freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

Hackergame 2020
儒道易行 2023-02-14 15:11:19 113970
所属地 河北省

3.Hackergame 2020

1.签到

url:http://202.38.93.111:10000/

打开签到题页面,拖动滑杆,如果将滑杆滑动到最左边,提交 0,那么我们会得到成功的返回,但是没有 flag

在这里插入图片描述

尝试手动提交一些非整数的值,发现得到返回信息:

我可以给你 1 个 flag、2 个 flag、3 个 flag…… 但我没法给你 0.34101个 flag。

在这里插入图片描述

返回信息提示我们要提交正整数的值,比如 1,而不是一个小数的值。

第一种方法

通过分析发现,这个滑杆的数值其实是通过浏览器地址栏中的一个参数来控制的,所以直接修改地址栏中的参数 number 的值为 1 即可,修改后回车即可得到 flag。

http://202.38.93.111:10000/?number=1

在这里插入图片描述

第二种方法

有的同学一定要把滑杆拖动到 1 才肯罢休,但即使是用键盘方向键操纵,最后数值也不会停留在 1。

分析前端页面,我们可以看到这么一段 JavaScript 代码:

var prevVal = 0;
$(document).ready(function() {
     $("#show").text($('#number')[0].value);
     $('#number').on('input', function() {
         if ($('#number')[0].value.toString() === "1") {
             console.log('没想到吧!');
             $('#number')[0].value = 1.00001;
             if (prevVal == 1.00001)  $('#number')[0].value = 0.99999;
             if (prevVal == 0.99999)  $('#number')[0].value = 1.00001;
        }
         $("#show").text($('#number')[0].value.toString());
         prevVal = $('#number')[0].value;
});
});

在这里插入图片描述

其中 console.log('没想到吧!'); 所在的代码块就是判断在滑杆数值变动时是否为 1,如果为 1 就跳过的代码,所以我们无法手动拖动或键盘控制滑杆的值到 1。

但是我们可以直接参考这段代码,直接把滑杆的值设置为 1,具体来说,打开 Chrome 的开发者工具(F12),在 Console 标签下输入以下代码执行,即可将滑杆的值设置为 1,然后点击提交就可以得到 flag:

$('#number')[0].value = 1;

在这里插入图片描述

点击提取

在这里插入图片描述

第三种方法

直接修改value的值为1

在这里插入图片描述

可以看到滑杆已停在1的位置,点击提取

在这里插入图片描述

第四种方法

将step设置为1

在这里插入图片描述

向右拖动滑杆即可到1的位置

在这里插入图片描述

2.2048

url:http://202.38.93.111:10005/

第一种方法

查看网页源代码,发现提示:

<!-- 
changelog:
- 2020/10/31 getflxg @ static/js/html_actuator.js
-->

在这里插入图片描述

进而打开 static/js/html_actuator.js 这个文件,找到和游戏胜利有关的逻辑:

var url;
if (won) {
url = "/getflxg?my_favorite_fruit=" + ('b'+'a'+ +'a'+'a').toLowerCase();
} else {
url = "/getflxg?my_favorite_fruit=";
}

let request = new XMLHttpRequest();
request.open('GET', url);

在这里插入图片描述

如果访问 /getflxg?my_favorite_fruit= 可以得到返回信息:

还没有大成功,不能给你 flxg。

在这里插入图片描述

这正是游戏失败时的提示信息。

我们打开 Chrome 浏览器的开发者工具,切换到 Console 标签页,执行一下 ('b'+'a'+ +'a'+'a').toLowerCase(),得到正确的应该填入的值为 banana

在这里插入图片描述

访问 /getflxg?my_favorite_fruit=banana,则可以得到正确的 flag。

在这里插入图片描述

有的同学可能会好奇为什么 ('b'+'a'+ +'a'+'a').toLowerCase() 的计算结果是 banana,这个问题可以参考:https://stackoverflow.com/questions/57456188/why-is-the-result-of-ba-a-a-tolowercase-banana

3.一闪而过的flag

首先下载题目中所给出的exe文件

打开cmd命令行窗口

将下载下来的exe文件拖到命令行窗口,点击回车运行即可得到flag

在这里插入图片描述

也可以在文件下载后的位置打开命令行窗口,直接运行exe文件

4.从零开始的记账工具人

这道题考察选手基本的编程处理数据的能力,常见的编程语言都可以编写出解题代码。

解法 1

手工计算

解法 2

使用任意文本编辑器(或者 Excel 本身)做字符串替换,替换规则如下:

'零' -> ''
'壹' -> '1'
'贰' -> '2'
'叁' -> '3'
'肆' -> '4'
'伍' -> '5'
'陆' -> '6'
'柒' -> '7'
'捌' -> '8'
'玖' -> '9'
'拾' -> '*10+'
'佰' -> '*100+'
'仟' -> '*1000+'
'元' -> '+'
'角' -> '/10+'
'分' -> '/100'
'++' -> '+'
'整' -> ''

然后如果开头有乘号或者结尾有加号,去掉即可,这样的数学表达式求值即可得到正确的结果。

解法 3

编程求解,这里使用 Python 语言。

我们首先使用 Excel(或者其他商业的、开源的、在线的电子表格工具)将下载的文件转换为 .csv 格式,即逗号分隔的文本。(当然,你也可以使用解析 Excel 文件格式的库来处理)

然后在 Python 中安装 cn2an 这个中文数字转换的库:

python3 -m pip install cn2an

然后使用 Python 程序处理这个文件:

import cn2an
lines = open('bills.csv').readlines()[1:]
s = 0
for line in lines:
 a, b = line.strip().split(',')
 n = 0
 if '元' in a:
     y, a = a.split('元')
     n += cn2an.cn2an(y, "smart")
 if '角' in a:
     y, a = a.split('角')
     n += cn2an.cn2an(y, "smart") / 10
 if '分' in a:
     y, a = a.split('分')
     n += cn2an.cn2an(y, "smart") / 100
 s += n * int(b)
print(s)

在这里插入图片描述

5.超简单的世界模拟器

url:http://202.38.93.111:10010/

这道题手工构造与写代码暴力搜索都可以解决。

使用搜索引擎搜索“生命游戏”或“Game of Life”都可以找到很多相关的资料,其中会提到生命游戏的演化规则和一些有趣的构造。

手工构造解法

为了消除右上角的方块,我们只要放置一个水平移动的“太空船”即可:

000000000000000
001111000000000
010001000000000
000001000000000
010010000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000

这样可以得到第一个 flag。

在这里插入图片描述

消除第二个方块有点困难,因为(比较小的)飞行器只能沿着对角线方向和水平竖直方向飞行,我们的可控制区域比较小,无法让飞行器移动后与方块碰撞。

所以我们可以找一些会扩散比较大的初始状态,例如这个链接里面讲的例子。

一个可行的例子:

000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000
000000011000000
000000001100000
000000011000000
000000010000000
000000000000000
000000000000000
000000000000000
000000000000000
000000000000000

在这里插入图片描述

暴力解法

直接随机生成 0/1 矩阵,大概几十次就可以找到一个,Python 代码见solve.py

import random

MAP_SIZE = 50
CONTROL_SIZE = 15
STEP = 200
FLAGS = [(5, 45), (25, 45)]


def flag_range(flag):
 x, y = flag
 for i in range(2):
     for j in range(2):
         yield x + i, y + j


class Game:
 def __init__(self, W, H):
     self.W = W
     self.H = H
     self.map = [[0 for _ in range(W)] for _ in range(H)]

     for flag in FLAGS:
         for x, y in flag_range(flag):
             self.map[x][y] = 1

 def step(self):
     new = [[0 for _ in range(self.W)] for _ in range(self.H)]
     for i in range(self.H):
         for j in range(self.W):
             cnt = 0
             for io in -1, 0, 1:
                 for jo in -1, 0, 1:
                     if 0 <= i + io < self.H:
                         if 0 <= j + jo < self.W:
                             if io != 0 or jo != 0:
                                 if self.map[i + io][j + jo]:
                                     cnt += 1
             if cnt == 3:
                 new[i][j] = 1
             elif cnt == 2:
                 new[i][j] = self.map[i][j]
             else:
                 new[i][j] = 0
     self.map = new

random.seed(2020)
while True:
 game = Game(MAP_SIZE, MAP_SIZE)
 for i in range(CONTROL_SIZE):
     for j in range(CONTROL_SIZE):
         game.map[i][j] = random.randrange(2)
 s = ''
 for line in game.map[:CONTROL_SIZE]:
     for i in line[:CONTROL_SIZE]:
         s += str(i)
     s += '\n'

 last = game.map
 for i in range(STEP):
     game.step()
     if game.map == last:
         break
     last = game.map

 cnt = 0
 for i, flag in enumerate(FLAGS):
     if all(not game.map[x][y] for x, y in flag_range(flag)):
         cnt += 1
 print("flags =", cnt)
 if cnt:
     print(s)

在这里插入图片描述

6.从零开始的火星文生活

首先下载题目中所给出的文件

例如用 VSCode 的“Select Encoding”功能。

步骤(开始时 UTF-8 打开题目附件):

在这里插入图片描述

Save with Encoding -> GBK

在这里插入图片描述

Reopen with Encoding -> UTF-8

在这里插入图片描述

Save with Encoding -> ISO8859-1

在这里插入图片描述

Reopen with Encoding -> GBK

在这里插入图片描述

7.自复读的复读机

url:http://202.38.93.111:10050/

解题思路

使用搜索引擎搜索“输出自己的程序”或者类似的词,可以查到这类程序叫做 Quine。可以很容易在网上查到很多 Python 3 的 Quine,例如:

exec(s:='print("exec(s:=%r)"%s)')

还有

s='s=%r;print(s%%s)';print(s%s)

等等。

这道题要求输出代码的逆序以及代码的哈希,我们可以修改上面的 Quine:

输出自己逆序的程序:exec(s:='print(("exec(s:=%r)"%s)[::-1])')(把 print 的内容用括号括起来然后逆序即可)

但这样提交之后有一个问题,就是输出比代码多了一个 \n,这是由于输入的代码结尾没有换行符而 print 输出的内容结尾会自带换行符,我们只需要让 print 不输出换行符,加一个 ,end="" 即可。

对于第二问,我们把 print 的内容用 Python 自带的计算 sha256 的函数包起来即可。

答案

第一问(每行都是一个可能的构造):

exec(s:='print(("exec(s:=%r)"%s)[::-1],end="")')

s='s=%r;print((s%%s)[::-1],end="")';print((s%s)[::-1],end="")

在这里插入图片描述

第二问(每行都是一个可能的构造):

exec(s:='print(__import__("hashlib").sha256(("exec(s:=%r)"%s).encode()).hexdigest(),end="")')

exec(s:='import hashlib;print(hashlib.sha256(("exec(s:=%r)"%s).encode()).hexdigest(),end="")')

import hashlib;s='import hashlib;s=%r;print(hashlib.sha256((s%%s).encode()).hexdigest(),end="")';print(hashlib.sha256((s%s).encode()).hexdigest(),end="")

在这里插入图片描述

其他

要注意的是,这道题的程序是使用标准输入读入代码然后用 exec() 执行的,所以并不能使用 print(open(file).read()) 之类输出自己源代码文件的方案。

你可以使用 import os; os.system('ls') 之类的代码来在服务器上任意执行命令,但是进程是以低权限运行的,这种方法不能读到 flag。

8.233 同学的字符串工具

url:http://202.38.93.111:10234/

「字符串大写工具」题解

代码的意思是:如果我们输入一个字面上不是 "flag" 但转换为大写后会变成 "FLAG" 的字符串,就可以得到 flag。

我们可以以 "unicode uppercase collision" 为关键字搜索,不难找到一个连字(ligature)

fl (0xFB02)

这个“字符”将在转换为大写时变成 FL 两个字符!因此,只需输入 flag 即可得到 flag。

在这里插入图片描述

flag{badunic0debadbad}

「UTF-7 转换工具」题解

代码的意思是:如果我们输入一个字面上不是 "flag" 但从 UTF-7 转换为 UTF-8 后会变成 "flag" 的字符串,就可以得到 flag。

不妨查阅 UTF-7 相关资料。可以得知:一个 Unicode 字符串,在 UTF-7 编码下,可能有多种编码,甚至纯粹的 ASCII 字符串也可以有多种编码!

那么事情就简单了。我们依照 Wikipedia 等参考资料给出的 UTF-7 编码算法,可以构造出 "flag" 的另一种“写法”。比如,选择 f 下手。

f 的 Unicode 码位是 0x66

将 0x66 写成 16 位二进制数:0000 0000 0110 0110

重新分组:000000 000110 011000

使用 base64 的编码表,将每组变成一个字符:AGY

那么最终 "flag" 的另一种 UTF-7 替代写法就是 +AGY-lag,输入即可得到 flag。

在这里插入图片描述

flag{please_visit_www.utf8everywhere.org}

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

博客:

https://rdyx0.github.io/

先知社区:

https://xz.aliyun.com/u/37846

SecIN:

https://www.sec-in.com/author/3097

CSDN:

https://blog.csdn.net/weixin_48899364?type=blog

公众号:

https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

FreeBuf:

https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

# 渗透测试 # web安全 # 漏洞分析 # 代码审计 # 红队攻防
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 儒道易行 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
儒道易行 LV.7
谢天谢地、不忘祖先、敬偎圣贤
  • 77 文章数
  • 80 关注者
红队攻防文库文章集锦
2023-11-27
红队攻防文库文章集锦
2023-11-27
CTFer成长之路之逻辑漏洞
2023-02-27
文章目录