[HNCTF 2022 Week2]

最新推荐文章于 2024-03-18 20:58:37 发布
最新推荐文章于 2024-03-18 20:58:37 发布
阅读量669 收藏 2
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49341576/article/details/130381471
版权

e@sy_flower

去除花指令

使用ida打开, F5没有用,直接向下滑,看到爆红的花指令

image-20230425113921532

鼠标右击爆红的那一行, Patching -> Change byte

image-20230425114132541

因为图片圈中的地方是+1,所以将第一个改为90(0x90 = NOP)即可

image-20230425114318554

对着 main 函数 点击 p即可编译为函数,然后按 F5
在这里插入图片描述

代码分析:

// printf函数
  sub_401020("please input flag\n", v8);
  // scanf函数
  sub_401050("%s", (char)Arglist);
  v3 = strlen(Arglist);
  // 奇数位和偶数位互换
  for ( i = 0; i < v3 / 2; ++i )
  {
    v5 = Arglist[2 * i];
    Arglist[2 * i] = Arglist[2 * i + 1];
    Arglist[2 * i + 1] = v5;
  }
  // 将进行互换后的输入与 0x30异或
  for ( j = 0; j < strlen(Arglist); ++j )
    Arglist[j] ^= 0x30u;
  // 进行处理后的输入要等于c~scvdzKCEoDEZ[^roDICUMC
  v7 = strcmp(Arglist, "c~scvdzKCEoDEZ[^roDICUMC");
  if ( v7 )
    v7 = v7 < 0 ? -1 : 1;
  if ( !v7 )
  {
    sub_401020("yes", v9);
    exit(0);
  }
  sub_401020("error", v9);

解题脚本

enc = list('c~scvdzKCEoDEZ[^roDICUMC')
flag = []

# 与 0x30异或
for i in range(len(enc)):
    flag.append(chr(ord(enc[i]) ^ 0x30))

#
for i in range(int(len(flag) / 2)):
    tmp = flag[2 * i]
    flag[2 * i] = flag[2 * i + 1]
    flag[2 * i + 1] = tmp

for i in flag:
    print(i, end='')

TTTTTTTTTea

代码分析

scanf("%s", v5);
  v9 = v5;
  // 将输入的值赋入 v4的后八位
  for ( i = 0; i <= 5; ++i )
    v4[i + 8] = *v9++;
  // 两两进行XTea加密
  for ( j = 0; j <= 2; ++j )
    tea_encrypt(&v4[2 * j + 8], &key);
  // 加密后的字符串要等于这些
  v4[0] = 3240027994;
  v4[1] = 2762803571;
  v4[2] = 0xF61C9018;
  v4[3] = 0x32E37BCD;
  v4[4] = 0x2DCC1F26;
  v4[5] = 0x344380CC;
  for ( k = 0; k <= 5; ++k )
  {
    if ( v4[k] != v4[k + 8] )
    {
      printf("ERROR!");
      exit(9);
    }
  }

解题脚本

#include<stdio.h>

int main()
{
    unsigned int enc[6] = {0xC11EE75A, 0xA4AD0973, 0xF61C9018, 0x32E37BCD, 0x2DCC1F26, 0x344380CC};
    unsigned int key[4] = {0x10203, 0x4050607, 0x8090A0B, 0x0C0D0E0F};
    int i, j;
    long sum = 0, delta = 0x61C88647;
    // 解码
    for(i=0;i < 6;i+=2){
        sum =  0 - (32 * delta);
        for(j = 0; j < 32; j++) {
            enc[i+1] -= (((enc[i] >> 5) ^ (16 * enc[i])) + enc[i]) ^ (key[((sum >> 11) & 3)] + sum);
            sum += delta;
            enc[i] -= ((((enc[i+1] >> 5) ^ (16 * enc[i+1])) + enc[i+1]) ^ (key[sum & 3] + sum));
        }
    }
    // 打印
    for (i = 0; i < 6; i++)
    {
        for (j = 0; j<=3; j++)
        {
            printf("%c", (enc[i] >> (j * 8)) & 0xFF);
        }
    }

    return 0;
}

来解个方程?

不太熟练

from sympy import Symbol
from sympy.solvers import solve

v2 = Symbol("v2")
v3 = Symbol("v3")
v4 = Symbol("v4")
v5 = Symbol("v5")
v6 = Symbol("v6")
v7 = Symbol("v7")
v8 = Symbol("v8")
v9 = Symbol("v9")
v10 = Symbol("v10")
v11 = Symbol("v11")
v12 = Symbol("v12")
v13 = Symbol("v13")
v14 = Symbol("v14")
v15 = Symbol("v15")
v16 = Symbol("v16")
v17 = Symbol("v17")
v18 = Symbol("v18")
v19 = Symbol("v19")
v20 = Symbol("v20")
v21 = Symbol("v21")
v22 = Symbol("v22")
v23 = Symbol("v23")

eq1 = 245 * v6 + 395 * v5 + 3541 * v4 + 2051 * v3 + 3201 * v2 + 1345 * v7 - 855009
eq2 = 3270 * v6 + 3759 * v5 + 3900 * v4 + 3963 * v3 + 1546 * v2 + 3082 * v7 - 1515490
eq3 = 526 * v6 + 2283 * v5 + 3349 * v4 + 2458 * v3 + 2012 * v2 + 268 * v7 - 854822
eq4 = 3208 * v6 + 2021 * v5 + 3146 * v4 + 1571 * v3 + 2569 * v2 + 1395 * v7 - 1094422
eq5 = 3136 * v6 + 3553 * v5 + 2997 * v4 + 1824 * v3 + 1575 * v2 + 1599 * v7 - 1136398
eq6 = 2300 * v6 + 1349 * v5 + 86 * v4 + 3672 * v3 + 2908 * v2 + 1681 * v7 - 939991
eq7 = 212 * v22 + 153 * v21 + 342 * v20 + 490 * v12 + 325 * v11 + 485 * v10 + 56 * v9 + 202 * v8 + 191 * v23 - 245940
eq8 = 348 * v22 + 185 * v21 + 134 * v20 + 153 * v12 + 460 * v9 + 207 * v8 + 22 * v10 + 24 * v11 + 22 * v23 - 146392
eq9 = 177 * v22 + 231 * v21 + 489 * v20 + 339 * v12 + 433 * v11 + 311 * v10 + 164 * v9 + 154 * v8 + 100 * v23 - 239438
eq10 = 68 * v20 + 466 * v12 + 470 * v11 + 22 * v10 + 270 * v9 + 360 * v8 + 337 * v21 + 257 * v22 + 82 * v23 - 233887
eq11 = 246 * v22 + 235 * v21 + 468 * v20 + 91 * v12 + 151 * v11 + 197 * v8 + 92 * v9 + 73 * v10 + 54 * v23 - 152663
eq12 = 241 * v22 + 377 * v21 + 131 * v20 + 243 * v12 + 233 * v11 + 55 * v10 + 376 * v9 + 242 * v8 + 343 * v23 - 228375
eq13 = 356 * v22 + 200 * v21 + 136 * v11 + 301 * v10 + 284 * v9 + 364 * v8 + 458 * v12 + 5 * v20 + 61 * v23 - 211183
eq14 = 154 * v22 + 55 * v21 + 406 * v20 + 107 * v12 + 80 * v10 + 66 * v8 + 71 * v9 + 17 * v11 + 71 * v23 - 96788
eq15 = 335 * v22 + 201 * v21 + 197 * v11 + 280 * v10 + 409 * v9 + 56 * v8 + 494 * v12 + 63 * v20 + 99 * v23 - 204625
eq16 = 428 * v18 + 1266 * v17 + 1326 * v16 + 1967 * v15 + 3001 * v14 + 81 * v13 + 2439 * v19 - 1109296
eq17 = 2585 * v18 + 4027 * v17 + 141 * v16 + 2539 * v15 + 3073 * v14 + 164 * v13 + 1556 * v19 - 1368547
eq18 = 2080 * v18 + 358 * v17 + 1317 * v16 + 1341 * v15 + 3681 * v14 + 2197 * v13 + 1205 * v19 - 1320274
eq19 = 840 * v18 + 1494 * v17 + 2353 * v16 + 235 * v15 + 3843 * v14 + 1496 * v13 + 1302 * v19 - 1206735
eq20 = 101 * v18 + 2025 * v17 + 2842 * v16 + 1559 * v15 + 2143 * v14 + 3008 * v13 + 981 * v19 - 1306983
eq21 = 1290 * v18 + 3822 * v17 + 1733 * v16 + 292 * v15 + 816 * v14 + 1017 * v13 + 3199 * v19 - 1160573
eq22 = 186 * v18 + 2712 * v17 + 2136 * v16 + 98 * v13 + 138 * v14 + 3584 * v15 + 1173 * v19 - 1005746

sol = solve((eq1, eq2, eq3, eq4, eq5, eq6, eq7, eq8, eq9, eq10, eq11, eq12, eq13, eq14, eq15, eq16, eq17, eq18, eq19,
             eq20, eq21, eq22),
            (v2, v3, v4, v5, v6, v7, v8, v9, v10, v11, v12, v13, v14, v15, v16, v17, v18, v19, v20, v21, v22, v23))

print(chr(sol[v2]), end='')
print(chr(sol[v3]), end='')
print(chr(sol[v4]), end='')
print(chr(sol[v5]), end='')
print(chr(sol[v6]), end='')
print(chr(sol[v7]), end='')
print(chr(sol[v8]), end='')
print(chr(sol[v9]), end='')
print(chr(sol[v10]), end='')
print(chr(sol[v11]), end='')
print(chr(sol[v12]), end='')
print(chr(sol[v13]), end='')
print(chr(sol[v14]), end='')
print(chr(sol[v15]), end='')
print(chr(sol[v16]), end='')
print(chr(sol[v17]), end='')
print(chr(sol[v18]), end='')
print(chr(sol[v19]), end='')
print(chr(sol[v20]), end='')
print(chr(sol[v21]), end='')
print(chr(sol[v22]), end='')
print(chr(sol[v23]), end='')

Easy_Android

public static void main(String[] args) throws NoSuchAlgorithmException {
    	// md5加密
        MessageDigest digest = MessageDigest.getInstance("MD5");
        String userName = "Tenshine";
        digest.reset();
        digest.update(userName.getBytes());
        byte[] bytes = digest.digest();
        String hexstr = toHexString(bytes, "");
        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < hexstr.length(); i += 2) {
            sb.append(hexstr.charAt(i));
        }
        String userSN = sb.toString();
        System.out.println("NSSCTF{" + userSN + "}");
    }

    private static String toHexString(byte[] bytes, String separator) {
        StringBuilder hexString = new StringBuilder();
        for (byte b : bytes) {
            String hex = Integer.toHexString(b & 255);
            if (hex.length() == 1) {
                hexString.append('0');
            }
            hexString.append(hex).append(separator);
        }
        return hexString.toString();
    }

Try2Bebug_Plus

将前面的sleep函数patch, 开始动调
在这里插入图片描述

Packet

这里是直接使用工具脱壳的, 如果想手动脱壳的可以看 https://zhuanlan.zhihu.com/p/610542968

使用exeinfo 发现是 64位,upx3.91的壳

image-20230425224231694

直接使用 upx -d [文件目录]脱壳,脱完壳后进行代码分析, 可以去 https://upx.github.io/ 下载自己需要的upx

Base64加密,变表了,下面的程序使用的base64表

abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G0IElxZb-1682477580296)(null)]

enc是加密后的字符串,

tLntq1rgE1vqwf8XC19Zmf8Zyxn5Fq==

在这里插入图片描述

通过在线解密网站,直接拿到flag

image-20230425225025635

getflag

直接运行,可以看到,需要点击 Click me 100000000次

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4u4uMKB1-1682477580347)(null)]

使用ida打开,直接使用 shift + F12 打开字符串搜索,看到 对应的字符串,直接双击进去看

image-20230426104217288

看到了getFlag方法,直接 修改这个if 或者 将getFlag函数的代码拉出来跑

image-20230426104245877

直接修改对应的跳转, 将 jg 指令 改为了 gle 指令
在这里插入图片描述

运行,点击getFlag,直接拿到flag
在这里插入图片描述

k_cldh
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
week2day2
02-18
week2day2
Algorithm Part2 Week1 Assigment
11-22
Algorithm Part2 Week1 的作业,是关于两个单词相似度的计算,运用图论中广搜的思想解决。代码很详细,看了就知道,而且附有测试用例。
[HNCTF 2022 WEEK2]e@sy_flower
最新发布
Nike_name的博客
03-18 436
很基本的一道花指令
HNCTF2022Week2 Reverse WP
Sciurdae的博客
12-01 1304
主要逻辑将userName 做一个md5加密,之后取加密后的数据的奇数位,就是flag。因为没有,反调试以及其他乱七八糟的东西。32bit的程序,点击100000000次就可以得到flag。IDA打开,红色的地址,jz和jnz互补跳转,nop掉E9。64bit的ELF文件,OD当然打不开。做了一个换表的base64编码,找到密文解码一下。先每俩个字符互换位置,再做一个0x30的异或。定位过去后,看汇编,修改cmp或者jg。TEA加密,找到密文和key解密。IDA打开后,查找字符串。先查壳,64bit文件。
日更[HNCTF 2022 WEEK2]e@sy_flower
lzx13290757580的博客
12-20 31
对着 main 函数 先按p,然后按 F5。
2022HNCTF-re部分题解
weixin_61154173的博客
12-04 1151
2022HNCTF-re部分
IDA pro总结
Life_hes_az的博客
03-10 2372
本文对IDAPro的常见内容进行总结,未完待续。 一、常见符号的含义 sub_xxxx 地址xxxx处的子例程(过程/方法) loc_xxxx 地址xxxx处的一个指令 byte_xxxx 位置xxxx处的8位数据 unk_xxxx 位置xxxx处的大小未知的数据 .text:00401020 ; Attributes: bp-based frame .text:004010...
Week2.rar
03-10
Week2.rar
week2.zip
03-09
week2.zip
week2.java
10-11
week2.java
[HNCTF 2022 WEEK2]calligraphy 复现
qq_47875210的博客
01-14 641
打开odttf转换ttf网站:https://somanchiu.github.io/odttf2ttf/js/demo,上传改过名的文件后就会自动下载ttf字体文件了。最后再对odttf文件的前32字节进行异或,密钥就是16字节的。可以得到font-name为。
每日练习-[HNCTF 2022 WEEK2]ez_ssrf
m0_68113265的博客
09-04 221
判断成功之后会讲data内容进行写入,这时候就可以进行伪造ssrf。写入我们伪造的请求头。并返回一个可以用于读写数据的套接字资源。
[HNCTF 2022 WEEK2]getflag
liaochonxiang的博客
06-02 193
字符串搜索,寻找到相关字样,顺藤摸瓜找到一个对我们有用的函数。方法二:对getflag函数进行逆向应该也行。大概意思就是点击它,然后可以get flag。方法一:直接修改判断条件,取反咯。要点这么多次是不可能的。
[HNCTF 2022 WEEK2]easy_unser
weixin_62306641的博客
11-23 478
因为有个私有变量,所以要url编码,有个_wakeup(),改一下数目。打开发现源码,是反序列化,Url编码之后再改。
[山海关crypto 训练营 day20]
cxiaodi的博客
05-24 723
5.24刷题
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3092
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
[patching修改代码强制拿到flag][HNCTF 2022 WEEK2]getflag
yjh_fnu_ltn的博客
02-29 453
方法1)运行程序发现需要点击10000次才能显示flag,因此联想到直接修改数据或是判定条件(注意:但是在利用ida进行动态调试时发现汇编代码没有修改过来,因此在动态调试时再修改一遍即可。找到getflag()函数,发现其需要满足一个判定条件,因此直接去修改这个判定条件。方法2)再程序中找到加密后的密文,根据加密函数编写脚本逆向出flag。在ida中进入到getflag函数里面,发现遗传加密后的密文。直接观察getflag函利用脚本逆向出flag。1)、ida打开程序,利用程序中的。)来变相输出flag.
刷题日记 date 6.8
m0_64348326的博客
06-08 193
1.总体来看这题还是不简单的,最难的部分是如何构造函数并返回命令执行的结果。这题用了回调+箭头函数的形式来构造payload,理解起来还是很难的。2.光这道题就花了很久的时间,剩下的就没怎么看了。
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程代码执行等安全问题。根据引用\[2\]中的代码片段,这个挑战可能涉及到通过传递参数来实现SSRF攻击,其中包括目标主机和端口。具体的攻击方法和解决方案需要根据题目的具体要求和环境来确定。 #### 引用[.reference_title] - *1* *2* [SSRF总结](https://blog.csdn.net/weixin_53090346/article/details/129025771)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [2022 SWPU新生赛&HNCTF web部分题目](https://blog.csdn.net/weixin_63231007/article/details/127135455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值