HayyimCTF 2022 Frontdoor 复现

最新推荐文章于 2022-03-31 21:50:59 发布
最新推荐文章于 2022-03-31 21:50:59 发布
阅读量333 收藏
点赞数
分类专栏: 逆向工程 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51373492/article/details/123033747
版权

题目感觉不错,学到很多,开心

分析

64位无壳,elf文件,拖进ida
在这里插入图片描述

可以看到这里设置了个异常处理
在这里插入图片描述

发现只能在虚拟机中运行。

输入字符串后,进入sub_55AC08D6DF20函数

(注:由于有aslr而且我比较懒(草),所以下面的函数名都是我本地的名字)

sub_55AC08D6DF20函数

sub_55AC08D6DF20函数将我们的输入一个个和一个解密后的字符串拼接后sprintf到v11中
在这里插入图片描述

info-set guestinfo.%s %s是解密出的字符串,丢到网上搜索,发现和虚拟机的接口RPCI有关,于是学习了一波RPIC的原理和特点

发现info-set guestinfo.%s %s中的第一个参数对应的是要在宿主机中set的键,第二个参数是值,比如下图就是在宿主机中创建了一个名为b的键,值为2的ascii码。
在这里插入图片描述

我们可以通过另一个指令info-get guestinfo.b来获取这个键的值,和python的字典有点像。

然后下方是两个奇怪的函数,这里猜测是send和receive的函数。
在这里插入图片描述

发现这里循环26次,将我们的输入作为值,和a到z的键进行了配对。

随后进入下一个函数。

sub_55AC08D6E060函数
第一部分

函数前部分有很多行与下图类似结构的代码,意思大概是把一个固定的字符串中的字符一个个取出,作为键来取出我们刚刚set到宿主机的值(使用info-get guestinfo.%s),然后和当前字符异或,存入内存之中。
在这里插入图片描述

第二部分

进行了几轮后,来到了一个判断
在这里插入图片描述

这里的v87和ord(‘z’)进行异或后得到的是32,也就是空格。这里应该是用来判断输入是否大于等于26。

然后下面都差不多,直到这个地方
在这里插入图片描述
这里是把a到z的所有键对应的值进行了累加。下面的移位会用到。

第三部分

这里是将我们刚刚异或后的保存到内存里的值进行了循环移位后作为参数丢进了这个函数之中。
在这里插入图片描述
循环移位的v103就是我们刚刚累加的结果.

然后这个B3C9函数就是把刚刚移位完的结果变成字符串保存在内存中
在这里插入图片描述

在这里插入图片描述

比较简单,这里不讲了。

然后又是刚刚的套路
在这里插入图片描述

从a1到a7set了七个,然后我们看到下图的execve,很容易猜测是用来找到宿主机进行判断的
在这里插入图片描述

这个时候我突然发现,不对呀,这个题不需要联网,那宿主机隔哪呢,随后搜索了一下/tem/vm的字符串
发现init里面藏了个这玩意。
在这里插入图片描述

elf文件,大小0x48e0.直接dump出来。在dump出来文件的主函数里找到了对比的数
在这里插入图片描述

但是只有个这个似乎并不能还原input,因为我们不知道循环移位的位数。于是我们回头寻找
在这里插入图片描述

发现a7的第两位是0x455a。然后提取出最后一个对比的数,比较二进制就可以知道移位的位数了。
在这里插入图片描述

左移了9位。

然后可以写脚本了。

这里由于懒得写,改了一下官方脚本

def ROL(a,b):
    return ((a<<(b%32))|(a>>(32-b%32)))
def d2b(a):
    s=[]
    for i in range(4):
        s.append(a&0xff)
        a>>=8
    return s[::-1]
p = [(7, 0x23C34040),(3, 0x14380438),(5, 0x6098398),(7, 0xE0E2C3),(9, 0x30585858),(29, 0x81960C),(27, 0xE8AB41C)]

c = list(b'elcvxntymrzoahwujigpqfdsbk\x00\x00')#这里因为不是4的倍数下面会报错所以加俩padding
flag = ""
for s, v in p:
    v = ROL(v, 28 + s)
    w=d2b(v)
    for t in range(4):
        flag += chr(w[t] ^ c[0])
        c = c[1:]
flag = flag[:-2]#去掉刚刚的padding
c = "elcvxntymrzoahwujigpqfdsbk"
res = [0]*26
for i in range(26):
    print(flag[c.find(chr(i + 97))],end="")#输入是按照a到z来输入的,顺序也就是这样决定

得出flag

参考

https://tech.lazyllama.com/2010/06/22/passing-info-from-powercli-into-your-vm-using-guestinfo-variables/

https://zhuanlan.zhihu.com/p/27733895?utm_source=tuicool&utm_medium=referral

夏男人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SUSCTF 2022 Crypto复现
M3ng@L的博客
09-14 1163
AnalysisAnalysisAnalysis 简答来说,题目中函数生成了一个实数矩阵A\pmb{A}AA,并且大小为;由以单个字符构成的大小的矩阵X\pmb{X}XX;由矩阵乘法B=AX\pmb{B}=\pmb{A}\pmb{X}BB=AAXX,生成结果矩阵b\pmb{b}bb;已知量有实数矩阵A\pmb{A}AA,以及结果矩阵B\pmb{B}BB我们已知矩阵乘法中的一个乘数矩阵以及结果矩阵,那么可以计算X=AB\pmb{X}=\pmb{A} \pmb{B}XX=AABB,得到矩阵X\pmb{X}XX;
SUSCTF2022 tttree
sky123博客
03-12 2650
首先将 0x140010074 ,0x140017EFA ,140018C67 起始处的数据转换为汇编。 观察汇编,发现很多代码块之间相互跳转,因此先按照 retn 划分代码块。 代码块中存在大量类似 push rcx;pop rcx 的无用操作,将其去除后继续分析。 def simplify_asms(asms): left_asms = [] for asm in asms: if asm.startswith("pop") and len(left_asms)
SUSCTF 2022 rain
weixin_46483787的博客
02-28 550
首先理解程序的结构,三个功能,一个编辑config,一个打印config,一个rain,其中config用的是realloc来申请,realloc中的size参数,是你写入的config的大小-18 realloc存在UAF,当size为0,即输入的config大小恰为18的时候,realloc(ptr,0)的效果等同于free(0),所以只需要先利用realloc申请一个不在fastbin里的东西,然后free 8 次,再申请回来一次,就可以泄露libc 接下来利用realloc导致的double fre
SUSCTF2022 Misc
mumuzi的博客
03-01 2275
Misc就两个字 无语 文章目录Misccheckinra2TannermisoundAUDIOReDigitalCircuits Misc checkin ra2 下载下来是红警2,由于不是exe打开的,因此地图编辑器没用。打开游戏之后发现有个mission,是和 flag有关的,于是用notepad++全局搜一下mission里面的内容,找到ctf-01 其中发现规则是在ctf-01.lua当中,因为难度只有后两个,所以修改一下 然后发现白天只有30s,于是再修改成120s(事实上应该改贼大的一个数
SUSCTF2022 复现
njh18790816639的博客
03-07 254
1. happytree 2. rain 3. nemu(TQLCTF2022) 解答如下地址: 新博客地址
frontdoor:前门
03-10
"Frontdoor: 前门" 这个概念在IT行业中通常指的是网站或应用程序的主入口,也就是用户访问系统时最先接触到的部分。在Web开发领域,"前门"常常与前端设计、用户体验和交互性紧密相关。HTML,即超文本标记语言...
frontdoor:将 API 表面整合到 Nitrogen 客户端的代理
06-25
cd frontdoor npm install node server.js 如何贡献 反馈:我们很乐意就您使用 Nitrogen 解决的问题提供反馈。 显然,我们也想听听您在何处遇到锋利边缘和死胡同。 通过提交项目问题让我们知道。 拉取请求:如果...
blynk-frontdoor:使用iPhone(或Android)和Blynk无钥匙进入房屋
05-04
本文将深入探讨如何使用Blynk应用程序和智能设备实现无钥匙进入房屋的系统,即"blynk-frontdoor"项目。这个创新的解决方案允许用户通过智能手机,无论是iPhone还是Android设备,轻松安全地控制家门的开关,从而摆脱...
keyvault-certificate-rotation:自动更新Azure CDN前门的密钥保管库证书
01-29
密钥库证书轮换 该应用程序提供了自动更新Azure CDN /前门的密钥库证书的功能。 只需将IAM设置到存储证书的Azure密钥保管库和Azure CDN /前门,即可在24小时内将其更新为证书的新版本。 要求 ...
keyvault-acmebot:适用于Azure Key Vault的自动ACME颁发者(App Gateway前门CDN其他)
02-02
钥匙库Acmebot 此应用程序可自动执行ACME SSL / TLS证书的颁发和续签。 证书存储在Azure Key Vault中。 许多Azure服务(例如Azure App Service,应用程序网关,CDN等)都可以直接从Key Vault导入证书。...
SUSCTF 2022圆满落幕,SU战队夺冠
Cyberpeace的博客
03-01 376
ctfshow 2022新春迎新赛(详细解说)
qq_50589021的博客
02-11 1459
ctfshow 新春迎新赛 热身 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-01-16 15:42:02 # @Last Modified by: h1xa # @Last Modified time: 2022-01-24 22:14:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ eval($_GET['f']); 直接写一句话:?
SUSCTF
weixin_44319142的博客
04-14 445
Crypto 哈夫曼树构造 根据flag格式试着去构造 11 000111 11 00010 000110 100 00001 01 11 101 01 11 101 0010 0010 101 11 01 101 01 11 0011 100 0011 0011 11 11 01 11 101 01 11 11 101 100 101 11 100 11 101 0010 01 11 01 1...
SUSCTF2022WP
Pvr1sC的博客
02-28 829
出了一道Re,另一道是dart和flutter,干不动就这样了
TQLCTF2022 WriteUP(自己做+收集整理+持续更新)
Laffrey的专栏
02-22 1453
[Misc]1.签到 关注微信公众号后,获得1个链接,在源码中找到flag。 [Misc]2. Wizard 访问链接,打开web页面显示的内容如下: SHA256('TQLCTF' + ?) starts with 58011 Please input the string: 于是,猜测这题需要通过命令行(CLI)界面进行交互。 题目是对字符串 'TQLCTF' + ? 进行SHA256哈希计算,得到的哈希值以 58011 开头。 显然,我们需要根据server端发来的回显信息,提取到哈希值(58011
一些无用功
m0_57291352的博客
03-13 4675
small weiner 来源:dvCTF Someone I hate sent me an insulting message using RSA. Can you retrieve his private key? m = 0x596f7520686176652073756368206120736d616c6c207765696e65722e2049204841544520594f5521212121 N = 0x26553fbb7e4bd5bd48868a25f24d9cc5975aa8597f82
2022/1/15 寒假学习打卡 Day1
ShanShan_Yang的博客
01-15 175
BUUCTF Misc(一)签到 (二)金--
Real World CTF 2022(体验赛)部分WP
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
01-24 5215
Real World CTF 2022(体验赛) 周末打了一下Real World CTF体验赛,据说难度比正赛降简单很多,比赛时间连续24小时,赛题类型涵盖Web/Pwn/Crypto/Reverse/Blockchain/Virtual Machine/Browser/IoT/Kernel 等等。 但是本次比赛解题方式和一般CTF不太一样,基本上都是通过CVE漏洞GETshell,与实战更为贴近。 本次比赛做的题都是Web题,简单记录一下,加深学习。如有问题请各位大佬指教。 本次比赛环境需要先访问指定端
2022-03-31 一些后续
m0_57291352的博客
03-31 1065
small weiner 来源:dvctf2022 Someone I hate sent me an insulting message using RSA. Can you retrieve his private key? m = 0x596f7520686176652073756368206120736d616c6c207765696e65722e2049204841544520594f5521212121 N = 0x26553fbb7e4bd5bd48868a25f24d9cc5975aa859
在使用uvm reg model frontdoor read时,利用response如何将读取值返回到reg model?
最新发布
07-04
在使用UVM中的reg model frontdoor read时,可以通过response对象将读取到的值返回到reg model。具体的步骤如下: 1. 在reg model中,定义一个response对象,用于存储读取到的值。可以使用uvm_reg_data_t类型来表示读取到的数据。例如: ```systemverilog class my_reg_model extends uvm_reg_block; // ... // Define the response object uvm_reg_data_t my_response; // ... endclass ``` 2. 在frontdoor read method中,将读取到的值赋给response对象。在frontdoor read method中,可以通过调用`read_resp()`方法来访问response对象。例如: ```systemverilog class my_reg_model extends uvm_reg_block; // ... virtual function void my_frontdoor_read(uvm_reg_addr_t addr); // Perform the read operation and store the value in my_response my_response = read_register(addr); // Set the response object my_register.read_resp(my_response); endfunction // ... endclass ``` 在frontdoor read方法中,首先执行读取操作,并将读取到的值存储在`my_response`中。然后,通过调用`read_resp()`方法将`my_response`赋值给response对象。 通过以上步骤,你可以将读取到的值返回到reg model中,以供后续的处理和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值