前两天打了国赛的初赛,再次被自己菜哭555
MISC
签到
the_best_ctf_game
下载下来附件拖入notepad++,看到有类似flag的字样
再放到010editor里
看到了头和尾,直接一个个输入拼起来就好了
flag{65902f26-0d6e-463f-bc63-2df733e47fbe}
WEB
easyphp
打开环境看到显示的源码
这段代码大体意思就是先建立一个子进程,然后创建成功后去进行进程控制,如果进城异常退出的话,就返回phpinfo,后面就是对传参a进行过滤。
审计过后发现有个敏感函数call_user_func_array(),这个函数是回调函数,并把一个数组参数作为回调函数的参数。
在代码中还发现了会用正则过滤变量a,不能直接传pcntl_wait()而使子进程终端
后来想到我们可以通过给a变量传入call_user_func(),然后给b传pcntl_wait()来绕过正则过滤从而得到phpinfo
Payload: ?a=call_user_func&b=pcntl_wait
可以得到phpinfo页面,本来想通过phpinfo来看一下有没有可利用的函数来getshell的,结果发现flag就在phpinfo中
easytrick
拿到题目发现是反序列化。目的是执行echo file_get_contents(“/flag”)语句。因此需要构造对象的两个成员,trick1和trick2长度小于5,md5相等,但是两者不相等。
由于在代码刚开始的部分有强制类型转换
!==当判断两者类型不同后,就会直接返回True。因此只要传入的trick1和trick2是同类型但不是String类型即可。
!=则会先转换二者类型,因此需要使用传入的参数在强制类型转换为String后,再次转换不能复原的类型。
实验发现使用NAN(Not a Number)符合以上条件:
使用如下代码构造payload:
O:5:"trick":2:{s:6:"trick1";d:NAN;s:6:"trick2";d:NAN;}
传入payload获得最终结果:
rceme
打开发现有源码
将$_GET['a']的值传入了parserIfLabel函数
经过信息搜集后发现本题代码为CVE-2019-9041漏洞的魔改题
传入的a需要满足次正则要求,即{if:}开头,{end if}结尾
之后经过多层过滤后在{if:}的:与}之间的语句会被拼接到
而被执行,在经过多次本地调试后发现形似?a={if:1)*要执行代码*if(1}{end if}的payload可以被成功拼接并执行
下一步表示绕过过滤函数danger_key()
发现过滤的很死,eval,assert以及回调函数啥的都被ban了
想到用字符串拼接来绕过,但是回调函数被ban了,后查阅资料发现array_map()也能用来调用函数
后来构造payload ?a={if:1)array_map('sys'.'tem',['cat /flag']);if(1}{end if} 并成功的到flag
Reverse
Re_Z3
拖进IDA进行反编译
找到main函数后进行反汇编出伪代码
可以整理出其中的逻辑,首先将unk_404020处的字符串读入Dst赋给Dst。然后读取用户42位的输入。以七个字母为一组组成七元一次方程组,等式左侧的部分即是Dst中的值。后续的方程参数都相同,仅仅是方程左侧的数值不同。
这里使用python的scipy库解方程,exp如下:
import numpy as np
from scipy.linalg import solve
Dst=[
[0x4f17,0x9cf6,0x8ddb,0x8ea6,0x6929,0x9911,0x40a2],
[0x2f3e,0x62b6,0x4b82,0x486c,0x4002,0x52d7,0x2def],
[0x28dc,0x640d,0x528f,0x613b,0x4781,0x6b17,0x3237],
[0x2a93,0x615f,0x50be,0x598e,0x4656,0x5b31,0x313a],
[0x3010,0x67fe,0x4d5f,0x58db,0x3799,0x60a0,0x2750],
[0x3759,0x8953,0x7122,0x81f9,0x5524,0x8971,0x3a1d]]
a=np.array([[12,53,6,34,58,36,1],
[83,85,12,73,27,96,52],
[78,53,24,36,86,25,46],
[39,78,52,9,62,37,84],
[23,6,14,74,48,12,83],
[27,85,92,42,48,15,72],
[4,6,3,67,0,26,68]])
for i in Dst:
b=np.array(i)
x=solve(a,b)
for j in x:
print(chr(int(round(j))),end='')
运行得到最终答案:flag{7e171d43-63b9-4e18-990e-6e14c2afe648}
Hyperthreading
程序有反调试,调用win下的IsDebuggerPresent,先使用IDA搜索字符串,找到debug字段,查看交叉引用,定位到反调函数进行patch,之后拖进Ollydbg,随便输入一个值,发现flag长度42位,验证方式是逐字符对用户输入的字符做加密后进行对比。
找到关键cmp,位置在0x401306(基址401000),对cmp下的jnz进行patch,改为nop,并将0x40130F处的2Ah改成FFh,即去除对比后不成功的跳转,并且将程序的flag对比操作次数从0x2a改为0xff。
之后拖入OLLYDBG 关键cmp处下断。
输入abcdefghijklmnopqrstuvwxyz1234567890-{}
按顺序记录cl的值,获得一个每个字母对应十六进制的映射表
通过字符串定位方法发现sub_401270中的byte_402150即为加密的flag,逐位与用户输入对比。
根据前一步动态调试patch后的程序获得的abcdefghijklmnopqrstuvwxyz1234567890-{}映射表就可解出flag{a959951b076ca047840add7093583251ca92}
提交后发现不正确,观察flag发现需要把0换为减号
最终flag为flag{a959951b-76ca-4784-add7-93583251ca92}
Crypto
bd
使用CTF-RSA-TOOLS 解出m
M转为16进制为
666c61677b64333735323533382d393064302d633337332d636665662d3932343764336531363834387d
发现是16进制的flag
两个一组,写脚本解出flag{d3752538-90d0-c373-cfef-9247d3e16848}
PWN
babyjsc
根据题目尝试连接:
可以根据报错得知,题目环境使用python搭建,并使用input读入
根据得到的源码也可以验证这一点,因此可以使用input的漏洞,input()函数如果接收的是计算式,会执行得到结果。
此处尝试根据该漏洞传入代码执行,利用的os模块的system()方法执行系统命令 __import__('os').system('ls')。命令成功被执行,说明漏洞存在:
发现flag并不在根目录,尝试查找flag:
找到flag位置读取,得到最终结果: