BUUCTF-Reverse：[GKCTF2020]Check_1n

CheckIN(unsolved) 考点：代码审计，绕disable_functions 题目给了源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() {

题目复现地址 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo'];

逆向题目质量高，收获很多

一、基础分析 把拿到的题目解压，将easyre.exe文件放入exeinfope（PEID也行）中进行查壳识别： 清楚明了，没壳。首先，运行下easyre.exe文件看看什么效果： 从查壳过程可以看到是32为程序。接下来进行静态分析，放入IDA32位中看看： 发现没有明显的入口函数（main（）），结合上一步在IDA中搜索Input your flag:字符串，得到： 找到关键地方后，尝试对代码进行F5反汇编操作，发现： 目前为止，就可以结合IDA静态调试配合上OD动态.

REVERSE-PRACTICE-BUUCTF-26[FlareOn6]FlareBear[SUCTF2018]babyre[GKCTF2020]WannaReverse[FlareOn4]greek_to_me [FlareOn6]FlareBear apk文件，模拟器上运行，创建一个小熊，有三种方式交互，分别为“吃饭”，“篮球”，“清理” jadx-gui打开该apk，在com.fireeye.flarebear.FlareBearActivity中搜索flag，有个"danceWithFlag" 调

进入网站直接贴了源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin.

[GKCTF2020]Check_1n 打开是一个可执行文件，让我们找密码。 例行检查，无壳，32bit 用32位IDA打开，看到了密码错误，只有存在对比才可以判断对错，所以正确的密码应该在这儿，进去看看 在str1和str2比较后判断出密码的对错，str2是由我们输入的因此str1应该就是密码，继续跟进查看。 密码应该就是 HelloWorld 进入程序 ,输入开机密码 直接给出一个flag，进去看看 是一串假的，但是应该被 加密了，用base64解密看看 让我们去玩魔力砖，那就去打砖块

[GKCTF2020]Check_1n 我们首先看这个提示： emmm好像没啥子特点，我们看一下这个文件的检测结果， 也没啥东西，打开看一下，打开程序后： 需要一个密码，我们看一下导入ida的结果， 让我们自己找一下，ok我们自己找一下，ida转到字符串的视图我们往下翻一下，我们可以看到这个： 我们输入这个密码，可以进入电脑，注意这个地方的输入需要我们操作电脑上的上下左右来进行选择程序中的按键然后按空格进行选择，才可以键入，输入后调到回车空格可以进入电脑，我们进入系统后，可以看到我们的： 这里我们

题目链接:https://buuoj.cn/challenges#[GKCTF2020]Check_1n 把题目拖进exeinfo里，是个32位的，无壳 把题目拖进IDA里，找到main函数，按F5得到伪代码，跟进main_0函数 没什么特别的，查看一下字符串，这里有一串可疑的字符串"2i9Q8AtFJTfL3ahU2XGuemEqZJ2ensozjg1EjPJwCHy4RY1Nyvn1ZE1bZe" 也是base系列，用base58解密就得到了flag 也可以直接执行程序来获得flag。 按任意键

Check_1n 第一题运行程序，提示输入开机密码 输入错误会提示密码错误，去IDA搜索字符串得到密码HelloWord 然后开机后运行 打砖块 程序即可得到flag 切换程序的时候用箭头上下左右，回车启动， BabyDriver 搜索字符串发现有一串类似迷宫的字符串 迷宫字符串长度是225，刚开始以为是1515的，分析了下代码发现是1614的，， 可以写程序画出迷宫来，然后就是按键的问题了，，，因为是sys文件，所以按键应该是键盘扫描码而不是ASCII码 在线键盘扫描码查询 下移是0x25也就是K

[GKCTF2020]Check_1n 附件 步骤： 例行查壳儿，32位程序，无壳儿 32位ida载入，习惯性的检索程序里的字符串，看到了一个比较有意思的字符串，但是不懂是什么解密，先不管它了 在这些字符串里得到提示要自己猜密码，看到密码错误的字符串，双击跟进，找到函数 挑关键的看一下 37行的if判断，可以得知密码存放在aHelloworld里，拿到了密码 运行程序，输入密码进入主机 进入主机后会看到flag提示 但是这个flag是假的，base64解密一下这段字符 教我们去完敲砖，行

[GKCTF2020]Check_1n 进入程序 用IDA搜索字符串 View-Open subviews-Strings（视图-打开子视图-字符串） 找到 开机密码 HelloWorld 用上下左右控制里面的上下左右，空格键控制确认， 切换到打砖块程序，将光标控制至里面的回车键，用空格键确认 得flag ...

复现环境：buuoj.cn 代码提示有eval函数可以执行base64加密代码 成功回显了phpinfo信息 编辑一句话上传 eval($_POST[1]); 根目录上有flag和readflag，但都没法访问，应该是权限不够 bypass disable_functions 该漏洞可以执行命令执行 exp链接:https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php 上传到有权限的目录/tmp ?Ginkg

WEB [GKCTF2020]CheckIN 查看源代码发现没有任何限制，首先尝试传入phpinfo();的base64成功回显 那我们直接传 eval($_POST[1]);的base64然后蚁剑连接即可(Ginkgo=ZXZhbCgkX1BPU1RbMV0pOw==) 在根目录下发现flag和readflag 但是没有权限读取和运行，再仔细看下phpinfo中的信息发现禁用了命令执行的函数，这里给出大神们写的绕过dis_func的php代码 链接：https://pan.baidu.com/s/12

这道题很有意思，考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! 传jpg格式的shell <?=eval($_POST[123]); 传.htaccess文件，burp...

GKCTF2020–web CheckIN title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()

CheckIN 打开题目得到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$t

搜索cve2020-7066有关知识 直接传入：?url=http://127.0.0.1%00.ctfhub.com 传入改为：?url=http://127.0.0.123%00.ctfhub.com flag{92053d2a-b9ae-4e48-b29a-1723358e6bf2}