[第一届 帕鲁杯 CTF挑战赛 2024] Crypto/PWN/Reverse

最新推荐文章于 2025-03-21 16:27:52 发布
最新推荐文章于 2025-03-21 16:27:52 发布
阅读量2.7k 收藏 18
点赞数 23
文章标签: python 算法 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/138088696
版权

被一个小题整坏了,后边就没认真打。赛后把没作的复盘一下。

比赛有52个应急响应,猜是取证,都是队友在干,我也不大关心。前边大多题是比赛的原题。这是后来听说的,可都没见过,看来打的比赛还是少了。

Crypto

peeeq

这个题始终不明白什么意思,后来看WP,才大概明白。

题目唯一的提示是leak,而这个leak又与谁都没关系。assert看不明白,后来给了提示说是assert不对。

看WP其实是说leak为一个最小值,这些值都可以表示为k1p+k2q的形式。而这个最小值叫最大不可能K,从形式上猜跟φ有关。WP上说是φ-1,那就好办了。

import gmpy2
from Crypto.Util.number import *


def check(m, p, q):
    if m == 0: return True
    if m >= p and check(m-p, p, q) : return True
    if m >= q and check(m-q, p, q) : return True
    return False

flag = b"paluctf{***********************}"

p = getPrime(1024)
q = getPrime(1024)
e = getPrime(17)
n = p*q


pinv_e = gmpy2.invert(p, q)*e
qinv_e = gmpy2.invert(q, p)*e
m = bytes_to_long(flag)
c = pow(m, e, n)
print(c)
print(pinv_e)
print(qinv_e)
m = 0
while True:
    assert m <= leak or check(m, p, q)
    m += 1

leak = 20650913970072868759959272239604024297420806808659110564312051736808778949599012338389873196411652566474168134639876252857623310159737758732845898956842366935678501021994729279299799994075598575657211550223683499328614158165787416177094173112167115888930719187253398687736037116845083325669521670262760600243895871953940839864925909273175442587377607028910874730344252804963645659770898616148180806608083557249713184454706023876544328444568520666837841566163924062054001534893538655581481021600384148478571641075265311650046699619525464106135807483192890198614434965478741402348088647355476402189540171838712520668315
c = 14656499683788461319601710088831412892194505254418064899761498679297764485273476341077222358310031603834624959088854557947176472443021560072783573052603773463734827298069959304747376040480522193600487999140388188743055733577433643210327070027972481119823973316743393323273128561824747871183252082782459568278265418266528855123687868624734106855360408027492126167597948385055908257193701028960507382053300960017612431744000472268868103779169759349652561826935960615964589526055579319224213399173783902104833907847546751649110661705034653912439791460180154034041113546810232929706136321281991114377628823527206109309013
pinv_e = 12474140378771043865022148848078136936465079800066130234618983104385642778672967864991495110508733111980066517889153671507701349679185396054215439179349403857665966245686661757089470553109534987101888628107055364941617805783362125836104920292552457095662777743387917809524955960583091720618281570118299619677634759
qinv_e = 1647206449953560407401595632741127506095799998014240087894866808907042944168674423038307995055460808040825182837354682801054048594394389801771888111156812819183105159993880849157459496014737241461466870906700457127028184554416373467332704931423207098246831148428600375416541264997943693621557486559170922000282251
'''
题目描述有误 assert m <= leak or check(m, p, q) 中的leak为满足要求的最小值
对于 m > {x | x>=leak} 的 m 都必然满足 check(m, p, q) == True
'''

对于已知φ和伪逆的情况可以用z3直接解。

1,这里e未知,可以直接用gcd求出再分解一下找17位的素数。

2,列两个算式求解:n=pinv*p + qinv*q -1;phi = (p-1)*(q-1)

#factor(gcd(pinv_e,qinv_e))
#3 * 102563
e = 102563

pinv,qinv = pinv_e//e,qinv_e//e 

#最大不可能K=mp+nq 使>=K的值都能表示为mp+nq  K=pq-p-q = phi-1 
phi = leak+1 

import z3
import libnum
s = z3.Solver()
p, q = z3.Ints('p q')
#invp*p = 1 mod q ; invq*q = 1 mod p 
#????
s.add(p*q == pinv * p + qinv * q - 1)
s.add(phi == (p-1)*(q-1))

print(s.check())
m = s.model()

p = m[p].as_long()
q = m[q].as_long()

from Crypto.Util.number import *
m = pow(c,inverse(e,p-1),p)
long_to_bytes(m)
#b'paluctf{51b98a17-6843-4e3b-b06c-3cd956bc944c}'

 

gcccd

第2个题就比较简单了,给了c1 = m^e mod n; c2 = (m//2)^e mod n

from Crypto.Util.number import getStrongPrime, GCD, bytes_to_long
import os
from flag import flag

def long_to_bytes(long_int, block_size=None):
    """Convert a long integer to bytes, optionally right-justified to a given block size."""
    bytes_data = long_int.to_bytes((long_int.bit_length() + 7) // 8, 'big')
    return bytes_data if not block_size else bytes_data.rjust(block_size, b'\x00')

def gen_keys(bits=512, e=5331):
    """Generate RSA modulus n and public exponent e such that GCD((p-1)*(q-1), e) == 1."""
    while True:
        p, q = getStrongPrime(bits), getStrongPrime(bits)
        n = p * q
        if GCD((p-1) * (q-1), e) == 1:
            return n, e

def pad(m, n):
    """Pad the message m for RSA encryption under modulus n using PKCS#1 type 1."""
    mb, nb = long_to_bytes(m), long_to_bytes(n)
    assert len(mb) <= len(nb) - 11
    padding = os.urandom(len(nb) - len(mb) - 3).replace(b'\x01', b'')
    return bytes_to_long(b'\x00\x01' + padding + b'\x00' + mb)

def encrypt(m, e, n):
    """Encrypt message m with RSA public key (e, n)."""
    return pow(m, e, n)

n, e = gen_keys()
m = pad(bytes_to_long(flag), n)
c1, c2 = encrypt(m, e, n), encrypt(m // 2, e, n)

print(f"n = {n}\ne = {e}\nc1 = {c1}\nc2 = {c2}")

n = 128134155200900363557361770121648236747559663738591418041443861545561451885335858854359771414605640612993903005548718875328893717909535447866152704351924465716196738696788273375424835753379386427253243854791810104120869379525507986270383750499650286106684249027984675067236382543612917882024145261815608895379
e = 5331
c1 = 60668946079423190709851484247433853783238381043211713258950336572392573192737047470465310272448083514859509629066647300714425946282732774440406261265802652068183263460022257056016974572472905555413226634497579807277440653563498768557112618320828785438180460624890479311538368514262550081582173264168580537990
c2 = 43064371535146610786202813736674368618250034274768737857627872777051745883780468417199551751374395264039179171708712686651485125338422911633961121202567788447108712022481564453759980969777219700870458940189456782517037780321026907310930696608923940135664565796997158295530735831680955376342697203313901005151

由于flag以“}”结尾所在m是奇数,所以列式子的时候列成:

c1 = (2M+1)^e ,c2 = M^e然后用HGCD求解,原来一直用短填充,但用HGCD更快。反正都是模板。

from Crypto.Util.number import *
#half-gcd算法
def HGCD(a, b):
    if 2 * b.degree() <= a.degree() or a.degree() == 1:
        return 1, 0, 0, 1
    m = a.degree() // 2
    a_top, a_bot = a.quo_rem(x^m)
    b_top, b_bot = b.quo_rem(x^m)
    R00, R01, R10, R11 = HGCD(a_top, b_top)
    c = R00 * a + R01 * b
    d = R10 * a + R11 * b
    q, e = c.quo_rem(d)
    d_top, d_bot = d.quo_rem(x^(m // 2))
    e_top, e_bot = e.quo_rem(x^(m // 2))
    S00, S01, S10, S11 = HGCD(d_top, e_top)
    RET00 = S01 * R00 + (S00 - q * S01) * R10
    RET01 = S01 * R01 + (S00 - q * S01) * R11
    RET10 = S11 * R00 + (S10 - q * S11) * R10
    RET11 = S11 * R01 + (S10 - q * S11) * R11
    return RET00, RET01, RET10, RET11
    
def GCD(a, b):
    print(a.degree(), b.degree())
    q, r = a.quo_rem(b)
    if r == 0:
最低0.47元/天 解锁文章
【WP】第一届帕鲁“ - CTF挑战赛 Web 全解
m0_63138919的博客
05-06 1796
【WP】第一届 "帕鲁" - CTF挑战赛 Web 全解
2024第一届帕鲁应急响应挑战赛-Writeup
qq_58833765的博客
04-22 3343
直接开始解密发现这是一条付费记录(话不多说直接购买),没办法,只能遍历md5看能不能碰运气,最后发现文件名就是他的md5值的前半段。登录PC02查看到很多非系统用户,除去公司员工用户(中文名),系统用户,判断其余用户可能为恶意用户。通过堡垒机查看webserver会话记录分析,该ip请求繁多,时间段较长,分析可能为攻击ip。直接把附件exe拖到ida分析动态调试,下断点,看验证码,直接把验证改了,基操,ez~通过查看堡垒机会话记录的监控,查看攻击者视角,得出钓鱼文件。
第一届 _帕鲁_ - CTF挑战赛
Fab1an的博客
04-22 1178
使用脚本将ASCII字符转换为文本字符串。
帕鲁2024-Palu
sagic的博客
07-17 1225
v4=8h+88h=90h canary偏移量=v4-v10=90h-8h=88h=136/8=17 因为amd64的缘故需要加上6个寄存器所以偏移量为25。由于文件开启canary,栈溢出得先泄漏canary地址,由于没有后门函数也无静态函数,还需要泄漏libc地址进行ret2libc。由于没有后面还需要泄漏libc地址我们利用canary后的__libc_start_main_ret进行泄漏。菜单函数无溢出漏洞 看字母提示猜测函数可能是进行编码和解码操作。泄漏canary地址,利用格式化字符串漏洞。
青少年CTF-Solar2月赛-应急响应-单机取证2&3
最新发布
2402_84011283的博客
03-21 495
Solar月赛-应急响应的【综合应急】单机取证-2与【综合应急】单机取证-3题详细解法
探索“帕鲁”Writeup:解密技术挑战的宝藏
gitblog_06508的博客
09-20 458
探索“帕鲁”Writeup:解密技术挑战的宝藏 第一届帕鲁writeup 项目地址: https://gitcode.com/Resource-Bundle-Collection/35241 ...
[wp]第一届帕鲁“ --应急响应
m0_63138919的博客
05-09 3062
[wp]第一届 "帕鲁" --应急响应
第一届帕鲁”应急响应wp
jnszstmei的博客
10-13 2508
帕鲁应急响应是我做过的第一个模拟真实生产场景的应急响应题目,以往做过的都是单个靶机,这一次首次挑战具有拓扑网络结构的应急响应题,更考验综合能力以及对于各个系统的应急响应,所以写下这篇wp以作记录,下面是对于该题的描述其网络拓扑结构如下所示其相关资产情况如下所示。
第一届帕鲁应急响应模块说明
m0_74025111的博客
04-22 2389
这趟旅程的目的是遍访我们的信息系统每一个角落,探寻隐藏在暗处的风险海怪,提升船员们对数据宝藏的守护意识,确保我们的珍贵资讯宝藏不被外界窥见,不受损害,随时准备发挥其价值。你和你的团队,作为这次探险的领航员,将借助先进的应急响应罗盘,对我们的内部信息航道进行全域的安全梳理。从网络的海洋到系统的天空,从数据库的深渊到应用的岛屿,无一处不在你们的巡航范围之 内。向着更安全的港湾,全速前进。3.在打开的“导入虚拟机”中输入正确的主机名,选择空间充足的存储路径,点击 “导入”完成导入 操作。
帕鲁应急响应的题目——个人的
WTT001的博客
05-13 588
md5(端口)]:[d4a973e303ec37692cc8923e3148eef7][堡垒机中flag标签的值]:[BrYeaVj54009rDIZzu4O]提交攻击者留在Web服务器上的恶意程序的32位小写md5值。反序列化的漏洞,端口是8080,也就是提交8080MD5的值。找到JumpServer堡垒机中flag标签的值。提交存在反序列化漏洞的端口。提交攻击者第一次登录时间。提交攻者使用的cve编号。
帕鲁 ctf baidu
06-17
"帕鲁"(Paru Cup)是中国著名的网络安全技术比赛之一,由百度主办,CTF(Capture The Flag)全称“夺旗赛”,是一种模拟真实世界黑客攻击和防御的竞赛,参与者需要运用各种计算机安全技能,包括密码学、逆向工程...
【护网急训2】帕鲁应急响应靶场
persist213的博客
06-12 923
除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。
第一届帕鲁应急响应题目
m0_74025111的博客
04-22 1824
题目要求:提交攻击者留在Web服务器上的恶意程序的32位小写md5值。题目要求:请提交运维服务器上的恶意文件md5(小写32位md5值)。题目要求:提交攻击者在监控服务器上留下的dcnlog地址。提交格式: [2024/00/00/00:00:00]题目要求:请提交该计算机中记录的重要联系人的家庭住址。提交格式:[2024/00/00/00:00:00]提交格式:[2024/00/00/00:00:00]题目要求:提交监控服务器上恶意用户的上一次登录时间。题目要求:提交攻击者反弹shell使用的语言
第一届帕鲁”应急响应“解析-上部分
chinese_cabbage0的博客
12-01 1132
帕鲁应急响应的详细解析,小白也能看懂的wp
帕鲁-应急响应wp
qq_42421872的博客
12-11 1140
我们访问zabbix(http://192.168.20.123:9002/zabbix/),由于没有给我们账号密码,我们去百度找一下默认密码去。我们重新返回jumpServer中,我们去审计台中的会话审计-文件传输,看到了他上传了一共palu-python-flask.tar。我们回到JumpServer,然后在控制台-资产管理中的pc02,然后看命令记录,我们发现他用了注册表。我们看到有一个upload.zip,我们返回到雷池中,从站点防护中看到了有这个文件。
第一届帕鲁“ writeup
mumuzi的博客
04-22 8836
第一届 "帕鲁" - CTF挑战赛writeup(50道应急响应+5道misc+1cry1web)
第一届帕鲁” MSIC 350×350 writeup
z2395602929的博客
04-26 604
帕鲁中Msic 350×350题目的详细解题思路+配套源代码及所需工具
PolarCTF2023冬季个人挑战赛wp含web、misc、crypto_polar冬季赛
2401_83620927的博客
04-03 1101
*AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**(补题发现,秋季那道ezupload,上传GIF文件,再抓包改php后缀,蚁剑,不过我连接的时候,警告返回数据为空?
帕鲁复现
2203_75549399的博客
04-25 1412
这个函数就是我们所要进行解密的函数,这个加密其实是chacha20加密,经过搜索可以得到chacha20加密他需要一个密钥key,一个偏移量ponce,,其中偏移量是一个12位的,但是他给的是16位,经过动调发现,他只取了前12位,下面给出解密代码(使用python的库进行解密,这个Crypto是真的难安装)但是我的main函数不能反编译,显示编译错误,这个我没查出来是什么原因,网上教程说可以通过动调解决一下,就是找到出错的地址,然后F5反编译一下,然后返回就可以F5了。这一句就是主要的加密函数。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值