内容简介:各位朋友周末快乐!昨日我们公布了本次Q2的比赛成绩,戳:目前我们正在对赛题进行逐一讲解,比赛期间没有做出来的小伙伴们也不要灰心,请持续关注我们,或许点评与解析会让你茅塞顿开哦!今天我们将继续对第五题《丛林的秘密》进行题目点评与解析。
各位朋友周末快乐!昨日我们公布了本次Q2的比赛成绩,戳: 【英雄榜单】看雪.纽盾 KCTF 晋级赛Q2 排行榜出炉! 恭喜获奖的选手们!
目前我们正在对赛题进行逐一讲解,比赛期间没有做出来的小伙伴们也不要灰心,请持续关注我们,或许点评与解析会让你茅塞顿开哦!
今天我们将继续对第五题《丛林的秘密》进行题目点评与解析。
题目背景:
郁郁葱葱都树林之后,是一只只光亮的眼睛。
外星人的活力集中在亚欧大陆上,位于南美洲的亚马逊森林,此时仿佛是世外桃源。阳光通过高耸的树木,散落下来,洒在满地的落叶上。行走在其中,仿佛进入了一场大型动物博览会,天上飞的、树上爬的、地上走的、水里游的,应有尽有,看的人眼花缭乱。不知不觉走了很远,却仍然困在这个森林中。一不小心,你落入了一个深不见底的深坑中,身体不断的陷入黑暗,下沉、下沉、下沉......突然一束刺眼的光闪入你的眼睛,那是能量宝石!可是能量宝石在深坑的底部,无论你如何的向下坠落,似乎都无法到达底部......
本题共有2057人围观,最终有35支团队攻破成功。
攻破此题的战队排名一览:
接下来让我们一起看看这道题究竟有何玄妙之处吧!
这道题的难度初级,主要逻辑在WebAssembly中,只要保存下来用wasm2c反编译成c代码,即可获取flag。
本题出题战队 F_T 简介:
个人简介:foyog,付震,北京邮电大学移动互联网安全技术国家工程实验室研三学生,曾实习于腾讯移动安全实验室,主要工作是对安卓内核进行fuzz测试和漏洞分析。现实习于360智能安全研究院,从事自动化漏洞挖掘方向的工作。
赛题分析
参赛的题目是一个安卓的程序,由于安卓webview在4.4后开始使用chrome的内核,所以经过测试,安卓8.1及以上的webview版本是可以成功的执行webassembly的。(低版本没有测,该题目不能保证在低版本下成功运行)。
故使用webassembly作为出题的依据,由于无法像桌面版的chrome那样直接动态调试webassembly,解题者需要讲安卓程序上的html网页转移至桌面版即可动态调试。但由于webassembly的字节码不同于x86,需要解题者对webassembly的字节码进行研究才能解题。
主要算法
首先html网页如下 :
安卓程序中将main.wasm直接作为二进制的字符串放在了html中,但是解题流程不变化。
html中调用了wasm中的check_flag函数进行验证。
wasm的源码(由于源码过长,请点击阅读原文在原帖下载)
最根本的算法就是一个32*32的线性方程组,函数为xxx(),而o,oo等八个函数只是简单的做了一个异或运算,迷惑解题者。
线性方程组的A和b为:
b:
解题者需要利用脚本文件去读取这些参数并求解。解为:
S0m3time_l1tt1e_c0de_1s_us3ful33
而由于o、oo等八个函数只是做异或运算,可以得到flag为:
K9nXu3_2o1q2_w3bassembly_r3vers3
安卓程序
只有一个activiy,其中最主要的是一个webview,通过loadurl(127.0.0.1:8000)来解析html。
但是程序中还写了一个textview,一个button和一个edittext来迷惑解题者。
主要代码:
native的函数主要工作为,实现一个简单的http服务器,内容为上面的wasm代码。
代码请见文末左下角阅读原文。
本题解题思路由看雪论坛 风间仁 提供:
这个是Web页面, url: http://127.0.0.1:8000 。
public class MainActivity extends AppCompatActivity { private Button button1; private EditText eText1; private TextView txView1; public String url; static { System.loadLibrary("gogogo"); } public MainActivity() { this.url = gogogoJNI.sayHello(); } protected void onCreate(Bundle arg3) { ... this.findViewById(2131165318).loadUrl(this.url); this.findViewById(2131165318).getSettings().setJavaScriptEnabled(true); ... } } jstring __fastcall Java_com_example_assemgogogo_gogogoJNI_sayHello(JNIEnv *a1) { // http://127.0.0.1:8000 for ( i = 0; i != 21; ++i ) url[i] = byte_2D28[i] ^ 0x66; url[21] = 0; return (*v2)->NewStringUTF(v2, url); }
在JNI_OnLoad中监听8000端口,发送html页面。
.text:00000D1A ADD R1, PC ; "8000" ... .text:00000D26 BLX getaddrinfo .text:00000C50 ADD R0, PC ; "HTTP/1.1 200 OK\r\nContent-Type: text/h"... ... .text:00000C60 BLX accept ... .text:00000CA6 BLX send
html页面:
<html> <script> var instance; WebAssembly.compile(new Uint8Array(` ... `.trim().split(/[\s\r\n]+/g).map(str => parseInt(str, 16)) )).then(module => { new WebAssembly.instantiate(module).then(results => { instance = results; }).catch(console.error);}) function check_flag(){ var value = document.getElementById("key_value").value; if(value.length != 32) { document.getElementById("tips").innerHTML = "Not Correct!"; return; } instance.exports.set_input_flag_len(value.length); for(var ii=0;ii<value.length;ii++){ instance.exports.set_input_flag(value[ii].charCodeAt(),ii); } var ret = instance.exports.check_key(); if (ret == 1){ document.getElementById("tips").innerHTML = "Congratulations!" } else{ document.getElementById("tips").innerHTML = "Not Correct!" } } </script> <body> <div>Key: <input id="key_value" type="text" name="key" style="width:60%" ;="" value=""> <input type="submit" value="check" onclick="check_flag()"></div> </body></html>
主要逻辑在WebAssembly中,保存下来用wasm2c反编译成c代码:
https://github.com/WebAssembly/wabt
./wasm2c test.wasm -o test.c
将代码抠出来,z3解得sn: K9nXu3_2o1q2_w3bassembly_r3vers3 。
▼▼▼
▼▼
▼
1、 看雪.纽盾 KCTF 2019 Q2 | 第一题点评及解题思路
2、 看雪.纽盾 KCTF 2019 Q2 | 第三题点评及解题思路
3、看雪.纽盾 KCTF 2019 Q2 | 第二题点评及解题思路
4、 看雪.纽盾 KCTF 2019 Q2 | 第四题点评及解题思路
5、 【英雄榜单】看雪.纽盾 KCTF 晋级赛Q2 排行榜出炉!
主办方
看雪学院(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区!创建于2000年,历经19年的发展,受到业内的广泛认同,在行业中树立了令人尊敬的专业形象。平台为会员提供安全知识的在线课程教学,同时为企业提供智能设备安全相关产品和服务。
合作伙伴
上海纽盾科技股份有限公司( www.newdon.net )成立于2009年,是一家以“网络安全”为主轴,以“科技源自生活,纽盾服务社会”为核心经营理念,以网络安全产品的研发、生产、销售、售后服务与相关安全服务为一体的专业安全公司,致力于为数字化时代背景下的用户提供安全产品、安全服务以及等级保护等安全解决方案。
小手一戳,了解更多
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
戳原文,查看更多精彩writeup!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 小记一类ctf密码题解题思路
- WSDM Cup 2019 自然语言推理任务获奖解题思路
- 并发题的解题思路以及 Go 语言调度器工作原理
- 算法和编程面试题精选TOP50!(附代码+解题思路+答案)
- 看雪.纽盾 KCTF 2019 Q2 | 第一题点评及解题思路
- 看雪.纽盾 KCTF 2019 Q2 | 第三题点评及解题思路
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
精益思想
(美)詹姆斯 P.沃麦克(James P.Womack)、(英)丹尼尔 T.琼斯(Daniel T.Jones) / 沈希瑾、张文杰、李京生 / 机械工业出版社 / 2011-4 / 48.00元
打算尝试精益的人,该怎么做? 已经实行精益的人,下一步怎么办? 本书包含了最新的精益理论、方法和工具,一一解答上述问题。 这是目前关于流程再造最好的书,也是最好读的。——《高业周刊》 本书中文简体字版由FreePress通过AiWA授权机械工业出版社在中国大陆独家出版发行。未经出版者书面许可,不得以任何方式抄袭、复制或节录本书中的任何部分。 《精益思想》于1996年秋......一起来看看 《精益思想》 这本书的介绍吧!