第15题终于落下帷幕，

长舒一口气，来看看15题过后的排名：

第15题作者brichfire 以被8人攻破的成绩位列第8名。

第15题过后，攻击方排名如下：

最后一题已结束，排名初步确定。

我们会在明天公布获奖名单~敬请期待哦！

题目类型：智能硬件

验证程序作为子系统启动后运行的第一个用户程序，认证用户输入的密码，通过认证后输出flag，攻击者提交该flag即可。此外攻击者想进入系统还得进行exploit，通过对第二次输入简单的解码运算得到busybox程序的参数，只要解码后得到sh，即可执行shell，进入系统。

验证程序藏在a9rootfs文件系统中，该文件系统为ext3格式，可以将文件系统挂载到本地目录，验证程序所在路径为bin/sh。

验证程序所用的加解密算法是变型的hex编解码算法，除了原始的hex编码，还增加了4种变型，将这4种变型叠加使用，对输入进行解码操作，得到的密文结果与校验值匹配，匹配成功后才对flag进行解密，flag解密所用的秘钥是输入运算得到，如果通过修改程序跳转流程，那么解密所用的秘钥将是错误的。

操作系统：ubuntu 16.04 32位

软件：qemu-system-arm 2.10版本，pediy_ctf_2018.tar.gz压缩包内的三个文件

Uboot的目标板：vexpress-a9

Uboot的内存：128M

Qemu uboot引导命令1：qemu-system-arm -M vexpress-a9 -m 128M -dtbvexpress-v2p-ca9.dtb -kernel zImage -append "root=/dev/mmcblk0 rw"-sd a9rootfs （有图形化界面）

Qemu uboot引导命令2：qemu-system-arm -M vexpress-a9 -m 128M -dtbvexpress-v2p-ca9.dtb -kernel zImage -nographic -append "root=/dev/mmcblk0rw console=ttyAMA0" -sd a9rootfs （无图形化界面）

1、分析a9rootfs的文件系统类型，将a9rootfs文件系统挂载到磁盘上的目录：sudo mount -t ext3 a9rootfs tmpfs/ -o loop

2、分析tmpfs文件系统中的文件，根据文件修改时间、或者对系统启动的理解，猜想认证程序可能是bash或者sh，系统中没有bash文件，故取出tmpfs/目录中的bin/sh文件

3、对bin/sh文件进行逆向分析，当然也可以用qemu-arm用户态模式动态调试，该程序静态编译，已经不再依赖其它动态库，因此无需再指定arm的libc库。

4、逆向写出求解算法，需要写出2个变型hex编码、2个变型hex解码和1个数组xor解码的子函数，再将这些函数有序组成解密函数，运行得到需要输入的password

5、运行子系统，输入正确的password，系统输出flag，如下图所所示

6、提交flag：B1732120572455BAFD30F062F9C49A8A996A8A9DDB4283

本解析来自看雪论坛 

题目给出了一个完整的qemu环境。

跑起来看看，发现要输入key。

于是先定位这个要求输入key的程序。

把sh载入IDA分析，搜字符串，找到入口点为0x11374，如下图。

动态调试即可发现满足break出while循环那个条件即为正解。

主要的加密函数就是图中标注的hash2。如下图，函数功能比较简单，基本就是unhex和enhex，结合简单的单表替换，故均可逆。

func1比较冗长，动态调试发现好像没干什么事，就此忽略。

于是编写出这些编码函数的解码函数，

得到答案为2018ctf0520pediy1314yyp，提交发现不对。然后再动态跑一下，输入这个key，

提交B1732120572455BAFD30F062F9C49A8A996A8A9DDB4283对了。

这里看起来是可以通过busybox执行命令了，对应逻辑如图。

CTF 旗帜已经升起，等你来战！

扫描二维码，立即参战！

✎看雪.京东 2018 CTF 

看雪2018安全开发者峰会

2018年7月21日，拥有18年悠久历史的老牌安全技术社区——看雪学院联手国内最大开发者社区CSDN，倾力打造一场技术干货的饕餮盛宴——2018 安全开发者峰会，将在国家会议中心隆重举行。会议面向开发者、安全人员及高端技术从业人员，是国内开发者与安全人才的年度盛事。此外峰会将展现当前最新、最前沿技术成果，汇聚年度最强实践案例，为中国软件开发者们呈献了一份年度技术实战解析全景图。

戳下图↓，立即购票！