dfeixfhiq.dll是什么

作者：FlappyPig预计稿费：600RMB(不服也请投稿！)提交方法：发送邮件到linwei#360.cn或在线提交Flip 1。这个问题是Linux上的Qt程序。

主要分成三个部分

1.一个多阶Flip game

2.一个三阶错乱的Flip game

3.一个内存中执行的三阶Flip game,执行操作由第二个游戏的步子有关。

二．第一关游戏很简单，从主对角线开始一直走对角线即可。

或者爆破406035这个位置

三．第二关是一个错位的Flip game

所谓的错乱就是错乱了逻辑，例如一个正常的3*3 Flip逻辑为

1 2 3 1 3 2

4 5 6 错乱之后为 7 9 8

7 8 9 4 6 5

第二关最多只能有7步，超过7步就算失败

所以需要遍历出第二关所有的走法

所有可能如下

四．过了第二关之后出现一个flag提交窗口，submit的按钮事件位于sub_407170

判断输入的长度是不是为32之后调用函数sub_406a80

在sub_406a80中会根据第二关的步骤，去解码第三关的执行步骤。

第二关的走法会影响后续的走法解码（因为之前是直接爆破的所及在在这里卡了很久）。

第二关走的位置和对应的内存数据对应关系如下:

得到被分解之后的key，所谓分解就是

将输入的ascii分解，成两个字节的的表示，低位放低位高位放高位。

例如

之后会判断key的后六位

最后六位为74343}

然后定位到分解后的key第一位和分解后key的倒数第七位，获取以后传入sub_406780,也就是game3_flip,最后从头部和尾部往中间逼近。

本题最主要的逻辑在函数sub_406780处

分析后函数如下

主要逻辑已经注释，就是传入a2,a3两个参数用来控制flip game的起始状态，a4是解码后的game3_steps,在game3_steps中遇到0即进行判断是否灯全灭。

由于可以知道forword_char的第一位是8（h分解为08和06），那么可以推测第一步flip的初始状态为

FF FF 00 00 FF 00

00 00 00 或者 00 00 00

00 00 00 00 00 00

用之前获得的走法去解码，game3_steps打印出第一个0之前有效操作。

可以看到一个符合条件的走法

8310，对应的Game2_step

解码后的Game3_step

根据走法获得初始化矩阵：

每四个组确定两个半字节，相当于一个字节，一共104组可以获得26字节，加上前面的6字节获得全部32字节

然后就是去推出，输入的forward_char和back_char了，由于限制在0f之中所以使用爆破的方式

脚本如下

得到结果

重新编码后为

Hctf{L1ttl3_f1lip_Game3_for_

加上的前面的74343}

最后为

Hctf{L1ttl3_f1lip_Game3_for_74343}

前年的400分

关键位置sub_401090,用ida f5之后，整理数据可得

是一个多元一次方程组的形式，写脚本把每个未知数的系数提取出来建立矩阵，判断结果也提取出来建立矩阵，交给matlab即可得到答案。

Crypto So Interesting

题目中t，e是关于bt的逆元，直接求出t。u 1024bit，ut是phi n的一对逆元，直接wiener attack，跑出u。

ut是phi n的倍数，直接暴力跑phi n，得到phi n，解d，得到flag：

Crypto So Cool

gen_key中看出n的第128比特到128+640bit是u，也就是p的前面640个bit。以前弄格基规约的时候用过的一份github上的sage代码可解：

解出的是pbar-p，用pbar减去该值即可。

Crypto So Amazing

首先t是n的前1024bit，yu是t的前半部分，yl是t的后半部分，通过如下方法可以计算出spub和spriv：

spriv作为种子进行了若干次随机生成了p，不知道随机的次数，后面本以为和2差不多，但是第一次是被sage和python的random的序列不一样坑了。解决了这个问题后，发现还是解不出来。后爆出一个hint，给了一个不够2/3bit的泄露也可以解的脚本，而后跑出。

生成p直接计算：

最正常的逆向

一道很直接的逆向题，按照程序的逻辑一步一步来：

1.首先限制输入的长度为26，然后用这个长度去解码了一个函数。

2.用一个简单的xor判断前四位：得到hctf。之后再次解码函数，进行验证。

3.之后进行下一次验证，首先获得大括号内的前四个字符，将其按照aci分割成两个部分

3.1然后会根据之前的hctf初始化一个table。

3.2用该表参与运算后，将结果和xor_result = 0x8A012F269090095DLL;比较。最后可以确定结果为The_。然后继续解码函数进入下一个验证。

4.接下来是一个逻辑推到的过程，循环两次每一次将三个字节的key分解成四个字节，最后和八个字节比较，正确的结果是result_ = 57097976LL;可以推出这个六个字节为

Basic_，然后进入下一层验证

5.下一个判断很简单，分割重组异或和结果比较，可以推到出六字节0f_RE_，然后继续下一个判断函数。

6.最后一步是明码比较。

7.得到最后的key为：hctf{The_Basic_0f_RE_0A1e}

48小时学会CPP

CPP混淆加密

然后调用A::c这种模式可以改成

这种函数，方便逆向；

逆向后发现；

V0和V1必须返回为1，接下来的校验才会进行，否则直接就是错误；

Cfun10c函数是检测FLAG长度的，要使其返回1，必须是FLAG长度为27；

Cfun21函数用来校验FLAG[0]~FLAG[4]以及FLAG[25]

逆向得到hctf{********************

这个过程逆向后得到}

hctf{********************

cfun20c(a,b)的意思就是

如果a==0

这个可以得到FLAG[5]=S

接下来的FLAG[6]到FLAG[24]的规则一样(i>=1)

PAYLOAD如下

FLAG是

hctf{S0_Ea5y_Cpp_T3mp1at3}

gogogo

魂斗罗小游戏，我有金手指我怕谁。233

玩游戏得flag系列

hctf{ju5tf0rfun}

你们所知道的隐写就仅此而已吗

Blindwatermark隐写，在知乎上有一个答主讲了如何进行盲水印隐写，利用的是傅立叶变换吧。

利用 matlab 运行搜索到的代码

Flag如下：

pic again

用stegsolve进行LSB检测

发现在 0 通道有异常

用StegSolve的Data Extract功能将隐写信息提取出来

Preview 发现存在一个压缩包点击save bin

在压缩包中的文件找到了flag

杂项签到

Re 50

题目的逻辑是这样的

字符串一共20位，前面的奇数和后面的倒数的技术互换，前面一半的的偶数和后面一半的偶数为下一个偶数位+2，

字符串变换后 出来是与0xcc进行异或

用下表来表示的话，那么应该是

进行交换

右边的+2赋值给左边的

我们逆向怎么做呢，先比较的字符串异或，得到操作后的正确的字符串，再反操作字串，

最后比较的key是：

在IDA中也能看出来这些

V4是输入后变换的

变换后异或 再与key比较

所以题目应该是 正确的flag hctf{It_1s_s0_3a5y!} 输入之后，进行上述的位变换，然后与0xcc异或，最后与上图中的key比较。

将上述的key 与0xcc异或转字符串得到}hyKaa_uss_10t3{5t!h

然后进行位变换

由于是栈操作得到的flag 第二位被覆盖了。

我们根据格式修改一下就好了所以flag是

hctf{It_1s_s0_3a5y!}

>>>

level1-2099年的flag

题目提示需要ios99系统

找一个ios系统的useragent

修改为

再发送请求

在返回包中找到包含flag的请求头

level2-RESTFUL

打开网页，chrome查看到xhr请求，

于是对index.php尝试put请求并加上参数money（用restful的格式）得到flag

level2-giligili

分析方法相同，但是遇到一个坑，按照xor的结果第二段字符串为b?H¹，放到网页里提示成功却不是正确的flag，猜一下，发现用y0ur代替b?H¹ 也是正确的解。

level2-兵者多诡

找到上面这篇writeup后学习各种姿势后，照着拿到了flag

level3-必须比香港记者跑得快

# 跑得比谁都快

## ChangeLog 的故事

## 这里是加了.git之后忘删的README.md XD by Aklis

## ChangeLog

– 2016.11.11

完成登陆功能，登陆之后在session将用户名和用户等级放到会话信息里面。

判断sessioin['level']是否能在index.php查看管理员才能看到的**东西**。

XD

– 2016.11.10

老板说注册成功的用户不能是管理员，我再写多一句把权限降为普通用户好啰。

– 2016.10

我把注册功能写好了

可以看到注册的过程中包含

添加一个用户初始level > 0，降级该用户

登陆的时候将level放入session

于是判断存在条件竞争。在注册操作中降级用户之前登陆。Session中保存的用户level就不为0

level3-guestbook

验证码只需要爆破1-99999的数字的MD5，会有一个MD5的前四4位与网页中的相同。

然后观察到返回的请求头

CSP策略中script可以执行inline。

于是直接在message中写js代码通过loca跳转或者xhr的方式把cookie和当前网址发送到自己的服务器上。

然后观察到script 和 on 被置换为空，双写绕过即可。

最后伪造cookie登陆后拿到flag

level4-大图书馆的牧羊人

扫描到.git/config 下载源码后发现登录后会将用户名加密存储在cookie中，而如果cookie解密后是admin，就能访问到后台。

用comm.php里的密钥加密admin登陆上后台，有一个上传功能

阅读上传源码,只需要修改content-type让代码继续执行，去解压zip到uploads目录。于是直接上传一个有php shell的zip就拿到了shell

level4-secret area

和guestbook比较类似，也有防御xss的csp策略而且并不支持script 的 inline执行。注册登录后发现修改个人资料处提供一个上传头像的功能，然而在测试一番后发现上传处并没有什么缺陷，但是在html中发现有个功能提供302跳转

而 目录是在csp策略里script标签白名单里的，于是在头像文件里写上xss payload，上传后得到 /upload/e8ea98429c80cfd74e000cce900612a3。

然后就只需要构造<script src=/upload/e8ea98429c80cfd74e000cce900612a3 > 这个标签即可绕过csp策略。script on 被过滤，也是双写绕过即可。

level4-web选手的自我修养

下载docker镜像mi后执行命令

加载镜像并执行镜像里的bash

Home目录中发现php7-opcache-override-master。

于是查找到一篇资料利用opcache隐藏后门

于是去/tmp/opcache/5c8fa39e1df122a51d720c5716df71e4/home/wwwro

ot/default/ 查找发现一堆bin文件。就又去home目录翻到了wwwlog

发现有多条记录直接访问/wp-include，这个文件一般来说会用包含的方式使用，猜测后门就在这里。

编辑器打开/tmp/opcache/5c8fa39e1df122a51d720c5716df71e4/home/wwwroot/default/wp-include.bin 有一堆不可见字符，用strings命令提取后最后两行

Base64解码后得到flag

level4-AT Field_1

ssrf 漏洞，限制了内网ip。通过302跳转可以绕过，

在网址处输入http://127.0.0.1

源码中有一串base64 解码即可得到flag

level5-魔法禁书目录

和前面那道题一样，只是不再有明文的密钥，而是通过cbc翻转攻击构造管理员的cookie

类似于

然而注册的时候用户名控制在6-20之间。构造admin的密文需要得到同样为5位长度或者5+16长度的明文加密后的密文。恰好在这个范围之外。查看代码发现

在解密的最后清除掉了

所以构造admin的密文即可

注册一个adminx的用户，得到密文 oPR4gZAqfHYnOhWw1GcX-zIEvN_1OCaamhmDLxRigpA

得到密文后伪造cookie登陆。

审计到u中有xml的解析。于是利用xxe漏洞盲打读取根目录文件内容即可

就是干（fheap）

漏洞部分：

删除时，由于检查的条件str_info指针在delete后并没有置空，存在double free，如下：

结构体如下，存在函数指针：

创建时，管理结构大小为0x20字节，而数据部分大小可控。如下：

利用点：

所以可以根据fastbin，构造数据部分和管理结构大小相等，在分配时，错乱顺序，可以让数据部分和管理结构重合，从而改写函数指针，程序开启了pie，可以只改写释放函数的后两字节（其前面部分地址是一样的），将其改写成printf_plt，实现任意地址泄露，因为libc没有提供，所以可以通过printf来实现dynelf的leak函数，由于前面说的数据段和管理结构可以重叠，改写buff指针以及其函数指针，最终利用代码如下：

脚本如下：

flag如下：

ASM

程序实现了一个代码仿真器，他提供了一系列的类x86指令，功能也类似，并提供了make_code，能对汇编代码进行转换，

里面的重点指令功能：lea dst,src 能够实现将src(寄存器或者内存地址)的地址取出来，并放到dst中去，所以可以通过lea r1,r0,取得r0的内存地址。

通过栈实现任意地址读写：

在内存布局中，有以下关系：

仿真器中的堆栈在程序中的heap中，而在pop（伪栈下移）时，未检测上界限，可以泄露上面的地址（取内存中值），在push（伪栈上移）时，未检测下界限，可以改写stack的地址（写内存值）。而sp可以直接通过mov等指令进行改写。

泄露的libc地址可以用仿真器的寄存器存储，并找到libc中environ的位置，从而得到栈的地址，该libc直接通过libc_database可以查到，最终在栈中布置好rop，在仿真代码结束后，即可获取shell。

利用脚本系列如下：

获取shell的带注释的asm文件如下：

对上述asm文件去注释脚本：

获取shell脚本：

转换bin文件并执行脚本run.sh：

python com

./make_code < do_work_real.asm > 1.bin

python

flag如下：

出题人失踪了

因为没有给bin，根据两个提示，感觉可能是一个栈溢出。

猜测没有开启pie，所以基地址为0x08048000或者0x400000。最开始尝试0x08048000,没有任何发现。

经过测试，当输入字符超过72字节时，程序不会回显No password, No game。

构造如下payload爆破，发现当i=0x711时，程序会正常打印No password, No game，而i=0x70c时，程序会继续等待输入。所以可以推断0x40070c为call指令，调用漏洞函数，0x400711为函数返回地址。

因为是64位程序，要想实现任意地址泄露，主要需要知道pop_rdi_ret和puts_plt的地址。

在64位ELF中，通常存在一个pop r15；ret，对应的字节码为41 5f c3。后两字节码5f c3对应的汇编为pop rdi;ret。

当一个地址满足如下3个payload都能正常打印NO password, No game的话，就可以得到一个pop rdi;ret的地址。

最终得到的pop_rdi_ret地址为0x4007c3。

构造

Payload3 = 'a'*72 + l64(pop_rdi_ret) +l64(0x400000)+l64(addr)

如果程序打印前4个字节为x7fELF，则addr为puts_plt。

得到puts_plt的地址为0x400570

后面就是dump+exp了。Exp大致如下: