2017Pwnhub杯-CUIT校赛

这是CUIT第十三届校赛啦,也是我参加的第一次校赛。

在被虐到崩溃的过程中也学到了一些东西。

这次比赛是从5.27早上十点打到5.28晚上十点,共36小时,中间睡了五六个小时吧。(我还算是我们队休息时间比较长的了)|(•_•) |•_•) |_•) |•) | )

这次我队总分1500,校内排名第六。

在下贡献了四道题目,总计450。

MISC: 1

RE: 2

PWN: 1

杂项就不多说了,说一下RE和PWN吧。

先放官方给出的wp,我对题目不一样的看法会放在后面作为参考。


RE100:

引用Nu1l的wp

 t = [157,151,141,181,132,,187,251,186,145,140,144,189,253,145,128,254,188,145,141,254,170,171,179]
s=''
for v int t:
for i in xrange(0x100):
if(~(~(i | 0xCE) | ~(~i | 0x31))&0xff == v:
s+=chr(i)
print s

RE150:

首先修复一下该程序:

 #include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <assert.h>
#include <elf.h> #define ENTRY 0x08048320
#define FILE_OFF 0x320
#define COUNT 0x432 int main(int argc,char *argv[]){
Elf32_Ehdr ehdr;
unsigned char buf[COUNT] = {};
assert(argc == ); int fd = open(argv[],O_RDWR);//打开文件
assert(fd>); assert(lseek(fd,,SEEK_SET)!=-);//读取elf头
assert(read(fd,&ehdr,sizeof(ehdr)) == sizeof(ehdr));
ehdr.e_entry = ENTRY;//修改入口地址 assert(lseek(fd,,SEEK_SET)!=-);//回写elf头
assert(write(fd,&ehdr,sizeof(ehdr)) == sizeof(ehdr)); //解密
assert(lseek(fd,FILE_OFF,SEEK_SET)!=-);//读取被加密的代码
assert(read(fd,buf,COUNT) == COUNT);
int i = ;
while(i<COUNT){
buf[i] = (buf[i]^)<< | (buf[i]^)>>;
i++;
} assert(lseek(fd,FILE_OFF,SEEK_SET)!=-);//写入
assert(write(fd,buf,COUNT) == COUNT); close(fd); return ;
}

然后IDA中去花,分析得到算法。

 #include <stdio.h>

 unsigned char code[]={0x73,0x8D,0xF2,0x4C,0xC7,0xD4,0x7B,0xF7,0x18,0x32,0x71,0xD,0xCF,0xDC,0x67,0x4F,0x7F,0xB,0x6D,};

 int main(void){
int i = ; while(code[i]){
code[i] = code[i]^;
i++;
} i = ;
while(code[i]){
code[i] = ((code[i]^i)<<(i%)) | ((code[i]^i)>>( - (i%)));
i++;
} printf("%s\n",code);
return ;
}

最后得到flag:

SYC{>>Wh06m1>>R0Ot}

pwn50:

Escape from Jail

python的Jail(python沙箱逃逸),过滤是这样的。

通过查看python的builtins,得知可以使用getattr去调用函数。

getattr(os,"system")("/bin/sh")

起shell之后直接读flag就行了。

接下来说一下我在解题过程中的一些不一样的东西:


RE100:

上面最后出flag的时候用的是穷举,但是我发现程序中关键算法的部分本身就是可逆的。

flag[i] = ~(~(flag[i] | 0xCE) | ~(~flag[i] | 0x31));

这是他原来的算法。

在我测试过程中,发现它等同于另一条语句。

flag[i] ^= 0xCE

所以完全可以不用穷举,可以直接利用以下代码。

 #include <stdio.h>
int main(void){ int flag[]={
0x9d,0x97,0x8d,0xb5,0x84,0xbb,0xfb,0xba,0x91,0x8c,0x90,0xbd,0xfd,0x91,0x80,0xfe,0xbc,0x91,0x8d,0xfe,0xaa,0xab,0xb3
};
int i=;
for ( i = ; i < ; ++i ){
flag[i] = ~(~(flag[i] | 0xCE) | ~(~flag[i] | 0x31));
}
for(i=;i<;++i)
printf("%x ",flag[i]); return ;
}

RE150:

我在解题时并没有去试着完全修复ELF文件。

我利用gdb在解密代码后下断,然后dump出解密后的关键代码。

再将这段代码替换到原文件对应的部分,再到IDA中进行分析。

由于中间带花的部分我不会去......所以最后手动翻译了整段代码。(很傻,不建议像我这样做。)

后面的做法就一样啦。

PWN50:

前面差不多,我也用了getattr这个函数去调用system,

但是最后我并没有去拿shell,而是用"cat *"

列出了所有文件的内容。(因为这里还过滤掉了  .  所以不能"cat flag.txt")

2017CUIT校赛-线上赛的更多相关文章

  1. 2019第十二届全国大学生信息安全实践创新赛线上赛Writeup

    本文章来自https://www.cnblogs.com/iAmSoScArEd/p/10780242.html  未经允许不得转载! 1.MISC-签到 下载附件后,看到readme.txt打开后提 ...

  2. 20190815网络与信息安全领域专项赛线上赛misc WriteUp

    目录 签到题 题目内容 使用工具 解题步骤 七代目 题目下载地址 使用工具 解题步骤 亚萨西 题目下载链接 使用工具 解题步骤 24word 题目下载链接 使用工具 解题步骤 感想 几星期前报了名却完 ...

  3. 2018 ACM-ICPC 中国大学生程序设计竞赛线上赛 H题 Rock Paper Scissors Lizard Spock.(FFT字符串匹配)

    2018 ACM-ICPC 中国大学生程序设计竞赛线上赛:https://www.jisuanke.com/contest/1227 题目链接:https://nanti.jisuanke.com/t ...

  4. 2018 ACM-ICPC 中国大学生程序设计竞赛线上赛 F题 Clever King(最小割)

    2018 ACM-ICPC 中国大学生程序设计竞赛线上赛:https://www.jisuanke.com/contest/1227 题目链接:https://nanti.jisuanke.com/t ...

  5. “玲珑杯”线上赛 Round #17 河南专场

    闲来无事呆在寝室打打题,没有想到还有中奖这种操作,超开心的 玲珑杯”线上赛 Round #17 河南专场 Start Time:2017-06-24 12:00:00 End Time:2017-06 ...

  6. 2021江西省赛线下赛赛后总结(Crypto)

    2021江西省赛线下赛 crypto1 题目: from random import randint from gmpy2 import * from Crypto.Util.number impor ...

  7. 计蒜客 25985.Goldbach-米勒拉宾素数判定(大素数) (2018 ACM-ICPC 中国大学生程序设计竞赛线上赛 B)

    若干年之前的一道题,当时能写出来还是超级开心的,虽然是个板子题.一直忘记写博客,备忘一下. 米勒拉判大素数,关于米勒拉宾是个什么东西,传送门了解一下:biubiubiu~ B. Goldbach 题目 ...

  8. ISCC 2018线上赛 writeup

    今天有机会去ISCC2018参加了比赛,个人的感受是比赛题目整体难度不高,就是脑洞特别大,flag形式不明确,拿到flag后也要猜测flag格式,贼坑 废话不多说,以下是本人的解题思路 MISC 0x ...

  9. 2019 第三届强网杯线上赛部分web复现

    0x00前言 周末打了强网杯,队伍只做得出来6道签到题,web有三道我仔细研究了但是没有最终做出来,赛后有在群里看到其他师傅提供了writeup和环境复现的docker环境,于是跟着学习一波并记录下来 ...

随机推荐

  1. 课堂博客-----TreeView+++++XML形成博客

    什么是XML? 解析:XML:Extensible Markup Language(可扩展标记语言) HTML:HyperLink Text  Markup Language(超文本标记语言) xml ...

  2. Twitter数据抓取的方法(一)

    Scraping Tweets Directly from Twitters Search Page – Part 1 Published January 8, 2015 EDIT – Since I ...

  3. sql中常见日期获取

    获取当前年月日 --获取当前月份 ,GETDATE())) --获取当前月份的下个月 ,GETDATE())) --获取当前月份的上个月 year()获取年 select year(GETDATE() ...

  4. Webpack模块加载器

    一.介绍 Webpack是德国开发者 Tobias Koppers 开发的模块加载器,它能把所有的资源文件(JS.JSX.CSS.CoffeeScript.Less.Sass.Image等)都作为模块 ...

  5. Linux-进程描述(3)之进程状态僵尸进程与孤儿进程

    进程状态 进程状态反映进程执行过程的变化.这些状态随着进程的执行和外界条件的变化而转换.为了弄明正正在运行的进程是什么意思,我们需要知道进程的不同状态.一个进程可以有多个状态(在Linux内核中,进程 ...

  6. 简单的利用JS来判断页面是在手机端还是在PC端打开的方法

    在移动设备应用越来越广泛的今天,许多网站都开始做移动端的界面展示,两者屏幕尺寸差异很大,所以展示的内容也有所差别.于是就遇到一个问题,如何判断你的页面是在移动端还是在PC端打开的,很简单的问题,那我们 ...

  7. 解决md5不是windows平台FIPS验证的加密算法的一部分的怪异问题

    一. 发生问题 临近下班时间的下午,领导一句话:项目先上到测试服吧,我明早来看看. 我想项目还没做完,先上到测试服务器,简单看下应该是没什么问题,部署也只是一会儿的事嘛,随后把手头的项目编译,发布,拷 ...

  8. [系统启动]Printk与sched_clock_init的一点分析

     作者:Younger Liu, 本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可. 在分析Linu内核启动的过程中,发现一段"不平常" ...

  9. iOS开发 - Swift使用GCD实现计时器功能

    前言 开发中,经常会用到定时执行网络请求.倒计时.计时器等功能,本篇文章介绍在iOS开发中,Swift怎样使用GCD实现这些功能. 执行一次 下面的代码将会在5秒后执行,且只执行一次. let tim ...

  10. WinForm界面布局

    一直很羡慕和佩服园子中伍华聪的界面设计和布局.好多年都没有真正写过C/S项目了,今天翻出来6年前刚开始学习WinForm的时候写的一个简单的HR管理系统,思绪一下子很复杂,记得是6年前的夏天,天气很热 ...