小雨亦喧

题目由 GPT 完成，本报告也由 GPT 生成 1. 附件入手题目给了两个附件： firmware.bin：MCU 裸机固件。 schematic.pdf：硬件原理图。 这题不是 Linux ELF pwn，而是 MCU 固件利用。整体目标是先在固件里拿到代码执行，再根据原理图访问外接 EEPROM，把 EEPROM 中的 flag 打出来。 最终 flag： 1ACTF{f423f891dc9d7a137f27e366fbff7974} 1.1 原理图信息先看 schematic.pdf。用 pdftotext -layout schematic.pdf - 可以提取出主要器件： 12U1: CH32V003F4P6U2: AT24C64 原理图上还能看到 EEPROM 和 MCU 的连线： 12AT24C64 SDA -> PC1AT24C64 SCL -> PC2 因此后续拿到代码执行以后，读 flag 的方向基本确定：在固件里操作 GPIOC，用 PC1/PC2 bit-bang I2C，访问 AT24C64。 1....

题目由 GPT 完成，本报告也由 GPT 生成 1. 题目概况这题表面附件是一个 Linux ELF，但真正的攻击面不是原生 ELF 的栈、堆或 GOT，而是一个 Verilator 编译出来的 RISC-V CPU 仿真器。服务端接收一段 base64 编码的 RISC-V 机器码，把它写入仿真器 ROM，然后启动 CPU 执行。目标是绕过 CPU 内部对 flag.mem 的特权隔离，把 flag 从高地址内存读出来。 题目附件主要包括： 123456bin/run.py 服务包装脚本bin/Simulation 远端实际运行的 Verilator 仿真器bin/Simulation_debug 调试版本，可生成 sim.vcdbin/system.mem 初始 ROM/启动代码bin/flag.txt 本地测试 flagDockerfile/start.sh 远端部署方式 2. 服务入口分析2.1 run.py 输入处理bin/run.py 的核心流程如下： 123456789101...

设计的很不错，毛子的签到题一上来就是没见过的东西，涉及到修改 cs 寄存器，将 32 位指令模式改为 64 位 1 程序分析32 位，开了 NX 12345678(pwn)secreu@Vanilla:~/code/CTF/VolgaVTF2026/login$ checksec --file=vuln[*] '/home/secreu/code/CTF/VolgaVTF2026/login/vuln' Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) Stripped: No 用 int 0x80 实现的读写原语 1234567891011121314151617181920212223242526.text:00400054 read_stdin proc near ; C...

这道题其实不难，如果完整调试过高版本 _IO_FILE 利用链，这题自然不在话下，原理是相通的 比赛时已经能够劫持执行流了，但是就是不知道怎么在仅有 libevent 的情况下拿到 flag，赛后一看别人的 wp，结果 libc 相对 libevent 竟然是固定偏移，有 libc 的话就可以直接控 rsp 做 ROP 了。同门惊呼：“为何我本地它们的偏移不固定？” 有 libc 后也是很快本地跑通了，本文基于用 SU Team 提供的 docker 复现的结果撰写 比赛 repo: https://github.com/team-su/SUCTF-2026/tree/main 1 程序分析开了沙箱禁用 exec，并且保护全开 程序监听 8888/UDP 和 8889/TCP 端口，并分别设有处理函数 其中 TCP 连接的处理用到了 libevent 库，也是本题的主角 123456789101112131415161718192021222324252627int __fastcall main(int argc, const char **argv, ...

较为简单的 2 题，漏洞点都很明显，其中 bytecrusher 是签到题，message-store 是 Rust，需要费心思找 gadgets 1 bytecrusher给了源码，基本功能就是做 16 轮数据压缩，每一轮都是读最多 32 字节到 input_buf，然后根据输入的 rate 作为步长将 input_buf 中的数据拷贝到 crushed，然后输出 crushed，接着再读一段输入到 buf，结束 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596#include <stdio.h>#include <stdlib.h>#include <string.h>void admin_portal() { ...

1 题目信息 题目描述：Singled-threaded TFTP Server Open Source Freeware Windows/Unix for PXEBOOT, firmware load, support tsize, blksize, timeout, server port ranges, block number rollover for large files, and remote code execution.CVE 描述：Heap-based overflow vulnerability in TFTP Server SP 1.66 and earlier allows remote attackers to perform a denial of service or possibly execute arbitrary code via a long TFTP error packet, a different vulnerability than CVE-2008-2161. 题目提供了 opentftpd 二进制文件和 libc，...

1 程序分析64 位保护全开，libc 版本 2.23 12345678910111213(pwn)secreu@Vanilla:~/code/pwnable/babystack$ checksec --file=babystack[*] '/home/secreu/code/pwnable/babystack/babystack' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled RUNPATH: b'./' FORTIFY: Enabled(pwn)secreu@Vanilla:~/code/pwnable/babystack$ strings libc_64.so.6 | grep "GNU"GNU C Library (Ubuntu GLIBC 2.23-0ubunt...

第一次见这种架构的，大佬说不常见架构的题不会太难，主要是指令集有学习成本，记录一下 1 程序分析高通 DSP，32 位没开 PIE 123456789(pwn)secreu@Vanilla:~/code/LilacCTF2026/Gate-Way$ file pwnpwn: ELF 32-bit LSB executable, QUALCOMM DSP6, version 1 (SYSV), statically linked, stripped(pwn)secreu@Vanilla:~/code/LilacCTF2026/Gate-Way$ checksec --file=pwn[*] '/home/secreu/code/LilacCTF2026/Gate-Way/pwn' Arch: em_qdsp6-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (...

1 程序分析32 位，没开 PIE 且没有 Canary，libc 版本为 2.23 12345678910111213(pwn)secreu@Vanilla:~/code/pwnable/spirited_away$ checksec --file=spirited_away[*] '/home/secreu/code/pwnable/spirited_away/spirited_away' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8046000) RUNPATH: b'./' Stripped: No(pwn)secreu@Vanilla:~/code/pwnable/spirited_away$ strings libc_32.so.6 | grep "GNU&qu...

哎哎，赛后半小时才打通本地，第一次接触 off-by-null 题目给了 2 个 binary，libc 版本 2.31，咱们分开来看 1 Proxy1.1 程序分析用 IDA 打开，看 strings view 可以发现套了一层 UPX 壳，直接脱开 主函数监听本地 8888 端口，fork 子进程处理连接 分析 sub_2CAA，接收一个 TLV，格式如下 4 bytes 4 bytes left bytes command payload’s length payload 执行 command 前读 config.txt 得到 n 和 d 保存在 .bss 节上不同 command 功能如下 command function 0xFFFF2525 认证：按小端序接收一个数 x，快速模幂计算 $x^d\enspace\text{mod}\enspace n$，与字符串 ‘hack’ 的哈希进行比较，相同则返回 cookie 0x7F687985 转发：先验证 cookie，然后将 paylaod 剩下部分转发给本地 7777 端口 0x8...