春秋杯冬季赛CTF解题技术文档<\/h1>

1. Web类题目解析<\/h2>

1.1 Flask SSTI注入<\/h3>

题目特征<\/strong>：<\/p>

图片加载功能存在漏洞<\/li>
Flask框架应用<\/li> <\/ul>
漏洞利用<\/strong>：<\/p>

测试SSTI注入点：{{7*7}}<\/code>等简单表达式<\/li>
确认存在后使用payload：<\/li> <\/ol> {{lipsum.<\/span>__globals__['os'<\/span>].<\/span>popen('cat f*'<\/span>).<\/span>read()}} <\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p> 利用lipsum<\/code>对象的__globals__<\/code>属性访问os模块<\/li> 通过popen<\/code>执行系统命令读取flag文件<\/li> <\/ul> 1.2 PHP文件读取漏洞<\/h3> 题目特征<\/strong>：<\/p> 文件路径输入返回文件大小<\/li> PHP版本8.1.31<\/li> <\/ul> 利用方法<\/strong>：<\/p> 参考DownUnder CTF 2022的PHP过滤器链漏洞<\/li> 使用GitHub脚本进行利用：<\/li> <\/ol> python3 filters_chain_oracle_exploit.py \ <\/span><\/span><\/span><\/span> --target http:\/\/example.com\/ \ <\/span><\/span><\/span><\/span> --file '\/flag'<\/span> \ <\/span><\/span><\/span><\/span> --parameter path <\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p> 利用PHP过滤器链进行文件读取<\/li> 需要指定正确的目标URL和参数名<\/li> <\/ul> 1.3 Go语言文件上传漏洞<\/h3> 题目特征<\/strong>：<\/p> JWT伪造尝试失败<\/li> 存在文件上传功能，仅允许tar文件<\/li> <\/ul> 利用方法<\/strong>：<\/p> 创建符号链接指向flag文件：<\/li> <\/ol> ln -s \/flag symlink_to_flag <\/span><\/span>tar -cvf exploit.tar symlink_to_flag <\/span><\/span><\/code><\/pre> 上传tar文件<\/li> 访问上传后的文件路径获取flag<\/li> <\/ol> 关键点<\/strong>：<\/p> 利用tar文件保留符号链接的特性<\/li> 需要获取上传后的文件存储路径<\/li> <\/ul> 2. Crypto类题目解析<\/h2> 2.1 SHA1哈希爆破<\/h3> 题目特征<\/strong>：<\/p> 已知哈希值前三位<\/li> 需要爆破8位哈希<\/li> <\/ul> 解决方法<\/strong>：<\/p> 编写脚本逐行生成可能的输入<\/li> 计算SHA1哈希并与目标比较<\/li> <\/ol> 2.2 RSA相关攻击<\/h3> 解题步骤<\/strong>：<\/p> 使用Coppersmith方法爆破指数e<\/li> 分析消息之间的关系： m2 = bytes_to_long(m1) + 3*(256^0 + 256^1 + 256^2 + 256^3 + 256^4)<\/li> <\/ul> <\/li> 注意ASCII 125对应'}'的特殊处理<\/li> 使用Franklin-Reiter相关消息攻击<\/li> <\/ol> 3. Misc类题目解析<\/h2> 3.1 简单算术<\/h3> 解决方法<\/strong>：<\/p> 编写脚本遍历所有可能性<\/li> <\/ul> 3.2 Aztec条码解码<\/h3> 步骤<\/strong>：<\/p> 提取Aztec条码图像<\/li> 使用解码工具获取隐藏信息<\/li> <\/ol> 3.3 图片隐写<\/h3> 解决方法<\/strong>：<\/p> 检查文件头发现PNG隐藏在JPG中<\/li> 使用010 Editor等工具提取PNG<\/li> 修复损坏的宽高信息：使用Deformed-Image-Restorer工具<\/li> <\/ul> <\/li> 获取flag：flag{opium_00pium}<\/code><\/li> <\/ol> 3.4 网络流量分析<\/h3> 步骤<\/strong>：<\/p> 分析HTTP流发现上传的ZIP文件<\/li> 提取please_recovery.zip<\/li> ZIP中包含img文件<\/li> 使用R-Studio打开img文件<\/li> 发现XLS文件包含flag：flag{E7A10C15E26AA5750070EF756AAA1F7C}<\/code><\/li> <\/ol> 4. Reverse Engineering类题目解析<\/h2> 4.1 ezre<\/h3> 分析<\/strong>：<\/p> 标准伪随机数逆向<\/li> 使用ltrace获取seed种子数<\/li> 生成随机数序列<\/li> 进行异或逆运算获取flag<\/li> <\/ol> 4.2 ko0h<\/h3> 反调试技术<\/strong>：<\/p> TLS进程检测反调试<\/li> InlineHook劫持base64加密函数<\/li> 修改后的RC4加密算法包含减法运算<\/li> 动态修改key的反调试机制<\/li> <\/ol> 解决方法<\/strong>：<\/p> 绕过反调试<\/li> 确定key为"DDDDAAAASSSS"<\/li> 编写解密脚本处理密文<\/li> <\/ol> 5. Pwn类题目解析<\/h2> 5.1 bypass<\/h3> 漏洞分析<\/strong>：<\/p> 存在函数地址泄露漏洞<\/li> 存在栈溢出漏洞<\/li> <\/ol> 利用方法<\/strong>：<\/p> 利用地址泄露获取关键函数地址<\/li> 通过溢出劫持返回地址<\/li> 使用one-gadget获取shell<\/li> <\/ol> 附录：关键工具和脚本<\/h2> PHP过滤器链利用工具：<\/p> https:\/\/github.com\/synacktiv\/php_filter_chains_oracle_exploit<\/li> <\/ul> <\/li> 图片修复工具：<\/p> Deformed-Image-Restorer<\/li> <\/ul> <\/li> 常用分析工具：<\/p> 010 Editor<\/li> R-Studio<\/li> ltrace<\/li> IDA Pro<\/li> <\/ul> <\/li> 常用命令：<\/p> 创建符号链接：ln -s \/target symlink_name<\/code><\/li> 打包符号链接：tar -cvf exploit.tar symlink_name<\/code><\/li> 计算SHA1：echo -n "input" | sha1sum<\/code><\/li> <\/ul> <\/li> <\/ol>