REVERSE-COMPETITION-ByteCTF-2024

于 2024-09-23 14:30:28 发布
阅读量900 收藏 12
点赞数 8
分类专栏: Reverse-Competition 文章标签: 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45582916/article/details/142434504
版权

REVERSE-COMPETITION-ByteCTF-2024

babyAPK

blutter恢复部分符号,libapp检查长度是否为45,然后调用babyapk_src_rust_api_simple_::m3N4B5V6_265088
去librust_lib_babyapk搜字符串,定位到sub_3AEE0
uuid格式输入断下,然后就是8个字符一组方程校验
babyapk

import claripy
enc = [0x1ee59, 0x22a, 0x1415, 0x40714, 0x13e0, 0x8b8, 0xfffdcea0, 0x313b, 0x3d798, 0xfffffe6b, 0xc4e, 0x23884, 0x8d, 0x1db4, 0xfffc1328, 0x1eac, 0x43c64,
       0x142b, 0xfffff622, 0x23941, 0xffffef6d, 0x120c, 0xfffbd30f, 0x1ebe, 0x45158, 0xffffef66, 0x1d3f, 0x4c46b, 0xfffff97a, 0x1bfd, 0xfffba235, 0x1ed2]
for i in range(len(enc)//8):
    inp = [claripy.BVS(f"inp_{j}", 8) for j in range(8)]
    v45 = inp[2]
    v44 = inp[3]
    v46 = inp[0]
    v47 = inp[1]
    v48 = inp[4]
    v49 = inp[5]
    v50 = inp[6]
    v51 = inp[7]
    v52 = v46 * v49
    v53 = v48 * v46
    v54 = v44 - v51 - (v47 + v49)
    v41 = i*8
    s = claripy.Solver()
    s.add(v51 + v47 * v44 * v49 - (v46 + v50 + v45 * v48) == enc[v41])
    s.add(v44 - v48 - v46 * v49 + v51 * v47 + v45 + v50 == enc[v41 + 1])
    s.add(v52 - (v48 + v51 * v47) + v45 + v50 * v44 == enc[v41 + 2])
    s.add(v47 + v48 * v46 - (v51 + v45) + v50 * v49 * v44 == enc[v41 + 3])
    s.add(v49 * v44 + v47 + v45 * v48 - (v50 + v51 * v46) == enc[v41 + 4])
    s.add(v52 + v47 * v44 + v45 - (v50 + v48 * v51) == enc[v41 + 5])
    s.add(v51 - v47 + v45 * v49 + v50 - v53 * v44 == enc[v41 + 6])
    s.add(v54 + v53 + v50 * v45 == enc[v41 + 7])
    for j in range(len(inp)):
        s.add(inp[j] >= 0x20)
        s.add(inp[j] <= 0x7f)
    for j in s.batch_eval(inp, 10):
        print("".join(chr(jj) for jj in j), end="")
# ByteCTF{32e750c8-fb21-4562-af22-973fb5176b9c}

ByteBuffer

边,点,recovered numbers
猜测是通过边连接点,数字像电子表那种
观察边周围的数据,77和75是连接的两个点的序号,9是Edge字符串的长度
bytebuffer
同理观察点周围的数据,0627是x坐标,7D是y坐标,8是Dot字符串的长度
bytebuffer
画图即可,边的from和to顺序无所谓,但是点是从后向前保存的,索引的时候需要减一下

import matplotlib.pyplot as plt
import struct
with open("ByteBuffer", "rb") as f:
    data = f.read()
# 找边
edges = []
start = 0x03a0
end = 0x1200
while start <= end:
    if data[start:start+6] == b"Edge #":
        strlen = struct.unpack("<I", data[start-4:start])[0]
        strcomp = data[start:start+strlen]
        dotfrom = struct.unpack("<I", data[start-16:start-16+4])[0]
        dotto = struct.unpack("<I", data[start-12:start-12+4])[0]
        edges.append((strcomp, dotfrom, dotto))
    start += 1
# 找点
dots = []
start = 0x1230
end = 0x1fb0
while start <= end:
    if data[start:start+5] == b"Dot #":
        strlen = struct.unpack("<I", data[start-4:start])[0]
        strcomp = data[start:start+strlen]
        dotx = struct.unpack("<I", data[start-16:start-16+4])[0]
        doty = struct.unpack("<I", data[start-12:start-12+4])[0]
        dots.append((strcomp, dotx, doty))
    start += 1
# 画图
for dot in dots:
    plt.scatter(dot[1], dot[2])
for edge in edges:
    dotfrom = 120-edge[1]
    dotto = 120-edge[2]
    x_values = [dots[dotfrom][1], dots[dotto][1]]
    y_values = [dots[dotfrom][2], dots[dotto][2]]
    plt.plot(x_values, y_values, 'k-')
plt.gca().invert_yaxis()
plt.show()
# ByteCTF{327542185069290715865}

ByteKit

cat ./getflag.sh
先写到BYTECTF_INPUT_VAR_FILE,然后重启
第二次进来如果BYTECTF_OUTPUT_VAR_FILE存在,说明input正确,随后打印flag

#!/bin/bash

BYTECTF_INPUT_GUID=93e91ed6-1a7a-46a1-b880-c5d281700ea2
BYTECTF_OUTPUT_GUID=93e91ed6-1a7a-46a1-b880-c5c281700ea2
BYTECTF_INPUT_VAR_FILE="/sys/firmware/efi/efivars/ByteCTFIn-$BYTECTF_INPUT_GUID"
BYTECTF_OUTPUT_VAR_FILE="/sys/firmware/efi/efivars/ByteCTFOut-$BYTECTF_OUTPUT_GUID"

if [ "$1" == "" ]; then
    echo "$0 <your input>"
    exit 1
fi

input=$1
echo "your input is $input"

if [ -f $BYTECTF_OUTPUT_VAR_FILE ]; then
    flag1=$input
    flag2=`cat $BYTECTF_OUTPUT_VAR_FILE | base64 | cut -c -24`
    echo "ByteCTF{$flag1$flag2}"
    chattr -i $BYTECTF_OUTPUT_VAR_FILE
    rm -f $BYTECTF_OUTPUT_VAR_FILE
    exit 0
fi

if [ -f $BYTECTF_INPUT_VAR_FILE ]; then
    chattr -i $BYTECTF_INPUT_VAR_FILE
    rm -f $BYTECTF_INPUT_VAR_FILE
fi

echo -en "\x07\x00\x00\x00$input" | sudo tee $BYTECTF_INPUT_VAR_FILE > /dev/null
echo "system will reboot in 10 seconds"
sh -c "sleep 10; reboot" &

UEFIExtract从bios.bin提取出来一堆文件,搜bytekit,找到
bytekit
其他感觉没用,就pe32下面的body.bin比较大,ida搜到几个字符串
bytekit
函数不多,但全是混淆,d810能去个大概
ModuleEntryPoint里,数据拷贝,然后和key循环异或
bytekit
异或出来是另一个pe文件,校验逻辑是个小型vm的异或
bytekit
直接扣代码,让密文异或回去即可

arr = [0x62, 0x1, 0xb, 0x79, 0x2, 0x3, 0x74, 0x3, 0x7, 0x65, 0x4, 0xe, 0x64,
       0x5, 0xd, 0x61, 0x6, 0xa, 0x6e, 0x7, 0xf, 0x63, 0x8, 0xc, 0x65, 0x9, 0xa, 0x0]
enc = [0x4B, 0x27, 0x42, 0x55, 0x48, 0x6E, 0x41, 0x29, 0x1F, 0x5E,
       0x04, 0x04, 0x6B, 0x3E, 0x57, 0x5F, 0x08, 0x07, 0x5F, 0x3A,
       0x31, 0x17, 0x40, 0x30, 0x5F, 0x7A, 0x75, 0x67, 0x36, 0x36,
       0x36, 0x36]
idx = 0
while idx != len(arr)-1:
    v14 = arr[idx+1]
    v15 = v14 + arr[idx+2]
    while v15 > v14:
        if v14 >= 0 and v14 <= len(enc)-1:
            enc[v14] ^= arr[idx]
        v14 += 1
    idx += 3
print(bytes(enc))
# KEY:By71d@nnc6_Wan77_y@0_zug6666

最后再输入一下

root@localhost:~# ./getflag.sh KEY:By71d@nnc6_Wan77_y@0_zug6666
your input is KEY:By71d@nnc6_Wan77_y@0_zug6666
ByteCTF{KEY:By71d@nnc6_Wan77_y@0_zug6666BwAAAEsnQlVIbkEpH15qamZW}

极限逃脱

ipa附件,解压出ByteCTFDemo文件,ida打开,通过字符串定位到secondButtonClicked
正则匹配uuid格式,抹除ByteCTF{-},构成字符串列表inp_split
ipa
获取5段已知的字符串,拼接,注意拼接时str_5用了两次,没用str_1
拼接完做sha256得到hex digest
ipa
从hex digest中每次取出一段,索引由上一段决定,长度由当前段决定,做替换
ipa
最后就是和输入的inp_split依次比较
ipa
正向写出流程,加上-即为flag

from hashlib import sha256
s = b"{a67be199da4b-b092-bd3e-e777-a67be199da4b}"
s_ = sha256(s).hexdigest()
lens = [8, 4, 4, 4, 12]
rep = [["a", "b"], ["b", "c"], ["c", "d"], ["d", "e"], ["e", "f"]]
idx = 1
flag = "ByteCTF{"
for i in range(len(lens)):
    sub = s_[idx:idx+lens[i]]
    sub = sub.replace(rep[i][0], rep[i][1])
    flag += sub+"-"
    idx = lens[i]+1
print(flag+"}")
# ByteCTF{c9838b3c-6810-8a3d-8a3c-8a3c6810bdb2}
P1umH0
关注
专栏目录
ByteCTF Crypto
PUTAOAO的博客
10-18 390
easyxor AES的CBC模式和OFB模式 之前赵师傅讲过 听得有点云里雾里的 现在跟着这题的wp顺一遍 首先iv与key是不知道的,只知道前半段密文是OFB模式,后半段是CBC模式 贴两张图 这个是CBC加密,我们可以知道最后一个密文的iv就是前一个密文 通过这个可以爆破出key 因为我们知道flag最后是以}$$$$结尾的 from Crypto.Util.number import * # right shift inverse def inverse_right(res, shift, bi
ByteCTF-mheap WP
qq_41252520的博客
09-16 494
保护 分析 程序首先分配一个 4096 大小的内存,内存基址指定为 0x23330000: 并自己实现了一套堆分配机制,类似于 fastbin ,通过逆向分析得其结构如下: typedef struct Chunk{ int Size; Chunk *Fd; Chunk *Bk; } 分配大小以 16 字节对齐,并且没有大小限制,导致可以分配超出 0x2...
byteCTF 2019
蚁景网安学院
11-25 550
本文作者: z3r0yu 由“合天智汇”公众号首发,未经允许,禁止转载! 0x00 前言 周末的比赛质量还是挺高的,特别是boring_code,有点烧脑但是做的就很开心。 0x01 boring_code 题目描述 http://112.125.25.2:9999 题目解答 题目上来的邮件源码中给了提示,所直接分析目录得到了对应的程序源码 <?php function is_valid_...
ByteCTF 2021(Crypto部分)
m0_57291352的博客
10-24 757
easyxor 核心加密算法convert就是四个shift,写个逆就行,flag被分为两部分,前半部分用OFB模式加密,后半部分用CBC模式加密,由于CBC模式的缺陷,当我们只考虑最后一块时,将倒数第二块作为iv,凭借flag的格式做判断即可爆破出key,再利用OFB模式的漏洞,结合key与已知的flag格式即可逆推出iv,此时iv和key尽知,直接解密即可 from Crypto.Util.number import bytes_to_long, long_to_bytes from random im
ByteCTF2021安全范儿高校挑战赛线上Misc-《HearingNotBelieving》
Mark的博客
10-19 3554
刚拿到文件便发现是一段音频,直接丢进Audacity 频率改一下窗口大小再放大(便不会模糊) 前面的是频谱图中有二维码,截图后手拼下得到前半段flag拼接完成我这加了个滤镜才扫出来了 得到第一部分的flag 第二部分的flag需要通过音频转图片的方式得出,这里用到了Robot36这个手机软件(没有软件的可以私聊发给你),在手机上打开软件,然后通过电脑外发音频,手机麦克风接受音频然后得到图片,最后进行拼图 类似这种图很多张 最后ps或ppt进行拼图得到 加个滤镜就可以扫出来 处理下扫描得到后半段
reverse-shell-generator:简单的脚本来生成反向shell
04-10
cd reverse-shell-generator 3. Install Dependencies: pip3 install -r requirements.txt 4. Run the Python-file: python3 main.py 通过脚本安装: chmod +x install.sh ./install.sh 完毕! 由SoftwareUser23...
fasthttp-reverse-proxy:基于fasthttp的反向http websocket代理
05-10
特征 代理客户端支持的pool 。... proxy "github.com/yeqown/fasthttp-reverse-proxy/v2" ) var ( proxyServer = proxy . NewReverseProxy ( "localhost:8080" ) // use with balancer // weights = map[string]p
org-reverse-datetree:Emacs Org模式的反向日期树
02-04
`org-reverse-datetree` 是一个专门为Org模式开发的扩展,它提供了一种独特的视图,将时间轴反转,使得最新的事件出现在树的顶部,而历史事件则向下展开。这种反向日期树的概念对于那些需要关注最新活动或更新的人来...
react-native-reverse-geo
06-05
从你的项目内部运行npm install react-native-reverse-geo --save 在 XCode 中,在项目导航器中,右键单击Libraries ➜ Add Files to [your project's name] 转到node_modules ➜ react-native-reverse-geo并添加...
simple-reverse-geocoder:从一个点获取地址
05-14
npm i -S simple-reverse-geocoder 用 const rg = require ( 'simple-reverse-geocoder' ) const loc = { type : 'Point' , coordinates : [ - 70.5171743 , - 33.3608387 ] } rg . getAddress ( loc ) . then ( ...
ByteCTF2019-notefive WP
qq_41252520的博客
09-28 607
保护 分析 程序有添加、删除、编辑操作。添加的时候限制了大小: 也就是说分配的chunk都在unsortbin以上。 删除没什么问题,主要漏洞只有一个,那就是在编辑中存在off-by-one: 程序没有输出操作,开启了aslr。所以要构造以下攻击链: 利用off-by-one构造heap overlaping。 利用unsortbin attack改写global_max...
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 833
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
Bytectf-几道web总结
weixin_30376453的博客
09-21 807
1.EZcms 这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化 首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess 这里主要记录一点,利用php内置类进行文件操作, exp为: <?php class File{ public $filename...
ByteCTF 2022】Crypto Writeup
u010883831的博客
09-26 848
ByteCTF 2022 密码 Crypto writeup Choose_U_flag Compare Card Shark
php反序列化漏洞小结 + bytectf-EzCMS-wp
weixin_42444939的博客
09-13 1011
php反序列化漏洞利用姿势 源码中存在unserialize函数(最常见场景) 审计步骤 寻找如下可能被利用的敏感函数: call_user_func array_map array_filter array_walk [ … ] 以上php的回调函数如果传入的参数可控,那么就能成功getshell 菜刀/蚁剑/冰蝎后续就不用说了emmm ps: eval等敏感函数当然也能被利用,但这种情况一...
re学习笔记(95) 2021ByteCTF intent重定向浅析
逆向随笔
01-10 3494
一直没搬过来 由2021ByteCTF引出的intent重定向浅析 在此先感谢ByteCTF的赛前培训,感谢summer师傅的倾情讲解 Intent浅要概述 Intent是Android程序中各组件之间进行交互的一种重要方式,它不仅可以指明当前组件想要执行的动作,还可以在不同组件之间传递数据。Intent一般可被用于启动活动、启动服务以及发送广播等场景。 Intent是一种运行时绑定(runtime binding)机制,它能在程序运行的过程中连接两个不同的组件。通过Intent,你的程序可以向Andro
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 809
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
bytectf部分wp
weixin_44255856的博客
09-10 1022
boring_code 拿到源码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } ret...
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4265
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
reverse-i-search
最新发布
07-27
反向搜索(reverse-i-search)是一个命令行工具中常用的功能,用于搜索并显示之前输入的命令历史记录中最后一个与指定关键词匹配的命令。通过按下Ctrl+R键,你可以启动反向搜索模式,然后开始输入关键词,命令行会自动显示最后一个匹配的命令。你可以继续按下Ctrl+R键来显示更早的匹配命令。如果找到了想要执行的命令,可以按下Enter键来执行它,或者按下右箭头键来编辑它。 请注意,反向搜索功能是特定于使用的命令行工具和操作系统的。不同的终端程序和操作系统可能有不同的实现方式和快捷键。以上是一般情况下的说明,具体使用方法可能会因环境而异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

P1umH0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值