GrabCON CTF 2021 WP
1、Pwn
1.1、Easybin
程序直接给了后门函数system('/bin/sh'),return2text即可获得shell
from pwn import *
1.2、Can You?
这题开了canary,但存在格式化字符串漏洞,可以读取canary的值,然后再进行溢出修改返回地址为system('/bin/sh')的地址
首先使用pwndbg调试,在printf处下断点,运行至此处输入%x.%x.%x.%x,得到第一个参数值为0xffffcea8
在栈中找到该值
可以知道格式化字符串第一个参数的地址为0xffffce90,而canary在ebp-0ch处,即0xffffcf0c
由此可以计算0xffffcf0c-0xffffce90=124,即31个字节,编写exp如下
from pwn import *
1.3、Pwn CTF
该题未开栈不可执行保护,并且泄露了输入字符串的首地址,可以构造shellcode,ret2shellcode
from pwn import *
2、Crypto
2.1、Warm-up
下载下来是一串
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
根据题意就base64与base32一直解,各解5次出来结果
GrabCON{dayuum_s0n!}
2.2、Poke Ball RSA
e很大,考虑小解密指数d,使用wiener攻击求解d
n = 498934084350094415783044823223130007435556803301613073259727203199325937230080661117917023582579699673759861892703348357714077684549303787581429366922208568924252052118455313229534699860304480039147103608782140303489222166267907007839021544433148286217133494762766492655602977085105487216032806292874190551319
2.3、Old Monk's Password
enc、enc1和enc2都是用flag加密后得到的密文,每次加密开始的i不同。因此只需还原出第一个加密的i即可根据加密逻辑编写解密脚本,得到flag
enc = b'\x0cYUV\x02\x13\x16\x1a\x01\x04\x05C\x00\twcx|z(((%.)=K%(>'
2.4、The Anceint Temple
题目代码如下:
M, s, l, C = 7777771, [], 1337, []
根据以上源码可知,该题将flag的每个字符转换成二进制形式,进行背包加密,每个背包的重量为数组n,每个字符的加密结果存在数组C中,使用ctf-wiki上的脚本进行解密
import binascii
3、Web
3.1、E4sy Pe4sy
进去之后在登录框中用万能密码进行sql注入
username=admin'or 1=1#
登录即可得到flag:GrabCON{E4sy_pe4sy_SQL_1nj3ct10n}
3.2、Basic Calc
一道典型的php无字母shell题,preg_match匹配输入中是否存在字母,存在的话进入die分支,不存在则进入eval函数执行
由于题中已经提供了eval函数,所以用取反构造system函数输入命令即可
eq=$_="%8C%86%8C%8B%9A%92";$__="%a0%af%b0%ac%ab";$___=$$__;$_($___[_]);&_=whoami
4、R****eversing
4.1、Easy Rev
直接静态查看,比较输入和v2
运行得到flag
4.2、Unknow1
exeinfo查壳发现存在upx壳
去壳后ida动态调试,查询字符串定位到“Enter the password: “下断点
开始调试,到输入函数停止,输入123456789
回车,继续跟进,发现到0x401EBA处存在一处判断跳转,会跳转到失败分支,但其正下方就是成功分支,所以修改ZF标志位的值,使其不跳转
进入到成功分支,继续跟进,得到flag
4.3、Unknow2
查壳,发现存在UPX壳
去壳之后IDA打开,静态查看字符串,发现关键字符
在banner处下断点,尝试能否让程序走向输入密码分支
开始调试
结果失败,还是会直接退出且中间没有判断跳转点,所以继续进行静态分析,在main_one函数中找到可疑代码
尝试让程序走到main_one分支试试,向上追溯,在main_main函数处下断点,开始调试
一路F8直到0x000055B6E7319F96处发现有一个跳转逻辑跳过了main_one函数,所以修改ZF标志位,使其不跳转,再F7步入main_one函数
跟进,发现之前标记的关键词断点,执行过去之后控制台弹出输入密码字符
回车输入密码一路跟进,经过一个大循环到达可疑位置上方,此时又出现一个跳转,还是修改标志位,不让他跳转,注意此时修改的是SF标志位(之前都是ZF位)
跟进一行又碰到一个跳转,老套路修改标志位,成功进入到可疑分支
继续跟进,发现go_C14,这是字符串“GrabCON{”的地址
一路跟进到一个打印函数,发现打印出flag,flag中括号前后有两个空格要去掉
GrabCON{626c61636b647261676f6e}实际上就是blackdragon的16进制字符串
4.4、Maths
================
用ida打开分析,该程序先将输入的flag进行hex编码,得到76个字节,将其分为两部分,分别为input1,input2。
然后将其进行一系列的运算得到一个二元四次方程组
通过分析列出如下的方程组(其中x,y为flag的两个部分)
使用sage对等式右边的式子进行因式分解
由此可以得到:
根据上述式子编写sage脚本得到x和y
for i in divisors(v5)://这里的v5是上述等式的左边部分
得到flag为GrabCON{r3v_4nd_m4th_1983eeebb6969ed5
5、Forensics
5.1、First steps
下载memdump.raw文件发现是一个dump下来的linux内存文件,用HxD打开,根据题目提示搜索关键词,linux下创建文件的命令常用的有touch、echo等,既然题目说创建并写入,那先搜索一下echo试试
搜索出来很多条,此时可以用echo + 空格 + 引号搜索,一般Linux下创建并写入都是用 echo “123” > 1.txt这类命令
搜索完成后立刻发现一个可疑的地方,类似shell命令行的一段文本
双击跟进,发现flag,文件为welcome,内容为一段md5(echo的那段base64解密后就是下面那段MD5)
GrabCON{welcome_402051f4be0cc3aad33bcf3ac3d6532b}
5.2、Gang Busted
下载题目,是个安卓系统的文件夹备份
一开始被三个奇怪后缀的app吸引了
后来发现app是后面题目用到的
锁定社交平台是Skype后,开始用Sqlite Studio打开所有数据文件,但都是无用信息和空信息
后来在ProntoDate的提醒下,想到应该有相应的工具
找到Skyperious,一个Skype数据文件读取的工具
找到group name——31337 hax0r plan
找到参会人员和邮箱——evil mike,sidemaf155@5ubo.com
还找到聊天记录,是跟后面的Good Beating题有关,里面有个链接下载good.apk
但apk在安卓文件夹里也有
所以flag就是
GrabCON{skype_sidemaf155@5ubo.com_31337_hax0r_plan_evil_mike}
6、OSINT
6.1、ProtonDate
寻找sc4ry_gh0st@protonmail.com的创建时间
github搜索protondate,发现项目
https://github.com/1cbf94bc-bc47-42b9-9197-244437fad1e6/protondate
运行得到时间
flag为GrabCON{03_09_2021}
6.2、Victim1
进入网站,是一个监控视频
监控里白天有黄色的缆车和雪山,再加上题目标题叫受害者,就查到了意大利今年发生的缆车事故,疯狂输入该事故的城镇名字,一直错误
然后在后面查另一题的网站时把ip地址丢到shodan里一搜
找到Brunico的邮编就对了,GrabCON{39031}
6.3、Victim2
这题是张图片,找图片的位置
右下角有个hotel有名字——SCHENNERHOF
google地图一搜
按照图片角度,就是后面这个Hotel Hohenwart了
所以flag是GrabCON{hotelhohenwart}
