攻防世界-Crypto-easychallenge

最新推荐文章于 2024-06-04 10:54:58 发布
最新推荐文章于 2024-06-04 10:54:58 发布
阅读量435 收藏
点赞数
分类专栏: 安全 文章标签: python 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/131153264
版权

题目描述:将文件下载下来,只有一个pyc文件 

1. 思路分析

先向chatgpt问下什么是pyc文件:

OK,这里简单总结下:

1. pyc文件是python源码编译后的生成的二进制文件

2. 通过一些库可以逆向出pyc的源代码

那么我们需要做的就是先将源代码还原,还原后再根据具体代码实现找出flag

2. 解题过程

2.1 先逆向出pyc的源代码

我们使用uncompyle6试试(先pip install uncompyle6安装该工具)

然后执行命令:uncompyle6 "42aa1a89e3ae48c38e8b713051557020.pyc" > source.py

这样我们将源代码输出到了source.py中,源代码如下:

# uncompyle6 version 3.9.0
# Python bytecode version base 2.7 (62211)
# Decompiled from: Python 3.10.8 (main, Nov  4 2022, 09:21:25) [GCC 12.2.0]
# Embedded file name: ans.py
# Compiled at: 2018-08-08 23:29:44
import base64

def encode1(ans):
    s = ''
    for i in ans:
        x = ord(i) ^ 36
        x = x + 25
        s += chr(x)

    return s


def encode2(ans):
    s = ''
    for i in ans:
        x = ord(i) + 36
        x = x ^ 36
        s += chr(x)

    return s


def encode3(ans):
    return base64.b32encode(ans)


flag = ' '
print 'Please Input your flag:'
flag = raw_input()
final = 'UC7KOWVXWVNKNIC2XCXKHKK2W5NLBKNOUOSK3LNNVWW3E==='
if encode3(encode2(encode1(flag))) == final:
    print 'correct'
else:
    print 'wrong'
# okay decompiling 42aa1a89e3ae48c38e8b713051557020.pyc

 2.2 解码出flag

从代码中分析,代码对flag进行了三层编码,那么我们需要对这三层编码一一进行解码,我们按照编码的顺序反着进行解码即可,调整下代码如下:

import base64

def decode1(ans):
    s = ''
    for i in ans:
        # x = ord(i) ^ 36
        x = ord(i) - 25
        x = x ^ 36
        s += chr(x)

    return s


def decode2(ans):
    s = ''
    for i in ans:
        # x = ord(i) + 36
        x = i ^ 36
        x = x - 36
        s += chr(x)

    return s


def decode3(ans):
    return base64.b32decode(ans)


#flag = ' '
#print 'Please Input your flag:'
#flag = raw_input()
final = 'UC7KOWVXWVNKNIC2XCXKHKK2W5NLBKNOUOSK3LNNVWW3E==='
flag = decode1(decode2(decode3(final)))
print(flag)

 执行该脚本获取flag即可:cyberpeace{interestinghhhhh}

总结:这里主要考察的是pyc文件的逆向,还有一些编码和解码的基本操作,将源代码解出来后,进行反向解码即可

 

wuh2333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 command_execution 解题详析
等风来
05-21 6004
ping 命令是一个常用的网络命令,用于测试两台计算机之间网络连接的连通性。通过向目标计算机发送 ICMP 协议的数据包,并等待目标计算机返回响应数据包来测试网络的可达性,同时也可以测试网络的延迟和丢包率等信息。本地回环地址是网络通信中的特殊地址,指向本机的网络接口,因此通过发送 icmp 数据包到该地址来测试网络连通性和延迟。如果 ping 命令不正确地处理其输入参数,就可能存在被攻击者利用来运行危险的命令的风险。2.ping+IP地址或主机域名+命令参数。3.ping+命令参数+IP地址或主机域名。
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1349
学习pwn开始,慢慢来不要急
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
攻防世界XCTF-MISC入门12题解题报告
最新发布
wholeliubei的博客
06-04 1034
如果你也想学习:黑客&网络安全的零基础攻防教程MISC属于CTF中的脑洞题,简直就是信息安全界的脑筋急转弯。你说它渣,它也有亮点,不好评说。这块最亮眼的入门题就属隐写术,出题人骚的狠。但是我感觉未来其中一个重点,就是大数据安全,从海量流量中捕获恶意流量,比如流量中有一个常见的OWASP10攻击,flag就藏在恶意流量里面,找到攻击就找到flag。准备大年30晚上把这块吃掉。写文章不容易,求三连。
攻防世界-难度1-Misc总结
Welcome To Myon'Blog !
03-05 5099
攻防世界-难度1-Misc总结 ; 主要针对Misc入门、图片隐写; kali linux、Stegsolve.jar、010Editor、WinHex、QR Research、Ziperello、ARCHPR、RX-SSTV、IDLE、Bandizip、7zFM、Firefox、SilentEye、DeepSound、PS、Wireshark;binwalk、foremost、zsteg、strings、grep、stegpy、file、checksec、pngcheck、convert、montage
攻防世界NewsCenter
qq_45955869的博客
05-19 529
提示:攻防世界新手模式难度2NewsCenter提示:以下是本篇文章正文内容,下面案例可供参考比较基础,比较简单。
sm-crypto-master.zip
12-17
国密算法SM2公私钥加解密及签名验签以及前端js sm-crypto,附件说明及参考及测试方法;
Charm-Crypto-0.43_Python3.tar.gz
08-15
**Charm-Crypto-0.43_Python3.tar.gz** 是一个包含了Charm加密库的版本0.43的压缩文件,专为Python 3编程语言设计。这个库为开发者提供了一整套强大的加密工具,包括了身份基加密(IBE)、属性基加密(ABE)以及对称...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
commons-crypto-1.0.0-API文档-中文版.zip
05-02
赠送jar包:commons-crypto-1.0.0.jar; 赠送原API文档:commons-crypto-1.0.0-javadoc.jar; 赠送源代码:commons-crypto-1.0.0-sources.jar; 赠送Maven依赖信息文件:commons-crypto-1.0.0.pom; 包含翻译后的API...
sm-crypto:国密算法js版
04-27
sm-crypto国密算法sm2、sm3和sm4的js版。PS: 小程序移植版:安装npm install --save sm-cryptosm2获取密钥对const sm2 = require('sm-crypto').sm2let keypair = sm2.generateKeyPairHex()publicKey = keypair....
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 1855
一、在CTF的Web题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
攻防世界-unseping
m0_49025459的博客
12-17 2831
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
【愚公系列】2023年06月 攻防世界-Web(wzsc_文件上传)
时光隧道
06-17 5150
文件上传漏洞(File Upload Vulnerability)是指攻击者通过某种方式绕过应用程序上传文件的安全检测机制,将恶意文件或脚本上传至目标服务器,达到执行任意恶意代码的目的。攻击者可以通过此漏洞窃取、篡改、删除或破坏网站数据,或对受害者发起其他形式的攻击。文件上传漏洞可能出现在各种类型的Web应用程序中,包括电子商务、CMS、论坛、博客、社交网络和在线媒体等。攻击者通常会利用Web应用程序提供的文件上传功能,来上传恶意文件。
攻防世界_Crypto_easychallenge
Altering_Ji的博客
03-22 3318
攻防世界Crypto类新手练习区题目,easychallenge,用uncompyle6反编译得到Python源码
攻防世界MISCall
一颗小白菜的博客
04-02 1917
攻防世界MISCall 1、题目 网址:攻防世界 2、原理及工具 原理:git信息泄露 git官网资料:https://www.git-scm.com/book/zh/v2 工具:kali、python 3、解题过程 下载下来的文件名字太长,先改个名字 root@kali:~/Desktop/CTF# mv d02f31b893164d56b7a8e5edb47d9be5 miscall roo...
攻防世界】web新手题知识点WriteUP及知识点讲解(超超超详细)
qq_62604985的博客
09-19 1010
在url处进入 /robots.txt 查看到以下页面。尝试访问fl0g.php文件得到flag
攻防世界-Web(新手区)
qwzf
07-17 2万+
前言 暑假前,为了学习Web题,做了攻防世界的新手区的Web题,当时没有总结,现在总结一下。 正文 Web1:view_source 查看源代码,右键不可以用。所以按F12,直接查看源码即可。 Web2:get_post HTTP的两种请求方式 GET GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中)如: /test/1.php?name1=value1&name...
hutool-crypto版本3
03-06
Hutool-Crypto是一个Java加密工具库,提供了常用的加密算法和工具类。关于Hutool-Crypto版本3的介绍如下: 1. 版本3是Hutool-Crypto的最新版本,它在之前版本的基础上进行了一些改进和优化。 2. Hutool-Crypto版本3支持多种常用的加密算法,包括对称加密算法(如AES、DES、3DES)、非对称加密算法(如RSA、DSA)、哈希算法(如MD5、SHA-1、SHA-256)等。 3. 除了提供了各种加密算法的实现,Hutool-Crypto版本3还提供了一些常用的加密工具类,如Base64编码解码、Hex编码解码等。 4. Hutool-Crypto版本3还支持数字签名和验签功能,可以用于数据的完整性验证和身份认证。 5. Hutool-Crypto版本3的使用方式简单灵活,提供了易于理解和使用的API接口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值