【“轩辕杯“云盾砺剑】部分入门题wp

原创 已于 2025-05-28 10:36:07 修改 · 2k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络安全 #密码学 #python

于 2025-05-21 20:25:29 首次发布

写在前面
菜鸡第一次打CTF比赛写wp,没什么经验,写下博客记录一下,如果有错误还请各位师傅指出,欢迎交流讨论

Misc

Terminal Hacker

image-20250521142706613

解压附件后得到HackMe.exe

image-20250521142843796

双击打开exe文件,进入终端,按照步骤输入即可得到flag

image-20250521143052391

flag{Cysay_terminal_game_hacked_successfully}

Crypto

dp

出题人说得对☝️🤓

image-20250521143330167

根据题目和给出的信息可以知道是RSA中的dp泄露

已知ndpce

知识点

dp定义:dp = d mod (p-1),即私钥d在模数p-1下的余数。根据RSA密钥生成过程,e·d ≡ 1 mod φ(n)(φ(n)=(p-1)(q-1))
当dp泄露时,存在整数k使得 e·dp ≡ 1 + k(p-1)。通过遍历k值可解出p的候选值,并验证是否整除n以确定真正的p
通过以下代码快速定位p:
p = gmpy2.gcd(pow(2, e*dp, n) - 2, n)
#pow(2, e*dp, n) - 2是p的倍数,与n求最大公约数可直接得到p

通过以上方法得到p后通过q = n // p得到q,完成模数n的分解

解密过程

  1. 计算欧拉函数:

    phi_n = (p-1)(q-1)

  2. 求私钥d:

    d = gmpy2.invert(e, phi_n)	#即解e·d ≡ 1 mod phi_n

  3. 解密明文:

    m = pow(c, d, n)
flag = libnum.n2s(int(m))	#并使用libnum转为字节

拿出我珍藏多年的脚本献上


import gmpy2
import libnum
n= 110231451148882079381796143358970452100202953702391108796134950841737642949460527878714265898036116331356438846901198470479054762675790266666921561175879745335346704648242558094026330525194100460497557690574823790674495407503937159099381516207615786485815588440939371996099127648410831094531405905724333332751
e= 65537
c= 59325046548488308883386075244531371583402390744927996480498220618691766045737849650329706821216622090853171635701444247741920578127703036446381752396125610456124290112692914728856924559989383692987222821742728733347723840032917282464481629726528696226995176072605314263644914703785378425284460609365608120126
dp= 3086447084488829312768217706085402222803155373133262724515307236287352098952292947424429554074367555883852997440538764377662477589192987750154075762783925

p=gmpy2.gcd(pow(2,e*dp,n)-2,n)
print(p)
q = n // p

phi_n = (p - 1) * (q - 1)
d = gmpy2.invert(e, phi_n)
m = pow(c, d, n)
print(m)
flag = libnum.n2s(int(m))
print(flag)



flag{C5G0_1s_the_8eSt_FPS_G@m3}

Valorant_1s_the_8eSt_FPS_G@me

easy_rsa

又是rsa,打开附件txt

e = 65537
n = 1000000000000000000000000000156000000000000000000000000005643
c = 418535905348643941073541505434424306523376401168593325605206

分享一个工具终于不用写脚本了,将内容输入进去

image-20250521150536477

右键分解模数,填入n,调用yafu.exe就可以解出来pq

image-20250521150746667

pq填入,逗号分隔

image-20250521150934247

右键,计算私钥d,然后再计算明文,再右键,明文转字符即可得到flag

image-20250521151103736

还是附上python脚本吧

import gmpy2
import binascii

# 已知的 RSA 参数
e = 65537
n = 1000000000000000000000000000156000000000000000000000000005643
c = 418535905348643941073541505434424306523376401168593325605206

# 费马因数分解法
def fermat_factorization(n):
    a = gmpy2.isqrt(n)  # 计算 n 的整数平方根
    while True:
        b2 = a * a - n
        if b2 >= 0 and gmpy2.is_square(b2):  # 检查 b2 是否是完全平方数
            b = gmpy2.isqrt(b2)
            p = a + b
            q = a - b
            return int(p), int(q)
        a += 1

# 分解 n
p, q = fermat_factorization(n)
print("找到的因数 p 和 q:", p, q)

# 计算私钥 d
phi_n = (p - 1) * (q - 1)
d = gmpy2.invert(e, phi_n)

# 解密密文 c
m = gmpy2.powmod(c, d, n)

# 将明文转换为字符串
try:
    flag = binascii.unhexlify(hex(m)[2:]).decode('utf-8')
    print("解密后的明文:", flag)
except Exception as e:
    print("解密后的明文可能不是十六进制字符串,直接输出明文数字:", m)

简单编码

题目描述:简简单单的编码

打开附件,看到全是A和B,还7个或者6个连在一起,空格隔开

ABBAABB ABBABAB ABABAAA ABABAAB ABBBBAA ABBAABA ABABBAA ABBAAAA ABBAAAB ABBABAB ABBBAAA ABAABBB ABABBAA ABABABB ABABBAA ABBABBB ABBABAA ABABABA ABAABAB ABBBAAA ABBBABA ABABBAB ABBBBAA ABABBAB ABBBAAA ABBABAB ABBAABA ABABAAA ABABABA AABBAB ABBBABB ABBAABA ABBABAB AABABA ABBBBAA ABBBAAB ABBAABA AABBAB ABABBAA ABBAAAB ABBBAAA ABBABAB ABBABAA ABABABB ABBBABA ABABABB ABBAABB ABBABAA ABBABAB ABBABAB ABABAAA ABBBABA AABABB ABABBAB AABBAB ABABAAA ABBAAAB ABBBBAB ABBBAAA ABABABA ABBAAAA ABABAAB ABABABB ABBABBA ABBABAB AABABA ABBABAA ABBBABA ABBBABA AABBAA ABBBBAA ABBAAAA ABABBBB ABBABAB ABABABB ABAABBB ABBAAAA ABABAAA ABABABB ABBABAA ABBABBA ABABABA ABAABAB ABABABA AABABB ABABBAB ABBBBAA ABBBBAB ABBBAAA ABABAAB ABBABBB ABABAAB ABBAAAA ABAABAB ABBBABB ABBABAA ABBABAB ABABABA ABAABAB ABBBABA ABBAABA AABBAB ABABBAA ABAABAB ABBBAAA ABBABAB ABBBABA ABAABBB ABABBBA ABABABB ABABBAA ABBABBB ABBABAA ABAABAB ABABABA ABBBAAB ABABBAA ABBAABA ABABBAA ABAABAB ABBBAAA ABBABAB ABBABBB ABBBABB ABBBABA ABABBAA ABBABAB ABABABA ABBAABA ABAABAB ABBAABA ABBABBB ABBBAAA ABBAABA ABBBBAA ABBAAAA ABBABAA ABABBAB ABBABAA ABAABBB ABABABA ABABABB ABABABB AABBAB ABBAAAB ABBBBAB ABABABA ABBBABA AABBAB ABABABA ABBABAB ABBBAAB ABBBAAA ABBAAAB ABBBBAA ABBBBAA ABBABAA ABBAABA AABBAB ABBBABA

只有A和B,所以想到二进制,观察看出每一串都是A开头,所以猜测A是1,B是0,将其全部替换后得到

1001100 1001010 1010111 1010110 1000011 1001101 1010011 1001111 1001110 1001010 1000111 1011000 1010011 1010100 1010011 1001000 1001011 1010101 1011010 1000111 1000101 1010010 1000011 1010010 1000111 1001010 1001101 1010111 1010101 110010 1000100 1001101 1001010 110101 1000011 1000110 1001101 110010 1010011 1001110 1000111 1001010 1001011 1010100 1000101 1010100 1001100 1001011 1001010 1001010 1010111 1000101 110100 1010010 110010 1010111 1001110 1000010 1000111 1010101 1001111 1010110 1010100 1001001 1001010 110101 1001011 1000101 1000101 110011 1000011 1001111 1010000 1001010 1010100 1011000 1001111 1010111 1010100 1001011 1001001 1010101 1011010 1010101 110100 1010010 1000011 1000010 1000111 1010110 1001000 1010110 1001111 1011010 1000100 1001011 1001010 1010101 1011010 1000101 1001101 110010 1010011 1011010 1000111 1001010 1000101 1011000 1010001 1010100 1010011 1001000 1001011 1011010 1010101 1000110 1010011 1001101 1010011 1011010 1000111 1001010 1001000 1000100 1000101 1010011 1001010 1010101 1001101 1011010 1001101 1001000 1000111 1001101 1000011 1001111 1001011 1010010 1001011 1011000 1010101 1010100 1010100 110010 1001110 1000010 1010101 1000101 110010 1010101 1001010 1000110 1000111 1001110 1000011 1000011 1001011 1001101 110010 1000101

将以上二进制串转换成字符

得到

LJWVCMSONJGXSTSHKUZGERCRGJMWU2DMJ5CFM2SNGJKTETLKJJWE4R2WNBGUOVTIJ5KEE3COPJTXOWTKIUZU4RCBGVHVOZDKJUZEM2SZGJEXQTSHKZUFSMSZGJHDESJUMZMHGMCOKRKXUTT2NBUE2UJFGNCCKM2E

看起来像base编码

base64试了发现不是,试了下base32,看起来没问题

ZmQ2NjMyNGU2bDQ2YjhlODVjM2U2MjJlNGVhMGVhOTBlNzgwZjE3NDA5OWdjM2FjY2IxNGVhY2Y2N2I4fXs0NTUzNzhhMQ%3D%3D

后面的%3D%3Durl编码,解码后就是==,这下能看出来了,就是base64,接下来都很明显了,直接再解一下,得到

fd66324e6l46b8e85c3e622e4ea0ea90e780f174099gc3accb14eacf67b8}{455378a1

一看就是栅栏密码,一对{},也有flag字母,试了几次,发现栏数是5,得到flag

以下是在CyberChef解码过程

image-20250521152804382

flag{c04d6e34aab689c5c0e68eb51753c843e032efa7c16427f8642ee07ab946e981}

Web

ezjs

打开网站是个跳跳乐,小游戏类,F12打开,查看源码js,发现main.js中有一段

game._addSuccessFn(function (scoreNow) {
    current_score.innerHTML = scoreNow

    if (scoreNow === 100000000000) {
        fetch('getflag.php', {
            method: 'POST',
            headers: {
                'Content-Type': 'application/x-www-form-urlencoded',
            },
            body: 'score=' + scoreNow
        })
        .then(response => response.text())
        .then(data => {
            alert("恭喜你!flag是:" + data);
        })
        .catch(error => {
            console.error('错误:', error);
        });
    }
})

解法一

就想到直接在控制台修改score

game.score = 100000000000;

发现不行,再去查看game.js,发现还需要触发这个回调函数

image-20250521160053458

所以直接控制台输入,弹窗得到flag

game.successCallback(100000000000);

解法二

直接在控制台发生fetch请求,将fetch内的body修改即可

fetch('getflag.php', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
    },
    body: 'score=100000000000'
})
.then(response => response.text())
.then(data => alert(data))

弹窗得到flag

ezssrf1.0

题目说是ssrf,打开后显示

<?php
error_reporting(0);
highlight_file(__FILE__);
$url = $_GET['url'];

if ($url == null)
    die("Try to add ?url=xxxx.");

$x = parse_url($url);

if (!$x)
    die("(;_;)");

if ($x['host'] === null && $x['scheme'] === 'http') {
    echo ('Well, Going to ' . $url);
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    $result = curl_exec($ch);
    curl_close($ch);
    echo ($result);
} else
    echo "(^-_-^)";
Try to add ?url=xxxx.

代码审计

让我们传入一个url参数

$x = parse_url($url);

这句使用 parse_url() 函数解析 $url,将其拆分为 scheme、host、path 等部分,结果保存在数组 $x

主要关注这句

if ($x['host'] === null && $x['scheme'] === 'http')

判断解析后的 URL 是否满足两个条件:

没有 host(即主机名或 IP 地址)

协议是 http

parse_url遇到格式不完整的URL时,可能无法正确解析host字段,导致其返回null,而curl等请求工具仍能正常处理该URL。

所以我们只需要构造一个特殊的url绕过

?url=http:/@127.0.0.1/flag.php

单斜杠或特殊符号可能导致host字段被忽略

image-20250521162429916

得到路径,修改payload

http://27.25.151.26:30143/?url=http:/@127.0.0.1/FFFFF11111AAAAAggggg.php

得到flag

image-20250521162546096

2025“轩辕砺剑 CTF挑战赛wp
G15_5511的博客
05-22 2542
本次比赛我们南华大学卡布奇诺信息安全协会获得了44名的成绩(babyshellcode和rce本来可以写出来的,无奈课程多,很多队员没时间打,大佬都没来。同时也欢迎各位校内外的师傅进群学习交流。QQ群:516360221。微信公众号:卡布奇诺信息安全实验室。
第一届轩辕部分wp
z754790589的博客
05-23 565
第一次在这里写wp,如有不好的地方,请大佬们多指点。
轩辕砺剑CTF挑战赛 Web wp
pwfortune的博客
05-26 1489
的路由,三本书的路由是一样的, 但是内容不一样, 可能是存在POST传了其他的参数, 抓一下包就可以发现, 直接任意文件读, 可以直接读到flag, 直接非预期了。看到它上传文件的逻辑, 先把文件保存下来之后去检查它的文件内容, 如果有不合法的字符, 就把文件给删除, 这里很明显可以进行一个竞争去绕过它的字符过滤。发现可以执行一些内置函数的操作, 想要查询却查不了, 试了了很久, 后面想到可以通过。(或者代码里面的其他的html文件都可以), 让它的内容为ssti的rce, 这样在。
轩辕砺剑 CTF挑战赛 WriteUp
小杉泽的博客
07-08 272
本次CTF比赛涵盖了密码学、逆向工程、Web安全和二进制漏洞利用等多个领域,参赛者通过分析加密算法、破解程序逻辑、利用漏洞等手段获取flag。主要解方法包括: 密码学方面:通过分析EXIF数据、八卦二进制转换、RSA攻击、维吉尼亚密码破解和自定义Base64解码等方法解决加密挑战。 Web安全方面:利用JWT伪造、SSRF漏洞、SQL注入、文件包含和模板注入等技术绕过安全限制。 逆向工程方面:通过动态调试、算法逆向分析和hook技术破解程序保护机制。 二进制漏洞方面:利用堆溢出、UAF漏洞、条件竞争
轩辕砺剑 CTF挑战赛web方向
uwvwko的博客
05-22 735
into outfile '/var/www/html/1.php' - 这是SQL的文件写入操作,将查询结果写入到服务器的 /var/www/html/1.php 文件中。看到这个,直接访问getflag.php,POS提交score =100000000000。在/var/db.sql这里找到flag的base64编码后的值。最后在/proc/1/environ找到flag。我们可以用\符号开头,它不会影响函数的运行。emmmm,我是用fenqing一把嗦的。空格的话这里%09和/**/都可以绕过。
轩辕砺剑CTF挑战赛-reverse
2303_79314941的博客
05-21 2000
菜鸡第一次写博客,没什么经验,如果有错误还请各位师傅指出,欢迎交流讨论。
2020网鼎朱雀组WP(入门向)
qq346812142的博客
05-18 2005
@[TOC](2020网鼎朱雀组 顿(yundun) wp 入门向) 学习PWN也有两年左右时间了,一看就会,一做就废。这次网鼎朱雀组结束后拿到一道pwn的目yundun,尝试自己做了一下,在几个小时内做出来了,虽然没有正式参赛,但是也算是自己做出来的第一道大赛目,值得纪念一下。后来才发现有更简单的方法(使用格式化字符串漏洞直接利用),但是不影响技术微微 提升。废话不多说,直接进入主。 二进制分析 目只给了一个二进制pwn,没有glibc,估计一会儿需要自行确定glibc版本。用checkse
轩辕wp
05-24
**轩辕砺剑部分入门WP** 部分入门目提供了加密字符串 `LJWVCMSONJGXSTSHKUZGERCRGJMWU2DMJ5CFM2SNGJKTETLKJJWE4R2WNBGUOVTIJ5KEE3COPJTXOWTKIUZU4RCBGVHVOZDKJUZEM2...
2020网鼎朱雀组部分(13/15道wp
热门推荐
Y-Y-K的博客
05-18 1万+
2020网鼎朱雀组部分(13/15道wpMisc0x01 签到0x02 key0x03 九宫格0x04 小明的bb86Web0x01 nmap0x02 phpweb反序列化绕黑名单Reverse0x01 go0x02 treeCrypto0x01 simple0x02 RUA0x03 Guess_gamePwn0x01 魔法房间0x02 首先,感谢zsky,HotSpurzzZ和b0b0se3三位师傅的共同努力,才有了以下的解,三位师傅的个人博客可在我博客的友链里看到 Misc 0x01 签到
ZStack安全方案-v1.0.pptx
08-13
【ZStack安全方案】是针对企业在采用计算过程中面临的安全问提出的一种综合解决方案。该方案结合了ZStack私有平台与阿里安骑士的安全能力,旨在为用户提供全面、高效的安全保障。 ZStack是一家专注...
网络验证.zip
05-29
网络验证可以与e相比,当然可以说超越他的存在,当然只是听说哦,网络验证可以与e相比,当然可以说超越他的存在,当然只是听说哦,网络验证可以与e相比,当然可以说超越他的存在,...
IPv6过渡技术:从双栈到自动隧道
仕别三日的博客
12-15 808
随着IPv4地址资源的枯竭,IPv6的大规模部署已成必然趋势。然而,现实世界的复杂性决定了从IPv4到IPv6的过渡不可能一蹴而就。在这条演进之路上,各种过渡技术应运而生,它们像桥梁一样连接着新旧两个协议世界。本文将深入探讨IPv6路由技术、过渡技术原理与实践应用,为你提供从理论到实践的完整知识体系。OSPFv3(Open Shortest Path First version 3)是专门为IPv6设计的路由协议,它在OSPFv2的基础上进行了重大改进。 OSPFv3关键改进:协议独立性:OSPFv3
交换机ACL与防火墙的区别
imtech的博客
12-11 1039
对比维度交换机 ACL防火墙核心机制无状态逐包匹配(五元组 / 端口 / VLAN)状态检测(会话表 + 安全策略)处理层级L2-L4 层L3-L7 层性能表现硬件加速,低延迟、高线速硬件款低延迟,软件款性能一般,复杂规则损耗大功能范围仅简单访问控制访问控制 + 安全防护 + 高级功能(NAT/VPN/IDS)控制方向双向阻断(默认),需手动配置反向规则单向阻断,响应包自动放行适用场景局域网内分段隔离(高带宽、低延迟需求)网络边界防护(深度安全、复杂策略需求)
Kamailio usrloc 细节测试
fs交流的博客
12-11 167
版本 kamailio 5.7.xIP 地址 192.168.43.68窥视 usrloc 细节,重点是内存跟数据库的同步慢慢测试,慢慢写。
Kamailio的学习
2301_79965178的博客
12-12 597
摘要:本文详细介绍了Kamailio SIP服务器的架构与配置。Kamailio是一款支持高并发、多协议的高性能SIP服务器,采用模块化设计,包含150多个功能模块。文章从配置文件结构(全局参数、模块设置、路由区块)入手,深入解析其多进程模型、Epoll多路复用机制、共享内存和锁定系统等底层实现。重点阐述了Kamailio处理SIP消息的完整流程,包括请求/响应处理、进程间通信等核心机制,并展示了通过kamcmd命令查看进程状态的实践示例。
网络进阶教程:仅部署一个中心节点,即可访问局域网内所有设备
最新发布
小白电脑技术的博客
12-16 711
小白曾经一度认为:每台设备都需要安装节点小宝,然后通过节点小宝控制台进行调整组网状态实现对每台设备的控制……但是小白肤浅了。经过小白这一段时间的测试,其实只需要在家中局域网内选择一台性能稳定且24小时开机的设备(比如ARM架构的轻量级NAS或者中兴路由器「中兴问天-BE7200」)安装节点小宝客户端,并打开此设备的组网功能。之后,咱们就可以在异地状态下通过链接这个中心节点,无障碍访问它所在的局域网内的所有设备和服务。
Netty(7)如何实现基于Netty的TCP客户端和服务器?
qq_43012298的博客
12-13 358
本文介绍了使用Netty框架实现TCP客户端和服务器的基本方法。服务器端通过ServerBootstrap配置NioEventLoopGroup、NioServerSocketChannel和字符串编解码器,绑定指定端口启动服务;客户端通过Bootstrap设置NioEventLoopGroup、NioSocketChannel和编解码器,连接服务器主机和端口。两者都需要自定义ServerHandler和ClientHandler来实现业务逻辑处理。代码展示了Netty网络编程的基本结构和配置方式,为开发T
观成科技:Zloader木马家族加密流量分析
GCKJ_0824的博客
12-12 789
摘要:Zloader木马最初作为银行木马Zeus的下载器,现被广泛用于勒索软件投递。其采用多种加密通信技术规避检测:1)DGA技术生成随机域名;2)DNS隧道隐藏数据;3)HTTPS加密通信;4)Websocket掩码加密。最新版本通过会话密钥强化DNS隧道加密。观成科技利用AI模型结合TLS指纹检测HTTPS加密流量,持续通过行为分析和机器学习应对加密威胁。研究表明,恶意软件正不断升级流量对抗技术,凸显加密流量检测的重要性。(149字)
实习面试-网络故障排查面试
CXY00000的博客
12-13 36
网络故障排查常用ping和traceroute命令。ping用于检测网络连通性,发送ICMP请求测试目标主机是否在线;traceroute追踪数据包路径,显示各跳节点信息。ping常用参数包括-c指定次数、-i间隔时间;traceroute常用-n不解析域名、-m最大跳数。Windows和Linux命令略有差异,Windows用tracert替代traceroute。网络测试还可结合nslookup检查DNS、netstat查看连接状态、telnet测试端口连通性。当网站无法访问时,应逐步检查网络连接、网址
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值