(tmp1-1)+tmp2]==0x41||C[13*(tmp1-1)+tmp2]==0x45)
		{	printf("%c",op[0]);
			char v1 = op[0];
			
			op[0] = op[2];
			op[2] = v1;
			
			l--;
			s[13*l+o]=1;
				
			
			continue;
		   
			
		}
		
		if((tmp2>0)&&(s[13*(tmp1)+tmp2-1]==0))
		if(C[13*tmp1+tmp2-1]==0x41||C[13*tmp1+tmp2-1]==0x45)
		{
			printf("%c",op[1]);
			char v0 = op[0];
			op[0] = op[1];
			op[1] = op[2];
			op[2] = op[3];
			op[3] = v0;
			
			o--;
				s[13*l+o]=1;
				
			continue;
		
			
		}
		
		if((tmp2<11)&&(s[13*(tmp1)+tmp2+1]==0))
		if(C[13*tmp1+tmp2+1]==0x41||C[13*tmp1+tmp2+1]==0x45)
		{
			printf("%c",op[3]);
				char v1 = op[3];
			op[3] = op[2];
			op[2] = op[1];
			op[1] = op[0];
			op[0]  =v1;
			o++;
			s[13*l+o]=1;
			
			continue;
			
		}
		
		
		
		

		
	}
}
之后换成MD5j就可以了
  1. vm
    这道题 我一开始是没什么想法的,跟踪流程发现流程有点复杂,于是我瞎输了几个

在这里插入图片描述
于是 察觉 或许是将我的数加密然后比较 于是对我的输入下一个硬件断点 发现了对比的数 和 加密的方法。。。(放的怎么近真的好吗。。。。)
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200615210236535.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM3NDM5MjI5,size_16,color_FFFFFF,t_70`

 >>> a = [0x50 , 0x7b , 0x66, 0x71,0x5e, 0x4f,0x60,0x72,0x67,0x50,0x7b,0x66,0x71,0x5e,0x4b,0x42,0x59,0x4b,0x75,0x5f,0x4b,0x5f,0x7b,0x4b,0x71,0x6d,0x5f,0x65,0x2d,0x69]
>>> s = ""
>>> for i in range(len(a)):
...    d= (a[i]-0xfc)&0xff
...    d = d^0x10
...    s+=chr(d)
... 
>>> print s
DozerCtf{Dozer_VM_is_so_easy!}
  1. Num
    首先,在cutter上 去掉几个指令, 创建一个函数看伪代码

在这里插入图片描述在这里插入图片描述代码太长了。。。就放两张) 之后出题人给了提示题目使用位运算表达加减乘除
百度一下后知道
int add(int a,int b) {
int carry,add;
do{
add = a^b;
carry = (a&b)<<1;
a = add;
b=carry;
}while(carry!=0);
return add; } 表示+

int subtract(int a,int b){
return add(a,add(~b,1));}
表示减

使用z3解方程
>>> from z3 import *
>>> v0 = Int('v0')
>>> v1 = Int('v1')
>>> a3 = Int('a3')
>>> s = Solver()
>>> s.add(a3*2+a3+4*v0-0x13cc==v1)
>>> s.add(8*v0+v0+a3+8*v1-2*v1==0x3518)
>>> s.add(0x1759==2*(v0+a3)+(v0+a3)+v1)
>>> if s.check()==sat:
...    print(s.model())
... 
[v0 = 833, v1 = 871, a3 = 869]

知道07加起来为833,60xf为871,0x10~0x18为869
之后就慢慢解方程了。。。。。。。
不过cutter反编译出来的运算过程是对的,但但参与的数不对,得对应参照看看mips指令找到对应的数才行
方程得一个个解,但都比较简单,大多数都是使用xor的恒等式和位运算的加减乘除,我就说说解的过程中比较特殊的几个函数
fcn.0041a4e4我猜是strcmp事实证明我猜的差不多 比较的字符串有ctf is
比较的位置没看出了于是靠蒙,结果蒙对了。。。。
fcn.0041a4e4

在这里插入图片描述
经过测试是比较两个字符是否相等
接下来的都是一个个解,
最后得到flag Dozerctf{num_is_so_good}

20000s
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DozerCTF-2nd:2019金陵科技学院校赛赛初赛web题源码及wp
03-23
推土机CTF-2nd 2019金陵科技学院第二届网络安全竞赛网站题解 web1果粉: 修改ua,包含iphone串口即可。 web2的React: 通过.index.php.swp还原出代码。 利用正则回溯机制导致的安全问题: import requests from io import BytesIO data = { 'greeting': BytesIO(b'Baby PHP' + b'a' * 1000000) } res = requests.post('http://120.27.3.220:10001/',data=data) print(res.text) web3 babyshop: 简单的bool形盲注,没有任何过滤... import requests import string perm = string.ascii_uppercase + string.d
DozerCTF2021
Huamang的博客
06-02 373
ezmisc foremost分离,得到一个gif,一个png gif是很多个二维码,一个个扫就是了 得到DozerCTF{is_it_simple 再扫一下png,发现就一句话,二维码不可能这么密 拉到记事本里面看了一下,这里是一百多列,只是里面的字符我们看不见而已 这里就是考察0长度的不可见unicode编码 把扫出来的东西保存成文件,用工具还原就可以了 ruby zwsp.rb d flag 一点也不杂 拿到文件有三个 f3是base85 _good_over} 图片是010打开,看末尾的一
DOZERCTF --部分复现
SopRomeo的博客
06-15 645
web 白给的反序列化 的确白给 高危函数在这,利用这个函数读取flag.php 这个函数要传两个参数 第一个参数是函数的名字,而我们需要读取flag.php,刚好mysy()函数可以读取任意文件 第二参数要传一个数组,数组里要是参数 所以令第二个参数为flag.php的数组 exp如下 <?php class home { private $method ="mysys"; private $args = array("flag.php"); } $a = new hom
buuctf Crackme6
qq_37439229的博客
05-16 677
这道题涉及的知识点说实话还是蛮多的。。。 首先是这里的加密 主要是看汇编,不难,yafu一下知道是[2,3,5,7,11,13,17,19,23] a = [2 , 3, 5, 7, 11 ,13,17,19,23] b = [0x33,0x21,0x22,0x21,0x35,0x7c,0x62,0x65,0x6e] for i in range(9): a[i] = a[i] +0x41 a[i] = a[i] ^b[i] "".join(chr(a[i]) for i in rang
BUUCTF-----Crackme
qq_64558075的博客
12-12 982
1.老规矩,拿到文件,进行查壳 收集信息,无壳,32位程序 2,试着运行一下 发现就是一个类似于登录的东西 3.拖入ida中
2016中国-西安西电华山杯网络安全技能大赛之crackme6
09-12
2016中国-西安西电华山杯网络安全技能大赛之crackme6之writeup分享
DozerCTF Writeup
SkYe's Blog
06-14 659
pwn - ret2 temp 一开始记得不是这个题目名字,应该是 ret2dl-resolve ,高大上东西不会 分析 保护情况 32 位动态链接;打开 NX ; Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数 read 函数栈溢出 ssize_t vuln() { char buf;
DozerCTF2020部分web复现
qq_43756333的博客
06-20 533
前几天打的比赛,web只做出了两道签到题,域渗透的题暂且搁置,想着就把其他的web复现一下吧。 平台:http://ctf.dozerjit.club:8000/ sqli-labs 0 sql-labs改的题,试了很多种姿势都没让id报错,后来还是官方出了hint让尝试url二次编码(喷)才成功 之前在测试中发现select,union之类的都被过滤了,开始以为是盲注,所以写了个脚本出了数据库 import requests words = "Dumb" result = "" for i in r
DozerCTF2020部分writeup
qq_41743240的博客
06-16 832
真 · 签到 base64→base32→base16→base58 sqli-labs 0 url 二次编码绕过,堆叠注入,handler 代替 select id=1%2527;handler%20`uziuzi`%20open%20as%20okami;handler%20okami%20read %20first;handler%20okami%20close; 白给的反序列化 path=O:4:"home":2:{s:12:"%00home%00method";s:5:"m..
buuctf-crackMe题解及感悟
weixin_51373492的博客
05-19 1539
这道题花了我将近两天的时间,期间因为看wp完全看不懂疯狂请教学长,最终自己动手调试出来了。实在是不容易,也确实学到了许多东西,记录于此。 下载题目的程序后,惯例查壳,发现莫得 先打开程序,程序要我们输入用户名和密码,了解。 丢进ida 进入主函数wmain 把函数名字改成看得懂的单词 由此处的while和最里层的那个break可知,要从该循环跳出,这俩if都得满足 首先我们分析第一个if,点进sub_401830并开始分析 因为这个if要成立,所以这个return后面的表达式必须成立,及v14==43
BUUCTF crackMe 题解
lifanxin的博客
07-12 3413
crackMe程序信息题目分析main函数分析sub_401830关键函数分析动态调试byte_416050求解总结 程序信息   这道题目来自于哪个实际比赛,我没有去找,我个人是从buuoj上刷到的,位于re部分第二页,题目只有一分,做出来的人也比较多,看起来应该是个简单的题目。   之所以要写这个wp,是对题目的答案存在一些疑问,网上也有很多wp,我都看了一下,大致都出自于同一个人的手笔O(∩_∩)O。我个人感觉网上的wp分析过程都漏了一步,虽然这样得出的flag可以通过buuoj,但是这是个crack
BUUCTF——firmwork
sjt670994562的博客
08-01 1253
这是前几天做的一道逆向题,固件里面的bin文件分析,学了不少的姿势,所以单独拿出来记录一下 开始我使用binwallk看得,果然binwalk出了不少的文件,发现有一个Squashfs文件,说明他用了Squashfs 文件系统 但是一直没办法解压,通过查阅大量资料,终于找到解压的办法。 先运行 hexdump -C 1.bin | grep -n “hsqs” //得出位移为0x00120...
2021虎符初赛Web部分题解
feng的博客
04-05 1440
前言 这个WP还是直接复制粘贴的当时随手写的WP。。。太懒了别骂了呜呜呜。。。 签到 几天前PHP的那个后门,当时笑死我了的那个User-Agentt。 User-Agentt: zerodiumsystem("cat /flag"); unsetme fatfree框架,搜一下有一个漏洞符合,即3.7.1的代码注入,但是题目打不通,怀疑是因为版本的问题,下载3.7.3的fatfree看一下,主要是这部分: $val=preg_replace('/^(\$hive)/','$this->hive',
Crackme6-笔记
I have a dream
04-08 417
大神的链接:https://www.52pojie.cn/thread-610580-1-1.html 一、爆破思路 1、根据Dede找到输入用户名事件的入口处,0x442E04,OD下断,载入运行,输入用户名“52pojie.cn”,则在该处断下,找到关键跳转和关键函数处,noop关键跳转,则确定键可用 2、保存文件。发现输入用户名后,确定键可用;但是当输入验证码后,确定键不能...
Dozer更加灵活给对象赋值,对象间拷贝
weixin_30410999的博客
03-22 86
项目中,经常会遇到各层对象之间相互进行值传递的过程,如在数据据持久层有一持久类ClassA,在视图层可能会变为ViewA,通常情况下,如果两个类 结构一样,最常使用的是BeanUtils.copyProperties(src,aim)方法将一个对象的值赋给另一个对象!但是如果属性不同或者名 称不同,则需要Dozer来完成,通过灵活的配置,达到不同对象间的拷贝! 如下: 一个XML配置文件...
BUUCTF-CrackMe略解
feng_2016的博客
05-09 1040
先总体看看 int __usercall wmain@<eax>(int a1@<ebx>) { FILE *v1; // eax FILE *v2; // eax char v4; // [esp+3h] [ebp-405h] char v5; // [esp+4h] [ebp-404h] char v6; // [esp+5h] [ebp-403h] char v7; // [esp+104h] [ebp-304h] char v8; // [esp+
BUUCTF Crackme
sjt670994562的博客
07-29 4194
这道题麻烦了我几天,因为一个反调试的点没看到,所以一直没做出来,虽然原理还不懂,但可以先记下来,以后学多了再说 (这道题用户名已知) ida分析,是一个建立了一个表然后与用户名进行错杂的变化,最后再用表里的值与密码进行一些运算得到结果,由此我们倒着看 最后一个函数是实现的目的,密码变成dbappsec 倒数第二个有点小坑,就是用户名与变化后的密码运算,这里是检测是否有调试,有的话就异或,没有...
BUUCTF RE crackMe WP 详细解析
h1nt的博客
09-06 1396
前前后后参考了几篇博文,感觉自己有些值得分享的东西,就有了这篇文章 题目地址: https://buuoj.cn/challenges#crackMe 首先,国际惯例,查壳 没壳,拖进IDA里通过String定位到关键代码: 首先是主函数代码: int wmain() { FILE *v0; // eax FILE *v1; // eax char v3; // [esp+3h] [ebp-405h] char v4; // [esp+4h] [ebp-404h] char v5;
2021上岸东南大学网络空间安全学院916学硕心得分享——初试篇
weixin_43136689的博客
04-26 4283
2021上岸东南大学网络空间安全学院916学硕心得分享——初试篇一、导言1、坚定的决心2、良好的心态3、灵通的消息二、英语篇1、单词2、阅读3、完型、新题型和翻译4、大小作文三、数学篇1、基础阶段(2~6月)2、强化阶段(7~9月份)3、冲刺阶段(10~11月份) 一、导言 本人初试成绩为359,刚查到成绩的时候很高兴,因为按照2020届这分数是可以的,但隔了一天查看排名…61!又陷入了深深的焦虑中…(复试篇详解) 以下内容会有点长,是在下整个考研期间的心得,大家可以选择性的看哦~ 在正式介绍我初试如何准
DozerCTF 部分wp(无web)2020
monster663的博客
06-24 796
DozerCTF已经结束有一段时间了,比赛的wp一早就写完了,但是这几天一直在忙期末考试和几个比赛的事,把wp搬运到CSDN上的事就一直搁置了,今天终于腾出了点时间,还是决定写一下我们队伍的wp,权当为各位大佬抛砖引玉了,不详尽的地方,请多海涵。 Pwn ret2temp 应该是入门级别的ret2libc,就直接贴脚本了 #encoding=utf-8 from pwn import * ​from LibcSearcher import * p=remote("118.31.11.216","36666

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值