送你一个 Shell 当见面礼（逃

这篇博客的阅读时间估计不对。你并不需要 80 分钟来阅读本文。

个人总结

这是我第一次参加 CTF 比赛，最后混了个 34 名，感觉还不错。曾经就听说过 CTF 这个比赛，不过一直没有进一步了解，也没有参加过。在 Hackergame 2022 开始之前，我所做的准备也只是逛了逛 CTF Wiki, 从 CTFHub 上刷了些 web 题。

最后这个比赛名次对于我这种 CTF 萌新来说还是蛮高的。不过能取得这样一个名次，还是和我平时的积累有很大关系的。虽然我平时并不关注 CTF 相关的内容，但是作为一个可能即将成为程序员的人，我还是一直比较在乎自己编写的代码的安全性的，XSS、提权漏洞、缓冲区溢出这些操作我都是比较熟悉的，不过我一般都是在编写代码时以一种防御性的姿态来避免这些攻击发生在我自己的代码上，这次比赛使我第一次体会到作为攻击者去利用这些漏洞是什么体验。

最近在看 CSAPP，十几天前刚学会了 x86 汇编，没想到就在 flag 自动机那道题里用到了。不过作为日常 Linux 用户而言，好几道题（家目录里的秘密/传达不到的文件）确实只需要一些基础的搜索和再正常不过命令行操作就可以完成。

然而作为一名数学院的学生，我一道正经的数学题都没做出来，实在是有些丢数学院的脸了。（算了，我们专业被开除出数学籍了，统计学算个屁的数学）。

密码学题我连题都看不懂，除了惜字如金第一题我知道该怎么做，但是懒得写了。

量子藏宝图那道题考察了一些需要现学现卖的新知识，出的不是很难，所以我这种混子得以在纸上计算来把 128 - 4 * 8 个 bit 翻译成 12 个字符。

明年我如果还有时间，一定会再次参加 Hackergame 的!

比赛体验

比赛体验极佳。除了

• 有时需要重启到 Windows 系统之外
• 光与影在 Linux + Firefox 下跑起来只有 10 fps，不过误伤大雅
• Killed
• （大佬太多了，你们把我从前 30 名里挤出来了）

Write Up Part I

我把 Write Up 分成好几个部分写只是为了防止右边导航栏溢出而已，没别的意思。一个小节里面标题堆得太多了会导致右边导航栏显示不下。

签到

打开签到题，就看到了经典的（对于我这种人工智能相关专业的人而言）手写数字识别。嗯。。。最后一个框倒计时 0 秒，很显然是不可能让你直接手签 2022 过掉的。

为了观察浏览器与服务器数据交流的格式，我手签了一个，点击提交按钮，发现直接跳转到了 http://202.38.93.111:12022/?result=2?5?

那么，我们就可以合理的怀疑 http://202.38.93.111:12022/?result=2022 这个网址能把我们心心念念的 flag 送给我们。果然，flag 就这样到手了。（然鹅此时一血已经被手快的人拿走了）

猫咪问答喵

参加猫咪问答喵，参加喵咪问答谢谢喵。

中国科学技术大学 NEBULA 战队（USTC NEBULA）是于何时成立的喵？

Google 搜索 中国科学技术大学 NEBULA 战队（USTC NEBULA） 喵， 发现第一个结果中提到喵

中国科学技术大学“星云战队（Nebula）”成立于 2017 年 3 月，“星云”一词来自中国科学技术大学 BBS“瀚海星云”，代表同学们对科学技术的无限向往和追求。战队现领队为网络空间安全学院吴文涛老师，现任队长为网络空间安全学院李蔚林、童蒙和武汉。战队核心成员包括了来自网络空间安全学院、少年班学院、物理学院、计算机学院等各个院系的同学，充分体现了我校多学院共建网络空间安全一级学科的特点。战队以赛代练，以赛促学，在诸多赛事中获得佳绩。

所以喵可以确定此题答案为 2017-03 喵.

请问这个 KDE 程序的名字是什么？

Google 搜索 中国科学技术大学 软件自由日 LUG@USTC 喵，一个来自 Google Groups 网站的搜索结果 中提到喵

往届活动和详细介绍见：https://lug.ustc.edu.cn/wiki/lug/events/sfd

打开此链接可以看到 2022 年 SFD 活动的详细信息喵，表格中有一行

讲者	主题	资料
陶柯宇	闪电演讲：《GNOME Wayland 使用体验：一个普通用户的视角》	Slides

打开 Slides 喵, 在第 15 页可以找到题目所述截图喵。

图片里菜单项里 Configure Kdenlive 很显然写明喵应用程序的名称。

Firefox 浏览器能在 Windows 2000 下运行的最后一个大版本号是多少？

Google 搜索 Firefox 浏览器能在 Windows 2000 下运行的最后一个大版本号是多少 喵。然而第一页上没什么有效信息喵。自然而然想到用英文搜索喵。

谷歌直接把结果加粗丢给咱喵，好耶！

首个变动此行为的 commit 的 hash

首先当然要 Clone Linux 的代码仓库喵(这仓库好大喵。。。需要一段时间才能克隆下来喵)：

然后在执行了 n 多次 Google 搜索之后喵，kxxt 发现加上搜索条件 site:kernel.org 之后再搜索 CVE-2021-4034 就能在第一个搜索结果中看到相关的 PATCH 喵。

这个 PATCH 改动了 fs/exec.c 这个文件喵。咱喵可以合理的推测对于 CVE-2021-4034 的修复应该发生在这个文件喵（懒的管这个 PATCH 是否被合并了）。

用 VSCode 打开 Linux 仓库喵，等它加载完成喵（等待 Activating Extensions），打开 fs/exec.c 然后在 TIMELINE 面板（应该是 Git Lens 插件的功能）下面用肉眼搜索相关改动喵。

很快就找到了喵。右键复制 Commit ID, 此题就结束了喵。

你知道猫咪在连接什么域名吗？

这道题 kxxt 一开始真的没搜到喵。想要暴搜却发现状态空间太大了，搜不完喵。后来 Google 搜索 public ssh server 点进第一个结果找到了答案喵。

想不到吧，sdf.org 除了 ssh server 之外还有 minecraft server (

“网络通”定价为 20 元一个月是从哪一天正式实行的？

这道题目我是真的没有搜出来喵，不过得益于题目的状态空间比较小（一年 365 天，按 10 年算，不也就 3650 种情况喵？），最后我靠暴搜解出了这道题。

话不多喵，直接上脚本喵：

代码很简单喵，我就略过不讲喵。更换年份直接修改脚本就可以喵。最后跑出来是 2003年3月1日喵。真的很搞人心态喵，咱喵从 2015 年一路试到 2003 年才作出来。

喵~

参加猫咪问答喵，参加喵咪问答谢谢喵。

喵喵结束，变回人形喽。

家目录里的秘密

解压缩之后直接搜索 flag, 第一个 flag 就有了，非常简单。

然后打开 rclone 的配置文件 user/.config/rclone/rclone.conf:

发现 pass 是一个晦涩难懂的字符串，我们可以断定 flag2 就藏在这段密码里。

然后搜索 Google 搜索 decrypt rclone passwd in config， 点进第一个搜索结果。

帖子里提到了密码是用一个死密钥加密的，所以我们能够对它进行解密，同时作者也给出了一段破解密码的 golang 程序和 Go Playground 链接。

The password that is saved on crypt remotes on ~/.config/rclone.conf is encrypted with a hardcoded key, therefore it can be recovered.

I’ve copied some code from the rclone source tree and added a line to make it easier for people to run it.

Just go to https://play.golang.org/p/IcRYDip3PnE and replace the string YOUR PSEUDO-ENCRYPTED PASSWORD HERE with the actual password that is written in your ~/.config/rclone.conf file, then click “Run”.

那我们把加密（或者说混淆）过的密码输入到里面，运行代码，就得到了 flag。

吐槽：你们 Go Playground 怎么不带语法高亮啊！！！！！！我眼睛要瞎了🫠🫠🫠🫠🫠🫠

HeiLang

我们直接写一个脚本将 Heilang 的玄学语法转换成正常 Python 语法, 然后运行转换后的脚本就得到了 flag：

Xcaptcha

题目懒的贴了。

捕获几个网络请求能看出来要计算的数字在 html 里，用 htmlq 提取出来应该很方便。高精度？果断上 Python！

失败的尝试

嗯，这不就是一秒内完成三个高精度整数加法的事，这还难得到我？于是就有了下面的 Python 脚本和 bash 混合编程

WoC！怎么TLE了？？？我明明没有超时呀？？？于是 kxxt 就被卡（qia, 三声）在这里很久

修正

后来我用 httpie 手动和题目交互，发现原来是 GET 请求有对 Cookie 做修改。而我之前一直用的从浏览器里复制出来的 Cookie 😢😭😓。

然后就直接把所有逻辑都写在 Python 里了，因为把新 Cookie 传给 Python 不是很方便：

这不，flag 到手了，也没有那么麻烦吗。。。。

旅行照片 2.0（照片分析)

丢给一个在线 EXIF 信息查看器就能得到答案。 推荐：https://exifdata.com/

从众多小米手机的图像中浏览了一番，发现是红米 Note 9: https://www.wikiwand.com/zh-hans/Redmi_Note_9

不过航班我是真的不会找。日本上空这么多航班，我怎么知道是哪一个？？？（也没找到免费的能看五月份航班数据的网站）

猜数字

一打开 GuessNumber.jvav, 一股“企业级”应用开发的味道便扑面而来。

然而，众所周知，NaN 既不大于任何一个数，也不小于任何一个数。所以我们把 NaN 交上去就过了。

万恶的网页交不了 NaN. 欺负我在用手机做题是吧？我掏出了 termux, 熟练的使用 pip 安装了 httpie。然后左一个 POST 右一个 GET 就把它干掉了。

Write Up Part II

这里放段字，防止两个标题挨得太近出 Bug

LaTeX 机器人

flag1

flag1 很简单，直接用 \input 宏把 /flag1 文件读进来就行。

花括号被 $\LaTeX$ 吃掉了，填 flag 的时候自己补上就行。

flag2

flag2 卡了我很久。后来 Google 搜索 latex raw text 得到的第一个结果 中提到了一个定义新的 environment 使得 $, &, #, ^, _, ~, % 这些特殊字符能够被显示出来的方法。

那么我们把下面的 payload 交给 $\LaTeX$ 机器人就可以得到 flag2(可怜的花括号还是照样会被吃掉。。。)

Flag 的痕迹

从自己电脑上运行一个 Dokuwiki 复现一下小 Z 的操作。

然后进 localhost:8080 编辑首页，再做第二次编辑

我们进入到 revisions 页面，发现它有一个 diff 功能，可以显示改动，而且右边有一个链接 Link to this comparison view, 点击之后 url 里的 do=revisions 变成了 do=diff 。我们可以合理的怀疑小 Z 的 Dokuwiki 没有关掉 diff 功能。我们直接访问 http://202.38.93.111:15004/doku.php?id=start&do=diff 发现我们能够看到小Z 作出的历史改动，便拿到了 flag。

安全的在线测评

无法 AC 的题目

阅读 online_judge.py 可以发现 OJ 最终使用 runner 账户来运行我们的代码。然而它只把动态数据的输入输出文件的权限改成了 700，却（故意）忘记把 static.out 的权限改成 700 了。

于是我们可以直接一个 cat 过掉静态数据。

动态数据

再仔细阅读一下 OJ 的代码，发现它并没有用 runner 账户来编译我们的代码。所以如果我们的代码能在编译期把答案都读进来，我们就能过掉这道题了。

可是，dynamic{i}.out 文件里存了两个高精大整数，我直接把她们 #include 进来的话是会出编译错误的呀！

诶？编译错误！我为什么不能直接 #include "../flag.py" 然后靠编译器的错误输出拿到 flag 呢？

草，出题人还是想到了这一点的。你看他在 flag.py 的第三行放了个假 flag 来嘲讽你。

那嘛，我该怎么办呢？

后来我从 StackOverflow 上找到了一条汇编指令 .incbin (那条回答有点惨，只有一个 upvote，也就是说没人给它点过upvote)

下面代码里的 gcc_header 是这个 StackOverflow 帖子里提到的动态 #include 文件的一个方法。

为了惜字如金，我定义了一大堆宏来简化代码。

线路板

Question

中午起床，看到室友的桌子上又多了一个正方形的盒子。快递标签上一如既往的写着：线路板。和往常一样，你“帮”室友拆开快递并抢先把板子把玩一番。可是突然，你注意到板子表面似乎写着些东西……看起来像是……flag？

可是只有开头的几个字母可以看清楚。你一时间不知所措。

幸运的是，你通过盒子上的联系方式找到了制作厂家，通过板子丝印上的序列号查出了室友的底细，并以放弃每月两次免费 PCB 打样包邮的机会为代价要来了这批带有 flag 的板子的生产文件。那这些文件里会不会包含着更多有关 flag 的信息呢？

随意用文本编辑器打开一个 gbr 文件，发现它是由 KiCad 生成的。

于是我就用 pacman 装了个 KiCad, KiCad 的 Gerber Viewer 可以查看这些文件。

选择文件菜单，Open Gerber Job File... , 打开题目给的那个 gbrjob 文件.

然后我们确定 flag 图案在哪一层上，把不需要的层隐藏。

嗯，我们还是没能看到心心念念的 flag. 直觉告诉我这堆遮挡物体是用画图指令覆盖上去的，只要我把它们去掉，再打开这个文件，我就能看到 flag.

经过几次尝试，下面的修改成功使 flag 显示了出来。

然后就顺利的拿到 flag 了 （这 flag 不就是相当于白送吗。。。）

Flag 自动机

额。。。解压之后我获得了一个 Windows exe… 然而我身为骄傲的 Arch Linux 用户（好吧，其实是衍生的发行版 Garuda Linux）怎么去运行/调试它呢？我我我。。。。直接按下电源键重启到 Windows 11.

运行 flag_machine.exe 发现组委会为大家搬来了一台能够自动获取 flag 的机器。然而鼠标点不到 “狠心夺取” 按钮。那怎么办呢？我的第一反应是直接给窗口发送点击事件，于是便有了下面的 python 代码。

然而狡猾的组委会会让你这么容易的拿到 flag 吗？当然不会。

于是我就掏出了吃灰多年的 IDA Free, 加载 flag_machine.exe, 点击运行按钮。

呃呃呃呃呃呃呃呃。。。 程序直接退出了。这程序还带反调试的？？？

那我就先启动程序，再通过 attach to process 菜单项把 IDA 调试器附加到正在运行的 flag_machine.exe 上。

稍微看一下汇编能发现一点有意思的东西，比如 rdata 段里有 flag_machine.txt 这段文字。可惜 flag 本身并没有被明文存储在 rdata 段里。

然后我们再来找一下程序在哪里调用了 Windows 的 GetMessageA 函数接收窗口的事件消息。

发现这个库函数只在 sub_401A2C 中被调用。那么，sub_401A2C 或许就是我们取得 flag 的关键了。

然而跳过去一看并没有什么值得关注的东西。。。

那么就来关注一下程序在那里调用了 fopen 吧，我盲猜程序会把 flag 写到 flag_machine.txt 这个文件里。

果然，调用 fopen 的那段代码同时还会弹窗显示 Congatulations 祝贺我们。那么这就是我们获得 flag 的关键。

切到 Graph View 来康康这个子过程（红框标出了我们要跳转到的目标代码）：

从第一个块的最后一行条件跳转那里加一个断点，从这个子过程负责的任务来看，程序是肯定会命中这个断点的。

把程序窗口切到前台，程序命中断点之后，我们让程序直接执行红框位置代码：

然后取消断点，让程序继续执行，我们就能在 flag_machine.txt 里找到 flag 了。

微积分计算小练习

杯窗鹅影

flag1

Google 搜索 read linux host file in wine, 点进第一个来自 StackExchange 的搜索结果， 回答的评论里提到了 Wine 中的程序仍然可以使用 Linux 系统调用。

Wine is not a sandbox – a program can use Linux syscalls to interact with the rest of the system bypassing Wine, although this is unlikely to happen unless the program was intentionally written to do that.

– ephemient

Jan 9, 2012 at 2:57

那就把系统调用写到内联汇编里吧。（交叉编译用不了 linux 的头文件）

不就是写两个系统调用嘛，一个 open 打开文件，一个 read 读取文件。

把 a.exe 交上去，果然过了。

flag 里提到了 directory_traversal, 可能我的做法不是预期做法。

flag2

flag1 拿得到，flag2 其实就更简单了，甚至就只需要一个 execve 系统调用就可以做到。

Write Up Part |||

这里也要放段字，防止两个标题挨得太近出 Bug。跪求大佬给我发个 PR 修 Bug。

诶。。。你有没有注意到这次标题好像和前两个有点不一样啊。。

二次元神经网络

初始想法

嗯，我身为一个人工智能相关专业的学生。如果做不出这道题，岂不是太丢脸了。

题目的标签有些奇怪。不过我想了想，神经网络当然也是网络了，打个 Web 标签也不是不可以吗（笑

打开 infer.py 可以看到几个值得注意的地方：

失败的尝试

后来想了想，可能需要构造一个模型来实现 RCE. 毕竟模型的加载是不安全的。 pytorch 内部使用不安全的 pickle 来加载模型。

那么，我们直接把答案JSON 文件 print 出来不就完了。但是 pytorch 接下来会报错，那我就直接调用 sys.exit 退出程序呗。

直接把 JSON 贴进 Python 程序里不可行，还要再转义，于是我直接又给它套了一层 base64.

然后本地运行成功了。但是交上去却报错了。我还发了个邮件问组委会，得到的回答是：

经过确认，题目环境没有问题，您目前的 payload 得到这样的提示是预期的。祝 参赛愉快。

我左思右想也没想出为什么。于是我写了一个更加 hacky 的版本来过掉这道题。

比赛结束之后看了别人的 Write Up 我才知道是要把结果写到 result.json 里面去。我一直以为只要像 infer.py 结尾那样把它 print 出来就行。

成功拿到 flag

这是一个非常 Hacky 的版本。

• 它不会让 infer.py 异常退出
• pytorch 会正常的，顺利的加载模型
• infer.py 会看似正常的调用我们的模型
• 总体而言，我们没有改变 infer.py 的执行流程

首先，我们把原来的模型解包，得到 archive 文件夹，其中有一个 data.pkl 存储了状态字典，data.pkl 内引用了压缩包里的其他几个文件。

我们先构造一段填充合法权重的代码：

得到

给它包上 OrderedDict:

然后我们构造 payload:

把 payload.pt 传上去就通过了

光与影

先把整个网站下载下来，方便我们编辑。什么？你问我为什么不用 Chromium 的 Overrides 功能？？？我身为卑微的 Linux 用户用 Chromium 打开这个有毒的页面就直接卡死！气死我了。可惜 Firefox 没有 Overrides 功能。

WebGL 啊， WebGL. 看不懂。。。没学过。。随便改改代码吧。

代码里有几个又臭又长的 tiSDF 函数，我盲才 flag 的玄机就藏在这些函数里面。但是 t5SDF 这个函数却短的离谱。

我们直接把 t5SDF 的返回值改成 0 试试：

整个屏幕直接变黑了。这显然不是我们想要的。

把返回值修改成 100.0 , flag 到手了

链上记忆大师（记忆练习）

我简单地看了一下题目，大概意思就是让我们写一个智能合约记住给定的数字。

第一小问会点 Solidity 就能写出来。

把编译出来的 16 进制码交上去，第一问就过了。

传达不到的文件

读不到

一开始我以为 chall 会有缓冲区溢出漏洞，结果用下面的命令一试发现没有。

我们发现 /bin/busybox 在我们的控制范围之内，其实/bin 和 /sbin目录里的文件都在我们的控制范围之内。

通过读取 /etc/init.d/rcS 我们发现在退出当前的 shell 之后 rcS 还会执行 umount 和 poweroff 命令(注意是以 root 身份执行)。

下面是探索过程的 shell 录制(不是视频).

那么我们就可以通过篡改 /bin/mount 来把 /chall 读出来, base64 编码，然后在自己的笔记本上解码得到 ./chall 文件。

在本地解码完成后，我们执行一下 strings chall | grep flag 就能拿到 flag 了。

flag 提到了 ptrace, 看来我的解法是非预期解法

打不开

这个就比上一个更简单了，改一下 /bin/umount ，把文件 cat 出来就完了。

当然这解法应该还是非预期解法。

看不见的彼方

Google 搜索一下 linux ipc, 点进第一个搜索结果， 发现这道题似乎只能用信号来通信了，那就用信号来写一个吧。

量子藏宝图

还没写完

企鹅拼盘（Level 1-2）

第一问直接手工枚举就能找到答案是 0b1000.

第二问也就 2^16=65536 种情况，写个程序暴力破解一下就可以。