BUUCTF [NPUCTF2020]

已于 2024-11-06 11:44:33 修改
阅读量378 收藏 3
点赞数 10
CC 4.0 BY-SA版权
文章标签: 算法 安全 网络安全 系统安全
于 2024-09-10 20:51:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulala987/article/details/142108483

文件无壳 拖入ida

573689b2a9da4e028a749acc6a94094f.png

shift+F12查找可疑字符串 发现一串很像base64编码表的字符串

59e471399ac84bdb82b42714b3e3fea2.png

双击进去 F5查看伪c代码

f30baa340d964cadab826852e5e12a4b.png

跟进RxEncode函数

b4084c367fb240f8928e904cec7d84ce.png

 

void *__fastcall RxEncode(const char *a1, int a2)
{
  int v3; // [rsp+18h] [rbp-38h]
  int v4; // [rsp+1Ch] [rbp-34h]
  int v5; // [rsp+20h] [rbp-30h]
  int v6; // [rsp+24h] [rbp-2Ch]
  int v7; // [rsp+28h] [rbp-28h]
  int v8; // [rsp+28h] [rbp-28h]
  int i; // [rsp+2Ch] [rbp-24h]
  _BYTE *v10; // [rsp+30h] [rbp-20h]
  void *s; // [rsp+38h] [rbp-18h]

  v3 = 3 * (a2 / 4);
  v5 = 0;
  v4 = a1[a2 - 1] == 61;
  if ( a1[a2 - 2] == 61 )
    ++v4;
  if ( a1[a2 - 3] == 61 )
    ++v4;
  if ( v4 == 3 )
  {
    v3 += 2;
  }
  else if ( v4 <= 3 )
  {
    if ( v4 == 2 )
    {
      v3 += 3;
    }
    else if ( v4 )
    {
      if ( v4 == 1 )
        v3 += 4;
    }
    else
    {
      v3 += 4;
    }
  }
  s = malloc(v3);
  if ( s )
  {
    memset(s, 0, v3);
    v10 = s;
    while ( v5 < a2 - v4 )
    {
      v6 = 0;
      v7 = 0;
      while ( v6 <= 3 && v5 < a2 - v4 )
      {
        v7 = (v7 << 6) | (char)find_pos(a1[v5]);
        ++v6;
        ++v5;
      }
      v8 = v7 << (6 * (4 - v6));
      for ( i = 0; i <= 2 && i != v6; ++i )
        *v10++ = v8 >> (8 * (2 - i));
    }
    *v10 = 0;
    return s;
  }
  else
  {
    puts("No enough memory.");
    return 0LL;
  }
}

编码过程

  • 使用一个循环遍历输入字符串的前a2 - v4个字符(其中v4是末尾等号的数量),这些字符将被编码。
  • 对于每组4个输入字符(或更少,如果接近字符串末尾),使用find_pos函数(该函数未在代码中定义,但可能是一个查找字符在Base64编码表中的位置的函数)将每个字符转换为一个6位的二进制数,并将这些数拼接成一个较大的二进制数。
  • 如果一组字符少于4个,则在拼接的二进制数左侧进行零填充,以模拟完整的4字节输入。
  • 然后,将这个大二进制数拆分成3字节的块(每个块对应于Base64编码中的4个字符),并将这些块转换为相应的Base64字符。
  • 将编码后的字符存储在之前分配的内存中。

输入数据后直接base64解码然后比较,只是把base64的56改为{}

上脚本 这里借鉴这位师傅的代码http://t.csdnimg.cn/yo118

s2 = b'\x0F\xD3p\xFE\xB5\x9C\x9B\x9E'[::-1]+ b'\xDE\xAB\x7F\x02\x9CO\xD1\xB2'[::-1] + b'\xFA\xCD\x9D@\xE7ceY'[::-1]
#仅56换为{} 的base64
from base64 import b64encode
print(b64encode(s2))

得到flag

aa1370a2c25e44dc8842c43cfeb76a66.png

flag{w0w+y0U+cAn+r3lllY+dAnc3} 

 

溜啦啦
关注
【学习笔记 44】 buu [MRCTF2020]Ez_bypass
weixin_43553654的博客
08-03 383
0x00 知识点 绕过md5()函数 绕过is_numeric()函数 代码审计 0x01 知识点详解 md5()函数怎么绕过? 答:本题是将两参数传成数组,由于md5()函数无法操作数组,也就判断都为null,像个参数的md5值也就相同了。 is_numeric()函数怎么绕过? 答:is_numeric() 函数用于检测变量是否为数字或数字字符串。本题由于在这个函数之后还有一个弱类型比较,所以要用1234567a绕。1234567a是字符串,但是弱类型比较的时候,1在前,php会将其整体转成数字,
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3225
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[GYCTF2020]Blacklist
weixin_52268949的博客
01-26 2432
[GYCTF2020]Blacklist(堆叠注入) 补充知识点 desc查看表结构的详细信息 desc table_name; PS:此处desc是describe的缩写,用法: desc 表名/查询语句 desc降序排列数据 select ename,sal from emp order by sal desc; 手动指定按照薪水由大到小排序(降序关键字desc) select ename,sal from emp order by sal asc; 手动指定按照薪水由小到大排序(升序关键字asc) P
[GYCTF2020]Blacklist1
最新发布
2301_80010998的博客
07-02 251
ctf
BUUCTF_Web题目题解记录1
Altering_Ji的博客
07-11 2948
记录一下buu 刷题网站上最近做的三道web题目:[GYCTF2020]Blacklist(堆叠注入)、[网鼎杯 2020 青龙组]AreUSerialz(反序列化)、[GXYCTF2019]BabyUpload(文件上传)
练习8 Web [GYCTF2020]Blacklist
离暑假还有41天的博客
03-17 1253
这道题其实不是堆叠注入,但是我在联合查询无效后,试了一下堆叠,最后一步发现被过滤的sql语句太多了,完全没法。查阅其他wp的过程,是用的handler语句,只能用于MySQL中,是类似于select的语句,详细内容我记录在我的wp中
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1273
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
[NPUCTF2020]共 模 攻 击
2er0!=O的博客
08-01 1063
[NPUCTF2020]共 模 攻 击 附件: hint.py: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
[NPUCTF2020]EzRSA
2er0!=O的博客
07-25 703
[NPUCTF2020]EzRSA 附件: from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fla
[GYCTF2020]Blacklist 1
Lethehong
01-25 955
这篇文章以实战的形式,向读者展示了如何通过SQL注入技术来探索和利用数据库漏洞。文章从简单的输入测试开始,逐步深入到使用特定的MySQL命令来绕过安全限制,最终目的是获取数据库中的敏感信息。在实战的初始阶段,我们看到一个输入框默认填充了数字“1”。这一步骤看似简单,却是渗透测试的起点,它让我们了解到系统对输入的默认处理方式。当我们直接提交这个默认值时,系统返回了一些信息,但显然不够充分,这激发了我们的好奇心,促使我们进一步探索。
[ACTF新生2020]rome1
c7777127_的博客
11-03 294
ida32位进去后,进main函数,找到核心步骤,然后发现是一个逆向加密,脚本如下。
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 5260
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
BUUCTF---web---[GYCTF2020]Blacklist
2201_75556700的博客
06-11 447
7、查看flag字段中的信息,select被过滤了。8、使用handler打开表,并读取表中第一个信息。2、测试单引号和双引号,单引号报错,双引号没报错。4、使用堆叠注入测试,查看数据库名。6、查看FlagHere中字段名。1、来到题目连接页面。
四,[ACTF2020 新生]Exec1 感谢 Y1ng 师傅供题
2402_87039650的博客
11-27 613
cat(concatenate的缩写)命令是Linux和Unix系统中一个非常常用的命令,它主要用于读取文件内容并输出到标准输出(通常是终端),或者将多个文件的内容连接起来并显示或重定向到另一个文件。( | 管道操作符尝试将 127.0.0.1 命令的输出作为 ls ../../../ 命令的输入。ls ../../../ 命令尝试列出从当前目录向上移动两级后的目录内容。访问后是原页面,目录穿越试试打开根目录,127.0.0.1|ls ../../../得到index.php,访问一下。
BUUCTF--[ACTF2020 新生]Include
Welcome To Myon'Blog !
11-21 1990
确实过滤掉了很多伪协议,但是 php://filter 是可以使用的,这也是为什么我们能读取到flag.php。php://filter/read=convert.base64-encode/resource=[文件名]请求了file,内容是flag.php的内容:Can you find out the flag?但是这种编码读取php文件似乎不行,不过我们可以读其他的,比如etc下的passwd。应该是被检测了,我们读取一下index.php的源码看看。,这时我们就需要使用一些其他的编码方式。
buuctf ACTF2020upload
12-31
### BUUCTF ACTF2020 Upload Challenge Writeup #### 文件上传漏洞分析 文件上传功能如果未经过严格的安全验证,可能会被攻击者利用来执行恶意操作。常见的安全风险包括但不限于:任意文件上传、脚本注入以及通过特定扩展名绕过检测机制等[^1]。 #### 解决方案概述 对于`ACTF2020 新生`中的`Upload`题目,在成功上传文件后返回路径 `./uplo4d/ddea6db74c0ab39b95ce495a41dfb1bf.phtml` 表明服务器端存在PHP处理逻辑,并且允许访问该位置下的`.phtml`文件[^2]。这暗示着可能存在远程代码执行的风险。 为了进一步探索此漏洞的可能性: - **确认环境配置** 攻击面在于能够控制的内容会被解释器解析并运行。因此首先要了解目标系统的具体设置,比如是否启用了危险函数如`exec()` 或其他可调用外部命令的功能[^3]。 - **测试命令注入** 如果上述条件成立,则可以通过构造特殊请求参数尝试触发系统指令执行。例如向URL附加额外的shell命令字符串以获取更多关于主机的信息或读取敏感数据文件。 ```bash http://target.com/upload.php?cmd=whoami&file=ddea6db74c0ab39b95ce495a41dfb1bf.phtml ``` 此处假设`upload.php`为负责接收POST提交表单并保存附件的服务接口;而`cmd`代表要传递给后台程序用于动态拼接SQL语句或其他业务流程的关键字。实际情况下应根据具体情况调整Payload结构。 最终目的是找到一种方法使服务端按照预期行为响应我们的自定义输入,从而实现信息泄露乃至完全控制系统的目的。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值