NKCTF202-RE-PMKF

已于 2023-03-31 17:12:22 修改
阅读量298 收藏
点赞数
分类专栏: CTF 文章标签: 经验分享 网络安全 c语言
于 2023-03-30 22:19:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54894802/article/details/129868239
版权

PMKF

将题目拖入ida中进行分析,进入此函数中进行分析.

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

其中我们需要知道这个函数

readfile:从指定的文件或输入/输出 (I/O) 设备读取数据。 如果设备支持,则读取发生在文件指针指定的位置。

这里我们并没有发现到底是哪里读取了文件,我们动态调试,在push处下断点,发现断点不能断下,我们去找找,我们会发现这个.函数,在内存中读取一个名为,nk.ctf的文件,这样我们创建一个文件即可.

发现能够动态调试了.

在这里插入图片描述

其他的逻辑就比较简单了.

在这里插入图片描述

1处读取一个数据放在buffer中,然后判断,buffer大小.\

2处读入五个数据,放在v15中,可以直接提取出来nkman

3处将flag读取出来.

v11的值为,nkman的数据值之和.但是这里需要注意:v11的数据类型为char,而char的数据类型,存储的最大数据为512,超过512将会溢出,这里nkman的值为533因此会发生溢出,所以最终v11所存的值为21

在这里插入图片描述

在这里插入图片描述

到此处为对我们的flag进行异或.v11.在这里插入图片描述
在这里插入图片描述

通过下面的数据,我们可以知道,这里是迷宫,我们写个脚本将迷宫打印出来.

在这里插入图片描述

将路线走出来即可

但是,这里是对我们的数据进行加密了的,但是位移运算是不可逆的,我们用z3将其爆破出来
在这里插入图片描述

然后按照这个逻辑进行逆向即可,可以写出脚本.

#coding:utf-8
from z3 import *

data = [1, 1, 2, 2, 3, 3, 2, 2, 1, 2, 2, 3, 2, 2, 1, 1, 0, 1, 1, 1, 1, 1, 0, 1, 0, 0, 0,
        0, 0, 1, 0, 1, 1, 2, 1, 1, 0, 1, 1, 1, 2, 2, 2, 3, 2, 3, 3, 0, 3, 3, 2, 3, 2, 2, 1, 1, 1, 1, 1, 2, 2, 3, 3, 3]

s = Solver()
flag = [BitVec(('x%d' % i), 8) for i in range(16)]
# for i in range(0, 16):
#     s.add(flag[i] < 127)
#     s.add(flag[i] > 32)

v7 = 0
n = 0
x = [6, 4, 2, 0]
for v7 in range(16):
    for k in x:
        s.add((data[n]==(flag[v7] >> k) & 3))
        n+=1

if s.check() == sat:
    model = s.model()
    string = [model[flag[i]].as_long().real for i in range(16)]
    print(string)
    exit()
else:
    print("无解")

将得出的数据,异或一下,然后保存在nk.ctf中,将其用winhex将其二进制数据提取出来,这就是我们的flag

nkctf{056e6b6d616e4fef7eb0004415047000bea9eeb043aa}

abcd123mmmm2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NKCTF[PMKF] - (迷宫题)
can_no_volcano的博客
03-29 329
所以我们将迷宫走出来,然后将步数每四个分为一组转化为16进制再与之前的v8也就是nkman的和进行异或,最后再在前面加上0x05就是最终flag。看到main函数,第一个ReadFile函数是读取第一个值5,然后继续ReadFile函数读取长度为5的字符串“nkman”可以看出迷宫的上下左右是0231,没有到4或者更高,在函数中可以知道步数是每四步为一组。再读取0x10长度的字符串并对其进行异或加密。然后就是创建循环走迷宫了。然后将每个字符串加起来。
NKCTF[eazy_baby_apk](DES名字的AES
can_no_volcano的博客
03-26 211
下文发现MD5加密的confusion,所以我们对其进行MD5加密再充当填充物,最后看解密代码。key1中的e全部用3代替可以得到第一种填充 r3v3rs3car3fully。key1是偏移量,所以vector2就是密钥 ,再对其AES加密可得flag。由此估计,这就是密文。我们对其进行DES解密发现解密不出来,所以继续看代码。找到主要函数部分,一看就是一堆提示信息,向AES加密和DES。接着往下看vector2的内容。apk文件用jadx打开。
NKCTF_WP
m0_73954357的博客
03-27 651
aa
NKCTF 2023 Writeup By AheadSec
末初的CSDN博客
03-27 2643
NKCTF 2023 Writeup By AheadSec 战队的各位师傅辛苦啦~
NKCTF-web(记一次越权)
jiyi_guoshu的博客
03-14 2645
这里写自定义目录标题题目如下进入网页,发现是一个登陆框,先注册一个账户点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。尝试注册admin为用户名的账户,网页提示用户名已被注册。 题目如下 进入网页,发现是一个登陆框,先注册一个账户 点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。 尝试注册admin为用户名的账户,网页提示用户名已被注册。 ...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
NKCTF.md
03-29
NKCTF.md
NKCTF 2023-misc全解(有脚本,有详解)
路baby的博客
03-29 3395
前几天打了nkctf ,因为自己也是主打misc,顺便也复现一遍,一点自己的拙见,各位师傅见笑了
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1064
NKCTF WP
2023 NKCTF --- Crypto ezRSA wp
3tefanie丶zhou的博客
03-28 884
【世间情种偏好伤心事,苦中作乐,乐在其中,不伤心又如何算得上痴情人。】
逻辑漏洞之越权详解-漏洞银行大咖周6-浅安
01-26
资源来自:漏洞银行大咖面对面一周大咖秀6 作者:浅安
2023NKCTF Writeup——W4ntY0u.
weixin_52365980的博客
03-27 4060
NKCTF2023是由N0wayBack战队举办。本次比赛采用线上网络安全技能大赛实践赛的形式,覆盖Web、Reverse、Pwn、Misc、Crypto、SocialEngineering等主流赛题方向,面向国内所有个体及团队 除了梦想外我们一无所有,将会和蔑视与困境做最后的斗争,这是最后一舞
NKCTF2023 web wp
adorkablezhenbai的博客
03-27 1067
web新手签到NKCTF,简单记录两个签到题。
NKCTF 2024(三月周报比赛一)
NYG694的博客
03-25 976
常规思路原本是格式化泄露壳和libc,然后进行构造system/bin/sh来getshell,但是发现没有权限,只能通过orw来读取flag,并且因为栈空间不够需要构造栈迁移来。扫目录找到管理员界面登陆,账号Admin,密码Admin123,账号可以根据forget来进行查询是否存在,然后进行弱密码攻击,这里网上有两种rce,一种sstl一种代码执行。进去就是一个登录界面,根据提示tacooooo@qq.com,先尝试暴力破解密码,发现不行,测试tacooooo,成功。拿大佬的换下box就可以了。
NKCTF-2023-RE-Baby_rust
qq_54894802的博客
03-31 573
简单的rust逆向
NKCTF2024-Eznative
qq_24481913的博客
03-25 549
看到上层函数,其实这个sub_27F2d4是有符号的,我这里写wp的时候没有导入全部,名字叫做dialog,那么写过安卓开发的就知道这玩意就是弹窗了。然后在之前给出的GitHub项目中,发现其实他的enc出来的结果就是base64的,所以我们直接使用库就可以解密了。在old中也是有符号的,很明显的base。这里有个巨jb坑的地方,我点了n次一直不触发,后面来脾气了,长按一下,结果。短按是用来触发aaa的,当时hook过aaa,发现短按确实能触发。触发了,tnnd,后面发现应该是这个aaa与bbb的问题。
NKCTF PWN wp
山高路远
03-30 529
NKCTF
nkctf逆向(re)PMKF复现
m0_75098930的博客
03-29 718
具体有三个文件读取,这里有个小tips,他读的是C盘,如果没以管理员身份运行,可能会打不开,我不想以管理员身份运行,就直接将C patch 成 D,D盘开文件限制就小了。将其读取的字节,每两位与3进行与运算,也就是说,读取的16个字符实际是每两位判断一次,共64次,对照上面的迷宫步骤,刚好是64位。并按位异或0x15(v8的值),写入nk.ctf文件。第一个判断,也就是nk.ctf读取的第一个是0x5。第二个判断,nk.ctf读取的是“nkman”第三个判断,也就是走迷宫的判断,先画出迷宫图。
NKCTF
最新发布
m0_73725283的博客
04-02 342
GGH这个东西真不懂(有关格,等我后面恶补一下),看了wp才知道可以直接爆破delta就可以得到答案。答案:nkctf{G0od_Y0u_Ar3_Kn0W_Ggh_Crypt0syst3m!答案:nkctf{cb5b7392-cca4-4ce2-87e7-930cf6b29959}因为delta不大于20,很小,完全可以爆破出来。python(把公钥转矩阵)
<?php error_reporting(0); class Welcome{ public $name; public $arg = 'oww!man!!'; public function __construct(){ $this->name = 'ItS SO CREAZY'; } public function __destruct(){ if($this->name == 'welcome_to_NKCTF'){ echo $this->arg; } } } function waf($string){ if(preg_match('/f|l|a|g|*|?/i', $string)){ die("you are bad"); } } class Happy{ public $shell; public $cmd; public function __invoke(){ $shell = $this->shell; $cmd = $this->cmd; waf($cmd); eval($shell($cmd)); } } class Hell0{ public $func; public function __toString(){ $function = $this->func; $function(); } } if(isset($_GET['p'])){ unserialize($_GET['p']); }else{ highlight_file(FILE); } ?>我应该怎么注入攻击,用于教学
03-26
这将创建一个Welcome对象,它的名称为“welcome_to_NKCTF”,arg为“my_payload”。 接下来,需要构造一个恶意函数并将其传递给这个对象。由于类名、方法名和参数都被限制了,我们可以选择Happy类中的__invoke()...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值