2023年春秋杯网络安全联赛春季赛 RE复盘(部分待补)

已于 2023-05-25 19:53:26 修改
阅读量995 收藏
点赞数 1
文章标签: 数学建模
于 2023-05-25 19:10:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66633020/article/details/130873221
版权

目录

sum

Pytrans

BWBA

Poisoned_tea_CHELL

第一种找程序加密函数的方法

第二种找程序加密函数的方法

解密

这次的春季赛仍是被打爆了,re只做出了一题,发现自己还是太菜了,好在在后期复盘中又收获了许多新知识了,不亏。

sum

获取题目附件,64位,无壳。

 用IDA对程序进行反编译,找到关键的main函数。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char *v3; // rbp
  int v4; // r14d
  unsigned int v5; // r12d
  __int64 i; // rbx
  char v7; // al
  int v8; // eax
  const char *v9; // rax

  v3 = &matrix;
  v4 = 1;
  v5 = 0;
  puts("Welcome to Solver!");
  do
  {
    for ( i = 0LL; i != 9; ++i )
    {
      if ( !v3[i] )
      {
        v7 = getchar();
        if ( (v7 - 49) > 8u )
          v4 = 0;
        else
          v3[i] = v7 - 48;
      }
      v8 = v3[i];
      v5 += v8;
    }
    v3 += 9;
  }
  while ( v3 != &matrix + 81 );
  if ( v4 && verify("Welcome to Solver!", argv) )
  {
    puts("You Win!");
    __snprintf_chk(buf, 32LL, 1LL, 32LL, "%d", v5);
    v9 = str2md5(buf, strlen(buf));
    __printf_chk(1LL, "flag is: flag{%s}\n\n", v9);
    exit(0);
  }
  puts("Again~");
  return 0;
}

v7是来获取输入内容的,matrix中存放着一些值,长度为81,一开始以为是一个9*9的迷宫题,但发现matrix中存放的不只有0和1,还有一些其他值,不像是迷宫题。

 用Chatgpt帮忙辅助分析了一下,才知道这是一个九宫格数独游戏。

 因此,明白了matrix中存放的是九宫格中已知的值,写脚本dump出数独:

maze = [5, 3, 0, 0, 7, 0, 0, 0, 0, 6, 0, 0, 1, 9, 5, 0, 0, 0, 0, 9, 8, 0, 0, 0, 0, 6, 0, 8, 0, 0, 0, 6, 0, 0, 0, 3, 4, 0, 0, 8, 0, 3, 0, 0, 1, 7, 0, 0, 0, 2, 0, 0, 0, 6, 0, 6, 0, 0, 0, 0, 2, 8, 0, 0, 0, 0, 4, 1, 9, 0, 0, 5, 0, 0, 0, 0, 8, 0, 0, 7, 9]

for i in range(0,len(maze)):
    if i % 9 == 0:
        print('\n')
    print(maze[i],end=" ")
5 3 0 0 7 0 0 0 0 

6 0 0 1 9 5 0 0 0 

0 9 8 0 0 0 0 6 0 

8 0 0 0 6 0 0 0 3 

4 0 0 8 0 3 0 0 1 

7 0 0 0 2 0 0 0 6

0 6 0 0 0 0 2 8 0

0 0 0 4 1 9 0 0 5

0 0 0 0 8 0 0 7 9

数独中的0就是需要填的位置,找到一个在线解数独的网站在线数独求解器 (gwalker.cn)

 这里想吐槽一下自己太粗心了,把绿色块当成是解出来的值,实际白色块才是解出来的。

468912723481342575971422657913948591537428763345261

 接着将解出的值输入到程序中即可拿到flag。

 FLAG:flag{bbcbff5c1f1ded46c25d28119a85c6c2}

Pytrans

获取题目文件,64位,无壳。

 根据题目介绍猜测是用python编写的程序,所以可以直接用pyinstxtractor转成pyc文件,再用uncompyle6转成py文件。

# uncompyle6 version 3.9.0
# Python bytecode version base 3.8.0 (3413)
# Decompiled from: Python 3.9.6 (tags/v3.9.6:db3ff76, Jun 28 2021, 15:26:21) [MSC v.1929 64 bit (AMD64)]
# Embedded file name: run.py
import base64, zlib, ctypes
try:
    mylib = ctypes.cdll.LoadLibrary('./mylib.so')
except:
    print('file no exit!')
else:
    a = []
try:
    sstr = input("Please enter the 10 digits and ending with '\\n': ").split(' ')
    if len(sstr) == 10:
        for i in sstr:
            a.append(int(i))

    mylib.check.argtypes = (
     ctypes.POINTER(ctypes.c_int), ctypes.c_int)
    mylib.check.restype = ctypes.c_char_p
    scrambled_code_string = mylib.check((ctypes.c_int * len(a))(*a), len(a))
    try:
        decoded_data = base64.b64decode(scrambled_code_string)
        uncompressed_data = zlib.decompress(decoded_data)
        exec(__import__('marshal').loads(uncompressed_data))
    except:
        print('Incorrect input caused decryption failure!')

except:
    pass
# okay decompiling run.pyc

 可以看见程序调用了一个mylib.so库,从pyinstxtractor导出的文件中找到mylib.so库。

 放入IDA中进行分析,找到check函数。

void *__fastcall check(_DWORD *x)
{
  void *v2; // [rsp+18h] [rbp-28h]
  char v3[24]; // [rsp+20h] [rbp-20h] BYREF
  unsigned __int64 v4; // [rsp+38h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  sub_1239();
  if ( -27 * x[7] + -11 * x[6] + 16 * x[5] + *x + 2 * x[1] - x[2] + 8 * x[3] - 14 * x[4] + 26 * x[8] + 17 * x[9] != 14462
    || -30 * x[8] + 13 * x[5] + x[3] + x[1] + 2 * *x - 15 * x[4] - 24 * x[6] + 16 * x[7] + 36 * x[9] != -2591
    || 16 * x[6] + -21 * x[5] + 7 * x[3] + 3 * x[1] - *x - x[2] + 12 * x[4] - 23 * x[7] + 25 * x[8] - 18 * x[9] != 2517
    || -6 * x[6] + 2 * x[2] - x[1] + 2 * x[5] + 9 * x[7] + 2 * x[8] - 5 * x[9] != 203
    || -5 * x[8] + 6 * x[7] + 3 * x[1] - x[3] - x[5] + x[6] + 5 * x[9] != 3547
    || -9 * x[8] + x[4] + x[2] + x[7] - 5 * x[9] != -7609
    || 2 * x[5] + -x[3] - x[4] + x[8] + 6 * x[9] != 4884
    || x[6] - x[7] + 2 * x[8] != 1618
    || x[4] - x[6] + 2 * x[9] != 1096
    || x[8] + x[4] + x[3] + x[2] + x[1] + *x - x[5] - x[6] - x[7] - x[9] != 711
    || 2 * (2 * x[4] + x[3]) + 5 * x[5] != 7151 )
  {
    return 0LL;
  }
  v3[0] = 0;
  v3[1] = 0;
  v3[2] = 0;
  v3[3] = 0;
  v3[4] = 0;
  v3[5] = 0;
  v3[6] = 0;
  v3[7] = 0;
  v3[8] = 0;
  v3[9] = 0;
  v3[10] = 0;
  v3[11] = 0;
  v3[12] = 0;
  v3[13] = 0;
  v3[14] = 0;
  v3[15] = x[4] % 255;
  v2 = malloc(0x4F0uLL);
  sub_27E4(&unk_62C0, v2, v3);
  return v2;
}

 这里对输入值进行了比较,可以用z3进行求解来得出正确的输入值,脚本如下:

from z3 import *
def main():
    x = [BitVec("x%d"%i,16)for i in range(10)]
    s = Solver()
    s.add( -27 * x[7] + -11 * x[6] + 16 * x[5] + x[0] + 2 * x[1] - x[2] + 8 * x[3] - 14 * x[4] + 26 * x[8] + 17 * x[9] == 14462)
    s.add( -30 * x[8] + 13 * x[5] + x[3] + x[1] + 2 * x[0] - 15 * x[4] - 24 * x[6] + 16 * x[7] + 36 * x[9] == -2591)
    s.add( 16 * x[6] + -21 * x[5] + 7 * x[3] + 3 * x[1] - x[0] - x[2] + 12 * x[4] - 23 * x[7] + 25 * x[8] - 18 * x[9] == 2517)    
    s.add( -6 * x[6] + 2 * x[2] - x[1] + 2 * x[5] + 9 * x[7] + 2 * x[8] - 5 *
最低0.47元/天 解锁文章
想摆烂的挽风
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
"360春秋"线上 web Writeup
Bendawang's Blog
04-21 3643
“360春秋”线上 web Writeup
2023春秋网络安全联赛春季Misc-AK
qq_43647197的博客
05-19 1523
2023春秋网络安全联赛春季Misc-AK
2023春秋网络安全联赛 春季 wp
akxnxbshai的博客
05-19 1975
2023春秋网络安全联赛春季 wp
2023春秋网络安全联赛春季writup
渗透测试研究中心
06-07 464
Re Emoji Connect 是Excel的插件,开始玩之后会初始化一个4848的矩阵,每个格子里有一个emoji,然后每次点击两个格子,如果两个格子里的emoji相同,就会消除这两个格子。一开始以为是消星星一类的三个格子的消除,但看game的逻辑每次只替换两个,所以确实是连连看。然后flag的逻辑就是每次消除的时候减去格子的 行列,下标是用神奇的方法从unicode转过去的,我这里直接用...
2023春秋春季Crypto方向全解
qq_41626232的博客
05-19 1937
2023春秋春季Crypto wp 全解 侥幸ak了 checkin 题目 from Crypto.Util.number import * # from secret import flag, x, y flag=b'flag{????????????}' def keygen(nbit): p, q = [getPrime(nbit) for _ in range(2)] return (p, q) p, q = keygen(1024) n = p * q t = len(
2023美国大学生数学建模春季
05-06
2023美国大学生数学建模春季
BIMCO计划2019春季发布网络安全条款.pdf
09-20
BIMCO(国际船东协会联合会)计划在2019春季发布一项关于网络安全的专门条款,旨在应对日益严峻的海上行业网络安全威胁。此条款的发布表明了BIMCO对网络安全问题的重视,以及对行业安全标准提升的推动。条款将要求...
2023春季Y题详细解答(jupyter)
最新发布
06-06
2023春季Y题详细解答(jupyter) 2023春季Y题详细解答,数据预处理(缺失值、异常值处理)、特征工程、特征筛选(基于XGboost算法)、回归预测(基于Stacking模型融合方法),代码均有注释。
美国大学生数学建模2023春季文档
07-28
【美国大学生数学建模2023春季】 在数学建模中,参者通常被要求解决现实世界中的问题,而2023春季的一个具体案例是"二手帆船价格预测模型"。这个模型基于统计分析和BP神经网络构建,...
23数模美春季Y题M奖论文
07-17
《23数模美春季Y题M奖论文》是数学建模中的一份获奖作品,针对“Y题”进行了深入的研究并获得了M奖。这份论文展示了参团队在数学模型构建、数据分析和算法实现上的卓越能力。美(MCM/ICM)全称为美国...
2021春秋网络安全联赛—秋季 勇者山峰wp(部分)
gkguk89856的博客
11-30 4131
汪汪队立大功 战队WRITEUP 战队信息 战队名称:汪汪队立大功 战队排名:11 解题情况 请粘贴战队排名截图和答题情况截图: 示例的操作流程: “详细数据”→ “解题总榜”→“找到您所在队伍”→“截图” (提交的时候请把下图替换为您队伍解题总榜上的排名截图) 解题过程 1 Vigenere (题目序号 请参考解题总榜上面的序号) 操作内容: 维吉尼亚解密网站https://www.guballa.de/vigenere-solver 2 helloshar.
2023春秋春季WP-REVERSE(AK)
m0_68757308的博客
05-19 1741
2023春秋春季WP-REVERSE(AK)
2022春秋网络安全联赛-冬季RE部分题解
Todog的博客
12-25 1088
2022春秋网络安全联赛-冬季
2022春秋-春季-逆向题ezam分析
云舒的博客
05-10 601
准备工作 使用die查壳得到64位无壳,于是乎用ida 64打开,看到如下图所示: F5反汇编查看是一堆while语句和switch语句的组合,由此判断需要去控制流平坦化。 去控制流平坦化 这时需要用到angr。安装过程如下: #在windows里用 pip install angr #我自己试了试linux里安装用不了,当然你也可以尝试一下 #运行报错的话,就用windows安装叭,当然linux还有别的方法可以装,自己去找吧 然后需要用到两个脚本,脚本自己网上搜(控制流平坦化脚本),我就不留了。
[春秋2023]Misc sudo(记CVE-2023-22809)
Leaf_initial的博客
05-20 289
sudo使用用户提供的环境变量让用户选择他们所选择的编辑器。的内容其中一个变量扩展了传递给函数的实际命令。然而,后者依赖于--参数的存在来确定要编辑的文件列表。注入在一个已授权的环境变量中使用额外的--参数可以更改此列表并导致特权通过编辑具有RunAs用户权限的任何其他文件来升级。这个问题发生在sudoers之后。
春秋—wp
qq_49354488的博客
03-11 462
签到 手写一个或者手机打一个FUN扫描一下就行 flag{ju5t_f0r_FUN} 问卷 做完就给 flag{xinnianfunfunfun} 十二宫的挑衅 我们搜一下十二宫密码 根据十二宫密码将图片内容进行排序 在用ZAD解密 flag{WUUHUUTAKEOFF} 十二宫密码破解 puzzle 是拼图 这是原图 打开另一个压缩包里面有1125张图片 ,我们吧带字的图片筛选出来然后照着对照就能得到flag 因为里面有很多重复的所以很好看 flag{w9w45my6x8kk4e
2024 i春秋-春秋 冬季
weixin_45906533的博客
01-24 3208
此漏洞可以执行命令,但是是没有回显的,当时想反弹shell直接在.gitmodules文件里写反弹shell的命令但是发现怎么弄也不行,后来经过本地调试,发现只要把反弹shell的命令写入到exp.sh里面,然后在.gitmodules文件执行这个脚本就可以反弹shell了。前面的流追踪完了,后面也就没啥可看的了,后面也就还能追踪到一个flag.txt,但是只能dir命令执行后发现有flag.txt没有查看文件内容,所以当时我疑惑了很久。
春秋CTF2022 WP
xczzhf的博客
05-08 3677
已经过了交wp的时间了,这里就不再详细写了,写个大概吧 WEB Mercy-code 无参数RCE,参考bytectf boring code https://blog.csdn.net/a3320315/article/details/102989485/ 简单的说就是想办法构造 ‘.’ 然后拿到文件名,show_source就能拿到flag,这里我用的是数学函数 picture convert flask的题,实际上是个命令注入,源码如下 import json from flask import F
360春秋writeup
Ni9htMar3的博客
04-23 1361
这是我参加的体验最差的一次比。。。服务器差的真是没有web狗的生存余地,最后又因为修改名额恰好掉出来,醉啦WEBwhere is my cat一开始还吐槽证书问题,抓包出现个迷之host,肯定有问题 跟请求的HOST居然一样,先查一下证书,毕竟证书不安全直接通用名上去,得到flag 写一写,看一看打开,直接找备份,在index.bak找到,这题感觉非常坑,本来服务器就不行,结果题目源码还一直改
2023春季Z题思路分析
04-04
这道题目涉及到了最小生成树和网络流的知识,需要综合运用这两个算法来解决问题。具体思路如下: 1. 首先,我们可以将每个点看成一个节点,每个关系看成一条边,构成一张无向图。 2. 对于每个节点,我们需要计算出...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值