sknbCTF 2025 题目解析与教学文档<\/h1>

一、Misc 杂项类题目<\/h2>

1.1 Welcome<\/h3>

题目描述<\/strong>：简单的欢迎题目，用于熟悉比赛环境。<\/p>

解题方法<\/strong>：<\/p>

在 Discord 平台搜索指定前缀即可找到相关信息<\/li>
最终 flag：sknb{https:\/\/youtu.be\/0RG7iNERF4s}<\/code><\/li> <\/ul> 教学要点<\/strong>：<\/p> CTF 比赛中通常会有简单的欢迎题目帮助选手熟悉平台<\/li> 社交平台(Discord)是CTF比赛重要的信息交流渠道<\/li> <\/ul> 1.2 PIN Authenticator PIN<\/h3> 漏洞原理<\/strong>：Python 对象身份比较漏洞<\/p> 技术分析<\/strong>：<\/p> 后端代码错误地使用 is<\/code> 进行 PIN 码比较而非 ==<\/code><\/li> is<\/code> 操作符检查对象身份（内存地址是否相同），==<\/code> 检查值是否相等<\/li> SECRET_PIN<\/code> 是模块级变量，存在于 Python 内存中<\/li> <\/ul> YAML 反序列化漏洞利用<\/strong>：<\/p> username<\/span>: admin<\/span> <\/span><\/span>pin_code<\/span>: !!python\/name:__main__.SECRET_PIN<\/span> <\/span><\/span><\/code><\/pre>YAML 标签说明<\/strong>：<\/p> !!python\/name:<\/code> 标签直接引用 Python 模块中的对象<\/li> 解析后得到内存中相同的 SECRET_PIN<\/code> 对象<\/li> 通过 is<\/code> 身份验证检查<\/li> <\/ul> 教学要点<\/strong>：<\/p> 理解 Python 中 is<\/code> 与 ==<\/code> 的区别<\/li> 掌握 YAML 反序列化安全风险<\/li> 学习 Python 对象引用机制<\/li> <\/ul> 1.3 PIN Authenticator revenge<\/h3> 题目特点<\/strong>：前一道题目的进阶版本，但核心漏洞未修复<\/p> 解题方法<\/strong>：<\/p> 使用相同的 payload：<\/li> <\/ul> username<\/span>: admin<\/span> <\/span><\/span>pin_code<\/span>: !!python\/name:__main__.SECRET_PIN<\/span> <\/span><\/span><\/code><\/pre>教学要点<\/strong>：<\/p> CTF 中经常出现同一漏洞的变种题目<\/li> 服务端口变化（5000→5050）不一定是漏洞修复标志<\/li> 需要分析核心逻辑是否真正改变<\/li> <\/ul> 1.4 DB Mirage<\/h3> 文件分析技术<\/strong>：<\/p> 第一步：文件类型识别<\/strong><\/p> 使用 010 Editor 等十六进制编辑器分析文件<\/li> 文件头：53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33 00<\/code>（SQLite format 3）<\/li> 但在偏移 0x60（96 字节）处发现 GZIP 魔术头：1F 8B 08<\/code><\/li> <\/ul> 第二步：数据提取<\/strong><\/p> 文件实质是 SQLite 外壳内嵌 GZIP 压缩数据<\/li> 删除前 96 字节 SQLite 头，保留 GZIP 数据<\/li> 解压 GZIP 得到 TAR 归档文件<\/li> 再次解压得到 LevelDB 数据库<\/li> <\/ul> 第三步：LevelDB 数据分析<\/strong><\/p> 使用专业工具（如火眼）分析 LevelDB<\/li> 数据格式：_welcome_to_sknbCTF!!!_<char><\/code><\/li> 提取每个键值对末尾的字符组合成 flag<\/li> <\/ul> 最终 flag<\/strong>：sknb{l3v3ldb_sn4ppy_c4n7_h1d3_m3}<\/code><\/p> 教学要点<\/strong>：<\/p> 文件格式伪装是常见的隐写技术<\/li> 掌握多种文件格式的识别方法<\/li> LevelDB 数据库结构和分析方法<\/li> <\/ul> 二、Reverse 逆向工程类题目<\/h2> 2.1 GIF-Zipper<\/h3> 加密原理<\/strong>：<\/p> # 原加密过程<\/span> <\/span><\/span>r, g, b =<\/span> 像素RGB值 <\/span><\/span>encoded_value =<\/span> r <<<\/span> (g +<\/span> 16<\/span>) <<<\/span> (b +<\/span> 8<\/span>) <\/span><\/span><\/code><\/pre>逆向分析步骤<\/strong>：<\/p> 第一步：理解加密算法<\/strong><\/p> RGB 像素值被编码为超大整数<\/li> 使用位运算组合三个颜色通道<\/li> 原始图像信息被转换为数字序列<\/li> <\/ul> 第二步：解密过程<\/strong><\/p> 读取数字序列文件<\/li> 前两个数字通常是图像的宽度和高度<\/li> 逆向位运算恢复原始 RGB 值<\/li> 重构图像<\/li> <\/ol> 第三步：结果分析<\/strong><\/p> 最终得到二维码图像<\/li> 扫描二维码获得 flag<\/li> <\/ul> 教学要点<\/strong>：<\/p> 图像像素数据的编码解码技术<\/li> 位运算在数据隐藏中的应用<\/li> 二维码生成和识别原理<\/li> <\/ul> 2.2 Fubukkit<\/h3> 题目背景<\/strong>：基于 Minecraft Bukkit 插件的逆向分析<\/p> 核心逻辑<\/strong>：<\/p> Flag 被分割成字节数组（长度 ≤ 44）<\/li> 每个字节被拆分为两个 4-bit 片段<\/li> 每个片段映射到特定的成就名称：chal:<index>_<value><\/code><\/li> 必须按正确顺序触发成就<\/li> <\/ol> 依赖关系分析<\/strong>：<\/p> v0_7 → v1_* → v2_* → ... → goal <\/code><\/pre> 解题步骤<\/strong>：<\/p> 第一步：逆向分析 JAR 文件<\/strong><\/p> 使用 jadx 等工具反编译 Java 字节码<\/li> 分析成就触发逻辑和依赖关系<\/li> <\/ul> 第二步：重建路径<\/strong><\/p> 根据代码中的依赖关系确定正确的成就触发顺序<\/li> 每个成就名称中的数字代表 4-bit 值<\/li> <\/ul> 第三步：数据重组<\/strong><\/p> 将每两个连续的 4-bit 值组合成一个字节<\/li> 将所有字节组合成完整的 flag<\/li> <\/ul> 最终 flag<\/strong>：sknb{bukkit_wo_bakkit}<\/code><\/p> 教学要点<\/strong>：<\/p> Java 字节码逆向分析技术<\/li> 数据分片和重组算法<\/li> 状态机或依赖关系分析<\/li> <\/ul> 2.3 風が吹けば桶屋が儲かる<\/h3> 题目特点<\/strong>：多文件逆向工程<\/p> 解题方法<\/strong>：<\/p> 第一步：文件分析<\/strong><\/p> 题目提供大量 class 文件<\/li> 每个 class 文件包含四个字节的有效数据<\/li> 组合所有数据后生成 PNG 图片<\/li> <\/ul> 第二步：批量处理<\/strong><\/p> 编写脚本自动化解析所有 class 文件<\/li> 动态解析每个文件中的位移量和加法偏移量<\/li> <\/ul> 第三步：图像重构<\/strong><\/p> 提取并组合所有字节数据<\/li> 生成最终的 PNG 图像文件<\/li> <\/ul> 最终 flag<\/strong>：sknb{now_you_can_say_bye_bye_bytecode_73c1d0}<\/code><\/p> 教学要点<\/strong>：<\/p> 批量文件处理技术<\/li> 字节码动态分析<\/li> 数据提取和图像重构<\/li> <\/ul> 2.4 from-one-to-two<\/h3> 非预期解法<\/strong>：文本可视化分析<\/p> 解题技巧<\/strong>：<\/p> 直接对二进制文件进行文本可视化<\/li> 在可视化的文本模式中发现隐藏的 flag<\/li> 避免复杂的逆向分析过程<\/li> <\/ul> 教学要点<\/strong>：<\/p> 多种解题思路的重要性<\/li> 文本可视化在逆向分析中的应用<\/li> 非预期解法的创造性思维<\/li> <\/ul> 三、Web 网络安全类题目<\/h2> 3.1 Parse Parse Parse<\/h3> 漏洞类型<\/strong>：参数污染（Parameter Pollution）<\/p> 漏洞原理<\/strong>：<\/p> 不同层级的解析器对重复参数的处理不一致<\/li> 服务器可能用第一个参数做权限验证，用最后一个参数执行业务逻辑<\/li> <\/ul> 利用方法<\/strong>：<\/p> ?user=admin&user=user <\/code><\/pre> 具体攻击场景<\/strong>：<\/p> 权限检查使用 user=admin<\/code>（第一个参数）<\/li> 业务逻辑使用 user=user<\/code>（最后一个参数）<\/li> 从而绕过权限控制<\/li> <\/ol> 教学要点<\/strong>：<\/p> HTTP 参数污染漏洞原理<\/li> 不同 Web 框架对重复参数的处理差异<\/li> 权限绕过技术<\/li> <\/ul> 3.2 Auth Delegation<\/h3> 安全机制分析<\/strong>：<\/p> WAF 防护<\/strong>：<\/p> 检测到 username === "admin"<\/code> 时重定向到 \/login?message=admin%20detected<\/code><\/li> 阻止直接使用 admin 账户登录<\/li> <\/ul> 认证逻辑<\/strong>：<\/p> \/\/ Passport 策略只允许特定凭证 <\/span><\/span><\/span><\/span>if<\/span> (username<\/span> ===<\/span> "admin"<\/span> &&<\/span> password<\/span> ===<\/span> "admin"<\/span>) { <\/span><\/span> return<\/span> done<\/span>(null<\/span>, user<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre>权限检查<\/strong>：<\/p> \/\/ 登录成功后检查 <\/span><\/span><\/span><\/span>if<\/span> (req<\/span>.user<\/span>.username<\/span> ===<\/span> "admin"<\/span>) { <\/span><\/span> \/\/ 返回 flag <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>绕过方法<\/strong>：<\/p> 需要找到方法绕过 WAF 同时满足认证逻辑<\/li> 可能涉及请求参数处理或会话管理漏洞<\/li> <\/ul> 教学要点<\/strong>：<\/p> 多层认证机制的安全分析<\/li> WAF 绕过技术<\/li> 会话管理和身份验证漏洞<\/li> <\/ul> 四、通用技术总结<\/h2> 4.1 文件格式分析技术<\/h3> 十六进制文件头分析<\/li> 多层文件格式识别<\/li> 数据提取和重组技术<\/li> <\/ul> 4.2 逆向工程技术<\/h3> 字节码反编译和分析<\/li> 算法逆向工程<\/li> 数据流跟踪和重建<\/li> <\/ul> 4.3 Web 安全技术<\/h3> 输入验证绕过<\/li> 认证授权漏洞<\/li> 业务逻辑漏洞利用<\/li> <\/ul> 4.4 解题方法论<\/h3> 多种解法尝试（预期解与非预期解）<\/li> 工具链构建和自动化脚本开发<\/li> 系统化的问题分析方法<\/li> <\/ul> 本教学文档详细分析了 sknbCTF 2025 比赛中的关键技术点和解题方法，涵盖了 Misc、Reverse、Web 等多个领域的网络安全技术，适合作为 CTF 培训和网络安全学习的参考资料。<\/p>