NNCTF-2018(部分)

Last updated on 2 months ago

WEB:

超简单的web题

直接截断拿到flag

http://gxnnctf.gxsosec.cn:12311/?no=1%00-

Sqli???

看看这边/.git/返回403 感觉存在git漏洞

随后用python恢复一下git文件恢复。

可以看到验证了git文件泄露的存在, 跑出来一个index.php

index.php代码审计

if($username === 'guest'){ if($username === 'admin'){

条件是两个查询 一个是guest一个是admin 可见可能是利用条件语句来查询数据库。

if(preg_match('#sleep|benchmark|floor|rand|count|select|from|\(|\)|time|date|sec|day#is',$ip)){

以上也可见过滤了括号等等。

Sql绕过

看源码感觉是第一次查询为guest第二次查询为admin
那我们是不是可以使用mysql的变量绕过这个,第一次查询变量值为1,第二次变量查询值为2 ,可以想到使用case when @x is null then @x:=2 ELSE @x:=1
执行同样的语句,第一次为guest

第二次变量赋值为x=1

1
http://gxnnctf.gxsosec.cn:12312/index.php?backdoor=Melonrind&id=case%20when%20@x%20IS%20NULL%20THEN%20@x:=2%20ELSE%20@x:=1%20end

白帽子商城

分析:注册新账号,初始金额1000刀,要购买帽子,一级帽子500刀,购买成功则提升一级,帽子的价格也随之上调1$.购买第一个帽子后,就发现余额不足以继续购买了.

重新注册个新账号,尝试条件竞争,打开burp,点击购买,抓取数据

发送到Intruder,点击Positions,点击clea,点击Payload,选择类型为Null,调大线程和发送次数

发现竞争失败。

后面测试,发现修改【order】的参数可以免费购买帽子,但是始终绕不过购买第二个帽子
于是,猜想这里应该存在条件竞争,那再新注册个账号,修改数据先达到购买第二个帽子的页面,这里使用脚本来登录两个会话同时进行购买帽子

使用脚本同时购买第二个帽子

刷新浏览器,已经get到flag

MISC:

这是啥

尝试了栅栏密码和凯撒密码,发现有点像凯撒密码

GFE-YLCERCNSNLA-AIX{N-PYNET-TSTMYRA}
把上面这一串分为6组6个字符串

1
2
3
4
5
6
GFE-YL
CERCNS
NLA-AI
X{N-PY
NET-TS
TMYRA}

每组按照143526的顺序排序,最后拿到flag

1
GXNNCT F{LEEM ENATRY ----CR YPATNA LYISS}

MISC2

分析:

解压下载的压缩包,发现里面有40个flag.zip包,并且每个压缩包文件都有3个字节大小的名为flag.txt的文件。那就尝试crc32碰撞看看能不能还原压缩包里面的内容。

从网上搜索一波,看看有没有相似的,于是找到一遍文章https://www.cnblogs.com/WangAoBo/p/6951160.html,直接拿现成脚本代码来跑。

这里坑啊,跑了半天什么都没跑出来。后来仔细审了下该脚本,脚本里的CrackCrc()有4个for循环,对应的应该是压缩包里的大小为4个字节的文件,但是现有的压缩包大小是3个字节,于是修改下代码去掉一个for循环, 最终脚本,如下:

What,这是什么啊,新手的我一脸懵逼。后面baidu、Google了一波,原来这个是ASCII码,把ASCII转换成对应的字符串,然后再base64解码即可。

太简单了

解压压缩包,里面这有个没有尾缀名的flag文件,老规矩,file一下看看是什么文件,是个zip压缩包,直接加上为尾缀名,解压

解压不了,提示文件损坏。直接扔winhex,发现文件头被改了,直接改回来

Txt:

下载下来是一个txt文件,但是复制的时候好像有点问题

打开winhex下查看,发现隐藏了一些东西。

谷歌zero-width,找到原题:

https://rawsec.ml/en/HackIT-2018-write-ups/

在wirteup部分找到解密的链接,复制文本里的内容直接解密得到flag

https://offdev.net/demos/zwsp-steg-js

Pwn

format

格式化字符串盲打 通过printf的函数地址确定libc基址,从而获得system地址。
send字符串“/bin/sh;”,那么在调用printf(“/bin/sh;”)的时候实际上调用的是system(“/bin/sh;”),
通过格式化字符串漏洞达到任意读和任意写功能通过使其泄露信息从而实现目的。

MOBILE

IOS_200

题目描述:IOS送分题

压缩包下载下来解压,先file一下看看,发现里面的【UnlockMyIphone】是64位的app文件。

直接扔进IDA,搜索一波flag,key之类的关键字,搜到一串私钥,仔细看,发现这是不需要密钥就可以解密的。

私钥后面跟着两串类似加密的字符串,不管那多,把私钥和这两串文本复制出来先。

0x31.png

百度 在线rsa加密解密,找到以下站点进行解密(这里好像有个小坑,百度出来的前三个站点解不了,不知什么情况)

BASIC:

Her Majesty Queen Elizabeth II:

1
FE&pd8dMFLR%)(DsGbhi@/dKPNR'*TUm?\tlr.7RV

直接base92解码拿到flag

真—签到题:

关注公众号拿flag

Crypto:

维吉尼亚遇上困难:

这一段应该是维吉尼亚密码

1
BZGTNPMMCGZFPUWJCUIGRWXPFNLHZCKOAPGLKYJNRAQFIUYRAVGNPANUMDQOAHMWTGJDXGOMPJPTKAAVZIUIWKVTUCWBWNFWDFUMPJWPMQGPTNWXTSDPLPMWJAXUHHXWPFXXGVAPFNTXVFKOYIRBOQJHCBVWVFYCGQFGUSUBDWVIYATJGTBNDKGHCTMTWIUEFJITVUGJHHIMUVJICUWYQWYGGUWPUUCWIFGWUANILKPHDKOSPJTTWJQOJHXLBJAPZHVQWPDYPGLLGDBCHTGIZCCMEGVIIJLIFFBHSMEGUJHRXBOQUBDNASPEUCWNGWSNWXTSDPLPMWJAIUHUMWPSYCTUWFBMIAMKVBNTDMQNBVDKILQSSDYVWVXIGDQFIBHSLEAVDBXGOLGDBCHTGIZVNFQFKTNGRWXUDCTGKWCOXIXKZPPFDZGXNBAXLGGWBLTLWCKOXAR

直接搜索找到解密网址

https://guballa.de/vigenere-solver

Shamir重要数据损坏

某集团总裁Shamir将自己使用的笔记本电脑上重要的秘密数据分割成5份子秘密数据,并分别存放在5个存储设备上,其中可以由至少3份子秘密数据联合参与运算,才能重构原来的秘密数据。分割方案使用的参数模数为5987。由于Shamir使用的笔记本电脑感染病毒致使该重要秘密数据损坏无法修复,于是Shamir让技术人员通过存放在编号为5、7、9的三个存储设备的子秘密数据进行重构重要秘密数据,其中编号5的存储设备存放的数据为(5,2258)、编号为7的存储设备存放的数据为(7,2424)、编号为9的存储设备存放的数据为(9,2630)。请问技术人员重构出来的重要秘密数据是多少?

1
2
3
	 1  5  25
A =	 1  7  49
	 1  9  81

由矩形对应

1
2
3
a11 a12 a13
a21 a22 a23
a31 a32 a331

由矩阵A得

1
|A|=a11*a22*a33+a12*a23*a31+a13*a21*a32-a13*a22*a31-a12*a21*a33-a11*a23*a32=16

计算出矩阵A的伴随矩阵

1
2
3
4
5
6
7
8
9
A11=a22 * a33 - a23 * a32=7*81-9*49=126
A12= -a21 * a33 + a23 * a31=-1*81+1*49=-32
A13= a21 * a32 - a22 * a31=1*9-1*7=2
A21= -a12 * a33 + a13 * a32=-5*81+25*9=-180
A22=a11*a33-a31*a13=1*81-1*25=56
A23=-a11*a32+a31*a13=-1*9+1*5=-4
A31=a12*a23-a22*a13=5*49-7*25=70
A32=-a11*a33+a21*13=-1*49+1*25=-24
A33=a11*a22-a21*a12=1*7-1*5=2

所以伴随矩阵得:

1
2
3
4
5
6
7
8
9
	A11  A21  A31
	A12  A22  A32
	A13  A23  A33

	A11  A21 A31         126/16     -180/16   70/16          7.875  -11.25   4.375
A*=16/1	A12  A22 A32    =    -32/16       56/16   -24/16   =   -2     3.5      -1.5
	A13  A23 A33          2/16       -4/16      2/16         0.125  -0.25    0.125

2258x7.875-2424x11.25+2530x4.375=2018

ChaGPT的回答

这是一个使用 Shamir’s Secret Sharing Scheme 进行秘密数据重构的问题。Shamir’s Secret Sharing Scheme 是一种秘密共享方法,它通过将秘密拆分为多个部分,然后至少需要其中一部分来重构原始秘密。

在这个问题中,三个存储设备的数据为(5,2258)、(7,2424)、(9,2630)。每个数据包含两个值,一个是存储设备的编号,另一个是对应的子秘密数据。

Shamir’s Secret Sharing Scheme 的公式如下:

f(x)=a0+a1x+a2x2++at1xt1+atxtmodpf(x) = a_0 + a_1x + a_2x^2 + \ldots + a_{t-1}x^{t-1} + a_tx^t \mod p

其中,pp 是参数模数(在这个问题中为5987),tt 是阈值,$a_0, a_1, \ldots, a_t $ 是秘密数据的系数。

在这个问题中,t=2t = 2,因为需要至少三个设备来重构原始秘密数据。我们有三个点 (5,2258)(5,2258)(7,2424)(7,2424)(9,2630)(9,2630)

现在,我们可以使用拉格朗日插值法来找到 f(0)f(0),即 x=0x=0 时的函数值,这个值就是原始秘密数据。拉格朗日插值法的公式如下:

f(0)=i=1tyij=1,jitxjxjximodpf(0) = \sum_{i=1}^{t} y_i \prod_{j=1,j\neq i}^{t} \frac{x_j}{x_j - x_i} \mod p

其中,(xi,yi)(x_i, y_i) 是每个点的坐标。在这个问题中,我们有:

x1=5,y1=2258x2=7,y2=2424x3=9,y3=2630\begin{align*} x_1 &= 5, & y_1 &= 2258 \\ x_2 &= 7, & y_2 &= 2424 \\ x_3 &= 9, & y_3 &= 2630 \\ \end{align*}

将这些值代入插值公式中,得到原始秘密数据:

f(0)=2258(07)(09)(57)(59)+2424(05)(09)(75)(79)+2630(05)(07)(95)(97)mod5987f(0) = 2258 \cdot \frac{(0-7)(0-9)}{(5-7)(5-9)} + 2424 \cdot \frac{(0-5)(0-9)}{(7-5)(7-9)} + 2630 \cdot \frac{(0-5)(0-7)}{(9-5)(9-7)} \mod 5987

计算这个表达式,即可得到重构出来的重要秘密数据。请注意,在模运算中,需要确保计算的结果始终保持在模数pp 的范围内。

技术水文
#CTF-WP
NNCTF-2018(部分)
https://guosec.online/posts/1137788d.html
Posted on
December 20, 2018
Updated on
November 14, 2023
Licensed under
本博客所有文章除特别声明外,均采用  协议,转载请注明出处!