GamerNoTitle
·
【Volcania】2024第四届“网鼎杯”网络安全大赛青龙组初赛Writeup
内容提要
小华上班第一天发现重要文件被加密,只留下神秘代码。经过分析,识别出是RSA高位爆破题,结合提示和脚本,成功解密得到flag。
关键要点
-
小华上班第一天发现重要文件被加密,只留下神秘代码。
-
经过分析,识别出是RSA高位爆破题,结合提示和脚本,成功解密得到flag。
-
题目源码中生成了512位的素数p和q,并计算出n和e。
-
根据提示,hint1和hint2提供了p和q的高位信息。
-
使用Boneh-Durfee算法进行解密,最终得到d的值。
-
使用经典的RSA解密脚本,成功解密出flag。
-
运维人员在网络监控中发现可疑字符串,怀疑是AES加密。
-
通过分析代码,找到正确的密钥进行AES解密。
-
小明在制作网站时使用jwt作为身份校验,但存在安全隐患。
-
通过爆破公钥和私钥,成功获取flag。
-
某安全测试人员对无人机系统进行安全测试,发现存在XSS漏洞。
-
利用XSS攻击获取flag。
-
某公司服务器遭到攻击,分析流量监测系统找到攻击者IP。
-
某测试人员开发的图像加密算法,使用Peano分形曲线进行处理,最终得到二维码并获取flag。
-
IDA静态分析发现栈溢出漏洞,编写利用脚本获取shell,成功获取flag。
-
解密过程涉及用户输入的字符串和AES加密,最终成功解密出flag。
延伸问答
小华是如何解密被加密的文件的?
小华通过分析发现文件是RSA高位爆破题,结合提示和脚本,使用Boneh-Durfee算法解密,最终得到d的值并成功解密出flag。
在解密过程中使用了哪些提示信息?
提示信息包括p和q的高位信息,分别由hint1和hint2提供。
运维人员在监控中发现了什么可疑字符串?
运维人员发现了一段可疑字符串,怀疑是AES加密的内容。
小明在制作网站时使用jwt作为身份校验存在哪些安全隐患?
小明的jwt使用RS256计算方式,存在被攻击者获取私钥的风险,导致身份验证不安全。
某安全测试人员对无人机系统进行了什么测试?
安全测试人员发现无人机系统存在XSS漏洞,通过XSS攻击获取了flag。
如何通过流量监测系统找到攻击者的IP?
通过过滤HTTP请求,分析流量监测系统,发现包含hacker.php的请求,从中获取到攻击者的IP。
