攻防世界--IgniteMe

最新推荐文章于 2024-05-05 13:01:16 发布
最新推荐文章于 2024-05-05 13:01:16 发布
阅读量308 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39542714/article/details/106834780
版权

测试文件:https://adworld.xctf.org.cn/media/task/attachments/fac4d1290e604fdfacbbe06fd1a5ca39.exe

 

1.准备

获取信息:

  • 32位文件

 

2.IDA打开

打开main函数

 1 int __cdecl main(int argc, const char **argv, const char **envp)
 2 {
 3   void *v3; // eax
 4   int v4; // edx
 5   void *v5; // eax
 6   int result; // eax
 7   void *v7; // eax
 8   void *v8; // eax
 9   void *v9; // eax
10   size_t i; // [esp+4Ch] [ebp-8Ch]
11   char v11[4]; // [esp+50h] [ebp-88h]
12   char v12[28]; // [esp+58h] [ebp-80h]
13   char v13; // [esp+74h] [ebp-64h]
14 
15   v3 = (void *)sub_402B30(&unk_446360, "Give me your flag:");// 这两段代码直接理解成printf即可。下面的代码同样如此
16   sub_4013F0(v3, (int (__cdecl *)(void *))sub_403670);
17   sub_401440((int)&dword_4463F0, v4, (int)v12, 127);
18   if ( strlen(v12) < 30 && strlen(v12) > 4 )
19   {
20     strcpy(v11, "EIS{");
21     for ( i = 0; i < strlen(v11); ++i )
22     {
23       if ( v12[i] != v11[i] )                   // flag前四位为"ESI{"
24       {
25         v7 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying! ");
26         sub_4013F0(v7, (int (__cdecl *)(void *))sub_403670);
27         return 0;
28       }
29     }
30     if ( v13 == 125 )
31     {
32       if ( sub_4011C0(v12) )
33         v9 = (void *)sub_402B30(&unk_446360, "Congratulations! ");
34       else
35         v9 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying! ");
36       sub_4013F0(v9, (int (__cdecl *)(void *))sub_403670);
37       result = 0;
38     }
39     else
40     {
41       v8 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying! ");
42       sub_4013F0(v8, (int (__cdecl *)(void *))sub_403670);
43       result = 0;
44     }
45   }
46   else
47   {
48     v5 = (void *)sub_402B30(&unk_446360, "Sorry, keep trying!");
49     sub_4013F0(v5, (int (__cdecl *)(void *))sub_403670);
50     result = 0;
51   }
52   return result;
53 }

 

3.代码分析

看到第32行代码

if ( sub_4011C0(v12) )
    v9 = (void *)sub_402B30(&unk_446360, "Congratulations! ");

这里通过sub_4011C0(v12)传入输入的flag来判断真假,打开函数

 1 bool __cdecl sub_4011C0(char *a1)
 2 {
 3   size_t v2; // eax
 4   signed int v3; // [esp+50h] [ebp-B0h]
 5   char v4[32]; // [esp+54h] [ebp-ACh]
 6   int v5; // [esp+74h] [ebp-8Ch]
 7   int v6; // [esp+78h] [ebp-88h]
 8   size_t i; // [esp+7Ch] [ebp-84h]
 9   char v8[128]; // [esp+80h] [ebp-80h]
10 
11   if ( strlen(a1) <= 4 )
12     return 0;
13   i = 4;
14   v6 = 0;
15   while ( i < strlen(a1) - 1 )
16     v8[v6++] = a1[i++];
17   v8[v6] = 0;
18   v5 = 0;
19   v3 = 0;
20   memset(v4, 0, 0x20u);
21   for ( i = 0; ; ++i )
22   {
23     v2 = strlen(v8);
24     if ( i >= v2 )
25       break;
26     if ( v8[i] >= 97 && v8[i] <= 122 )
27     {
28       v8[i] -= 32;
29       v3 = 1;
30     }
31     if ( !v3 && v8[i] >= 65 && v8[i] <= 90 )
32       v8[i] += 32;
33     v4[i] = byte_4420B0[i] ^ sub_4013C0(v8[i]);
34     v3 = 0;
35   }
36   return strcmp("GONDPHyGjPEKruv{{pj]X@rF", v4) == 0;
37 }

这里i是从4开始即flag的第四位开始,对flag的操作分为了两部分:

  1. 第26行代码~第32行代码,将flag中的大写字母转小写,小写字母转大写。
  2. 第33行代码对每位字符进行异或操作。

第一步不必多说,第二步byte_4420B0数组从文件中提取出来

0D 13 17 11 02 01 20 1D  0C 02 19 2F 17 2B 24 1F
1E 16 09 0F 15 27 13 26  0A 2F 1E 1A 2D 0C 22 04

 

 sub_4013C0(v8[i])函数为

int __cdecl sub_4013C0(int a1)
{
  return (a1 ^ 0x55) + 72;
}

 

最后得到的字符串V4为

GONDPHyGjPEKruv{{pj]X@rF

因此我们只需要逆向操作还原flag即可

 

4.脚本获取

n = 28
val1 = [0x0D,0x13,0x17,0x11,0x02,0x01,0x20,0x1D,0x0C,0x02,0x19,0x2F,0x17,0x2B,
        0x24,0x1F,0x1E,0x16,0x09,0x0F,0x15,0x27,0x13,0x26,0x0A,0x2F,0x1E,0x1A,
        0x2D,0x0C,0x22,0x04]
v4 = "GONDPHyGjPEKruv{{pj]X@rF"
v8 = ""
flag = ""

for i in range(len(v4)):
    v8 += chr(((ord(v4[i]) ^ val1[i]) - 72) ^ 0x55)

for i in range(len(v8)):
    if ord(v8[i]) >= 97 and ord(v8[i]) <= 122:
        flag += chr(ord(v8[i]) - 32)
    elif ord(v8[i]) >= 65 and ord(v8[i]) <= 90:
        flag += chr(ord(v8[i]) + 32)
    else:
        flag += v8[i]

print('EIS{'+flag+'}')

 

5.get flag!

EIS{wadx_tdgk_aihc_ihkn_pjlm}

Hk_Mayfly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界-Web-inget新手
wangwei011的博客
05-16 1158
攻防世界-Web-inget
攻防世界新手区部分web wp 2
fcz___的博客
02-09 1271
攻防世界web新手区部分wp
攻防世界inget(sqlmap方法)
最新发布
2302_78972359的博客
05-05 712
加上id,--dbs是用来爆数据库的,查看当前数据使用的数据库,中间可能会有提示,输入y即可。确实是sql注入,我用的是sqlmap,也可以在url构造,与sqlmap同理。这里我们查看第一个数据库cyber,输入指令,可以查看cyber库下的表名。可以看到cyber库下就一个表,也叫cyber,输入指令查看表内字段。cyber表内有三个字段,首先怀疑这个pw,查看字段内容,输入指令。打开虚拟机,终端输入sqlmap,如果是以下页面则说明可用。这个id是我们测试的参数,如果没这个id的话会像这样报错。
攻防世界-inget(简单的SQL注入、万能密码)
Welcome To Myon'Blog !
04-14 4647
inget(简单的SQL注入)、手工注入、万能密码原理、sqlmap实现、常用参数
攻防世界inget
qq_55510415的博客
04-22 515
现在传入id=1' or 1=1-- -就变成了'id=1' or 1=1-- -',id=1或者1=1返回都是true,-- abc表示注释后面代码。由此可获得flag。对url进行修改添加/?原本当传入id的时候例如id=1就是'id=1'思路:通过id进行sql注入。请输入ID,并尝试绕过。
攻防世界WEB练习-inget
热门推荐
不知名白帽的博客
09-01 1万+
攻防世界WEB练习-inget
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界-inget
m0_62094846的博客
10-06 1224
看到说id,可能id是参数,尝试了几个数,页面都没有变化,也没有延时回显。看了wp,确实是sql注入,注入点是id,用sqlmap扫就可以出来。源代码里没有东西,御剑之类的也扫不到。
攻防世界:inget&php_rce&Web_php_include&unserialize3
weixin_74473832的博客
03-15 640
查了一下str.replace (old, new max]) 有三个参数,old是需要替换的值,new是替换后的值,max是最多替换的次数。这里的意思大概就是要用get方式提交一个page参数,但是会过滤掉page的值里面的php://。代码的意思大概是有一个xctf的类,会调用wakeup魔术方法,然后会回显bad requests。根据题目说的php-rce,去浏览器搜索这个版本的thinkphp框架的历史命令执行漏洞。这里用的是or,前后关系中只要一个对的,这个关系式就是真的,所以成功绕过。
[攻防世界]-Web:inget解析
2301_79326813的博客
01-28 506
查看网页很明显,他是要我们输入id这里我尝试了直接爆破,没有成功。
【网络安全 | CTF】攻防世界 inget 解题详析
等风来
07-23 4201
由于该语句为真,却无回显,故可排除数字型注入。语句,再根据回显做下一步判断。思路:尝试利用or构造。使用sqlmap爆数据。
攻防世界-IgniteMe
weixin_45678798的博客
07-30 806
可以判断出长度为29,格式为EIS{…},如果任意一项不符合,程序打印Sorry,keeptrying!如果符合进入sub_402B30中。首先把数组中大写字母转为小写字母,小写字母转为大写字母。然后把数组与0x55异或后+72,然后再与数组byte_4420B0异或。执行结果为GONDPHyGjPEKruv{{pj]X@rF。.........
攻防世界Reverse进阶区-IgniteMe-writeup
y4ung
09-19 686
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题IgniteMe 题目来源: 高校网络信息安全运维挑战赛 2. 分析 $ file fac4d1290e604fdfacbbe06fd1a5ca39.exe fac4d1290e604fdfacbbe06fd1a5ca39.exe: PE32 executable (console) Intel 80386, for MS Windows C:\Users\hzy\Downloads>fac4d1290e604fdfacbbe06fd1
攻防世界IgniteMe
Lynnette177的博客
09-01 248
这里的for是对v7内的所有字符进行操作,看到熟悉的65 90 97 122 就知道 这是把大小写颠倒操作。传入的参数是Str的指针,然后还是先判断够不够4位长,够了才继续。如果够了的话,就进行拷贝操作。拷贝的范围是从第五个字符开始(str4)直到结束的前一个(len-1),然后把strlen处的最后一个字符赋值为0,就是结束符。所以这里判断的逻辑是,先看看字符长度够不够4,再看前四位是不是EIS{ 最后一个是不是}。为什么要这么做呢,从第五个开始,这样忽略掉EIS{,最后一个不要,就是不要}。
【愚公系列】2023年05月 攻防世界-Web(inget)
时光隧道
05-23 8116
SQL注入攻击是一种常见的网络攻击方式,攻击者通过在用户输入的数据中插入恶意代码,从而获取数据库中的敏感信息或者执行未授权的操作。为了防范SQL注入攻击,我们应该在应用程序中使用参数化查询这样的安全措施来防范这种攻击。同时,我们还应该加强数据过滤和输入验证,以确保用户输入的数据符合预期的格式和类型。
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码来获取敏感信息或者执行未经授权的操作。 为了详细了解攻防世界-baby_web的攻击和防御方法,我们可以进行以下步骤: 1. 分析源代码:通过查看源代码,我们可以了解应用程序的结构和逻辑,以及可能存在的漏洞点。 2. 注入攻击:尝试使用注入攻击来获取数据库信息或者执行其他恶意操作。可以使用工具如sqlmap来自动化进行注入测试。 3. 防御措施:了解并实施防御措施,如输入验证、参数化查询、安全编码等,以防止注入攻击和其他常见的安全漏洞。 请注意,进行任何形式的攻击都是非法的,除非您是经过授权的安全专家或者在合法的渗透测试环境中进行。在现实世界中,攻击和防御是一个持续的过程,需要不断学习和更新知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值