2. 程式人生 > 實用技巧 >BUUCTF:[CSAWQual 2019]byte_me

BUUCTF:[CSAWQual 2019]byte_me

阿新 發佈:2021-01-12

首先在buuctf裡是可以拿到原始碼的,這裡也可以直接猜測一下,不停的輸入a,你會發現到一定數量後發回來的密文的前32位不會再發生變化,這裡便是ECB加密模式的特點,首先來看一下ECB加密的原理(網圖)

加密:randomstr+yourinput+flag,如果你輸入的a與randomstr相加剛好等於分組數(16bytes),那麼密文的前32位(16進位制)都是randomstr+(16-randomstr)*'a'的加密結果,自然你後面再增加a的數量密文也不會再改變,所以我們可以先來把前面這段補齊

from pwn import *
r=remote('node3.buuoj.cn',25676)
re=r.recvline().decode()
re=bytes.fromhex(re)
set1=[]
print('attack start.......')
for i in range(1,17):
    sen_mes='a'*i
    try:
       r.sendline(sen_mes)
    except:
        print('something ro')
    r.recvline()
    re1=r.recvline().strip().decode()
    if re1[0:16] in set1:
        head=i-1
        break
    set1.append(re1[:16])
print(head)

通過密文的長度我們可以估計flag的長度大概 32<flag<48,這裡直接爆破顯然是不太可能的,我們需要將\((128-32)^{len(flag)}簡化為k(128-32)\)

我們只需構造上圖中的資料,爆破i的值就可以了通過對比密文的第二組資料來得到flag[0]也就是'f',按照這種思路我們就可以在\(k(128-32)\)的情況下爆破出flag的值,完整的指令碼如下

from pwn import *
r=remote('node3.buuoj.cn',25676)
re=r.recvline().decode()
re=bytes.fromhex(re)
set1=[]
print('attack start.......')
for i in range(1,17):
    sen_mes='a'*i
    try:
       r.sendline(sen_mes)
    except:
        print('something ro')
    r.recvline()
    re1=r.recvline().strip().decode()
    if re1[0:16] in set1:
        head=i-1
        break
    set1.append(re1[:16])
print(head)
#a reference
#attack [0:16]
mes='a'*head
realflag=''
for i in range(1,17):
    ju=mes+'b'*(16-i)
    r.sendline(ju)
    r.recvline()
    ju_recv=r.recvline().strip().decode()
    for j in range(32,128):
        mes_add=mes+'b'*(16-i)+realflag+chr(j)
        r.sendline(mes_add)
        r.recvline()
        try_recv=r.recvline().strip().decode()
        if ju_recv[32:64]==try_recv[32:64]:
            realflag=realflag+chr(j)
            print('realflag:{}'.format(realflag))
            break
#attack[16:32]            
for i in range(1,17):
    ju=mes+'b'*(16-i)
    r.sendline(ju)
    r.recvline()
    ju_recv=r.recvline().strip().decode()
    for j in range(32,128):
        mes_add=mes+realflag[i:15+i]+chr(j)
        r.sendline(mes_add)
        r.recvline()
        try_recv=r.recvline().strip().decode()
        if ju_recv[64:96]==try_recv[32:64]:
            realflag=realflag+chr(j)
            print('realflag:{}'.format(realflag))
            break
#attack all
for i in range(1,17):
    ju=mes+'b'*(16-i)
    r.sendline(ju)
    r.recvline()
    ju_recv=r.recvline().strip().decode()
    for j in range(32,128):
        mes_add=mes+realflag[i+16:31+i]+chr(j)
        r.sendline(mes_add)
        r.recvline()
        try_recv=r.recvline().strip().decode()
        if ju_recv[96:128]==try_recv[32:64]:
            realflag=realflag+chr(j)
            print('realflag:{}'.format(realflag))
            if chr(j) == '}':
                exit(0)
            break

相關推薦

BUUCTF:[CSAWQual 2019]byte_me

首先在buuctf裡是可以拿到原始碼的,這裡也可以直接猜測一下,不停的輸入a,你會發現到一定數量後發回來的密文的前32位不會再發生變化,這裡便是ECB加密模式的特點,首先來看一下ECB加密的原理(網圖)

BUUCTF-RE-[2019紅帽杯]easyRE

搜尋關鍵字串 Shift+F12 雙擊進去 Ctrl+x 交叉引用的地方 F5分析 signed __int64 sub_4009C6()

[CSAWQual 2019]Web_Unagi

[CSAWQual 2019]Web_Unagi 知識點 1.XXE及繞WAF 題解 開啟題目,點開upload中的例子發現是上傳xml檔案

BUUCTF | [RoarCTF 2019]Easy Java

知識點: WEB-INF/web.xml洩露 WEB-INF主要包含一下檔案或目錄: /WEB-INF/web.xml:Web應用程式配置檔案,描述了 servlet 和其他的應用元件配置及命名規則。

BUUCTF-[SUCTF 2019]EasySQL 1

好吧這題是我不配 看了網上大佬的WP payload1:*,1大佬的解法,好像直接將原始碼猜出來了 select $_GET[\'query\'] || flag from flagpayload2:select1;setsql_mode=pipes_as_concat;select1||flagfromFlagpayload3:

buuctf:[SUCTF 2019]Pythonginx

開啟環境後有一個輸入的視窗,檢視原始碼,給了提示 分析原始碼 @app.route(\'/getUrl\', methods=[\'GET\', \'POST\'])

BUUCTF-[SUCTF 2019]CheckIn

BUUCTF-[SUCTF 2019]CheckIn WriteUp 知識點 .user.ini 檔案 用法: 先上傳一個.user.ini檔案auto_prepend_file=muma.jpg 或者 auto_append_file=muma.jpg兩句話的作用是分別指定一個檔案包含在要進行執行的檔案的

BUUCTF之[EIS 2019]EzPOP&BUUCTF[2020 新春紅包題]1 web

BUUCTF之[EIS 2019]EzPOP&BUUCTF[2020 新春紅包題]1 web 兩題是差不多的,只是一個函式稍微修改了,其中一個字尾不能為php,只要通過路徑穿越:filename=\'/../pz.php/.\';

BuuCTF難題詳解| Misc | [湖南省賽2019]Findme

欄目介紹 其實這題目並不是難題,可是我規劃從50分以上的都專門開一個難題內容詳情,所以這期就放難題了,我覺得還是沒有難度的。

BUUCTF-[強網杯 2019]隨便注

解題 1、網頁標題是easy_sql 輸入1、2有回顯,其餘都無查詢結果 加單引號?inject=1\' 報錯

BUUCTF-[安洵杯 2019]不是檔案上傳 wp

知識點:github原始碼洩露、程式碼審計、php反序列化 進入頁面後發現可以進行檔案上傳,嘗試上傳了一個1.txt檔案後報錯,於是上傳1.jpg檔案,顯示上傳成功後進入show.php檢視,發現檔案被重新命名

BUUCTF Misc [安洵杯 2019]Attack

BUUCTF Misc [安洵杯 2019]Attack 流量分析題,學到了一個新工具mimikatz mimikatz 在內網滲透中是個很有用的工具。它可能讓攻擊者從記憶體中抓到明文密碼。

buuctf-web [強網杯 2019]隨便注 1

啟動靶機,開啟是這個介面 首先輸入1‘,它會報錯 然後輸入1\' order by 2,這說明只有兩個欄位。

BUUCTF-[極客大挑戰 2019]PHP 1

開啟題目,我們就看到這個貓,先是用滑鼠晃了晃,還跟著我的游標搖腦袋。我是來做題的。前端工程師肯定也對這個下功夫了。

Buuctf-web-[SUCTF 2019]CheckIn

首先新增上傳一個.user.ini GIF89a auto_prepend_file=a.jpg 再新增上傳一個a.jpg GIF89a <script language=\'php\'>system(\'cat /flag\')</script>

Buuctf-web-[ZJCTF 2019]NiZhuanSiWei

進入之後 然後我們看到了一個if if(isset($text)&&(file_get_contents($text,\'r\')===\"welcome to the zjctf\"))

BUUCTF-[極客大挑戰 2019]HardSQL 1詳解

來到sql注入騷姿勢,我們一點一點開始學 我們來到這道題,然後嘗試注入,結果發現

BUUCTF:[SUCTF 2019]Pythonginx

技術標籤:CTF_Web_Writeup 題目提示了,是ngix,所以我們要知道nginx一些檔案存放的地方

BUUCTF-[極客大挑戰 2019]HardSQL 1

使用updatexml報錯法注入 http://1bfb9fee-1fce-4f07-81b1-c8048e473a66.node3.buuoj.cn/check.php?username=admin\'or(updatexml(1,concat(0x7e,version(),0x7e),1))%23&password=21

Buuctf-web-[極客大挑戰 2019]HardSQL

被堵 異或運算子為^ 或者 xor兩個同為真的條件做異或,結果為假,兩個同為假的條件做異或,結果為假,一個條件為真,一個條件為假,結果為真,null與任何條件(真、假、null)做異或,結果都為null