[开源] AutoRedTeam-Orchestrator - 给 AI 编辑器装上渗透测试工具箱

从 VCTF2025 ez_train学习torch.load反序列化绕过

前言

感觉挺有意思的一道题，赛后看了一下，这个题目主要考察了代码审计和 torch.load 在 weights_only=True 条件下的利用。

题目环境搭建

下载题目附件并解压，

题目直接给了 docker 环境，但是是 linux 环境的，为了方便待会调试这里按照题目版本去官网上下载一个 windows 版本的，

然后按照题目给的 requirements.txt 中的依赖进行下载，下载好后运行 server.py 启动，启动后如下，

这里还注意到题目在 text-generation-webui-3.13\user_data\training\datasets 目录中放了一些文件，一起复制过来。

题目分析

查看题目描述：

结合题目名称我们应该主要看 train 模块了，全局搜索发现就只有个 trianing.py 文件

然后像这类微调训练大模型的本地 web 应用比较耳熟能详的就是 torch.load 引起的反序列化漏洞了，而这个 training 中就恰好存在这个方法的调用，不难看出这里应该就是出题人的考点了，

这段代码大概意思是从 adapter_model.bin 加载 LoRA 的权重参数（只包含 LoRA，不包含基础模型），接着将加载的 LoRA 权重注入到当前的 lora_model 中，如果这个文件内容我们可以控制这里是不是就能进行反序列化了呢？

我们先看这个 {lora_file_path} 能不能控制，简单溯源一下，

发现 {lora_file_path} 是由 {Path(shared.args.lora_dir)} 和 {lora_file_path} 拼接而成的，{lora_file_path} 是 lora_name 的值，而这个 lora_name 的值其实就是我们训练时传入的参数，

至于 {Path(shared.args.lora_dir)} 的值我们调试发现为 user_data/loras 目录，是个固定值，

那么现在知道 {lora_file_path} 就一小部分能控制，感觉没什么用啊，而且还需要我们能把文件 adapter_model.bin 文件上传到这个目录下。

后面找了一圈没找到哪里可以上传，但是发现这个应用可以从 huggingface 远程下载 model，而且下载目录就在我们的 user_data/loras 下面吗。简单测试一下，这里填入“paulinsider/llamafactory-hack”，然后点击下载，

确实成功把文件下载到了我们要的目录。

那么这样思路就清晰了，我们就可以在远程 model 中放入恶意的 adapter_model.bin 文件，然后下载到本地，通过控制训练时的 lora_name 参数使得最后 torch.load 加载的文件是我们的恶意文件，

这里简单尝试一下，假设刚刚下载的 paulinsider_llamafactory-hack 目录下存在恶意 adapter_model.bin 文件，我们填写训练 lora_name 为 paulinsider_llamafactory-hack

点击训练后，看到成功使得 torch.load 的文件是我们能控制的文件了，

但是这里还是没法进行反序列化，因为这里得 lora_name 设置了weights_only 参数为 True。

torch.load 反序列化绕过

查看题目的requirements.txt 文件发现给的 torch 版本为 2.5.1，网上简单搜了下不难发现其实还是存在绕过方法的，

参考 https://i.blackhat.com/BH-USA-25/Presentations/US-25-Jian-Lishuo-Safe-Harbor-or-Hostile-Waters.pdf ，我们先看看这个 weights_only 的工作原理

生成个恶意的 pickle 反序列化文件

torch.load demo

进入 torch.load 中看到当 weights_only 为 true 时会调用到 _legacy_load 方法，

然后一直到 pickle_module.load 方法，

和正常的 pickle.load() 不一样，这里会调用到 Unpickler.load() 方法，这里面会依次读取字节，然后对每个字节进行判断，对全局变量和函数都有白名单进行限制

只能用白名单中提供的，

这个白名单是绕不过了，其中也没什么有用的，根据参考文章知道在 torch.load 中其实还调用了 torch.jit.load 方法，而且不受weights_only 参数影响，这个方法可以加载一个已经用 TorchScript 保存好的模型，用于直接推理（不需要原始 Python 代码）

所以现在关键是看怎么生成个恶意的 TorchScript 模型，这里面涉及到了 TorchScript 运算符的概念，根据参考文章知道作者是发现了 torch.save 最后可以调用到 aten::save 运算符实现写文件操作，所以最后生成恶意的 TorchScript 模型代码如下

这里注意到在 torch.load 代码下面还有个 newModule.items() 方法调用 ，这里是漏洞触发点，如果只返回了 TorchScript 模型对象是没办法触发到里面的 torch.save 方法，

回到题目，我们可以让adapter_model.bin 为恶意的 TorchScript 模型，然后我们还需要找下触发点，

看到返回 state_dict_peft 后调用了 set_peft_model_state_dict 方法进行处理，跟进这个 set_peft_model_state_dict ，把 state_dict_peft 赋值给了state_dict

后面又调用到了 _insert_adapter_name_into_state_dict

最后发现调用的还是 items 方法

所以直接用上面的 poc 就可以了，这里就直接把生成的恶意文件复制到 paulinsider_llamafactory-hack 目录下，然后和上面一下训练

成功实现写文件操作

查看题目给的 docker 文件不难发现最后应该是通过写定时任务实现 rce。

参考

https://i.blackhat.com/BH-USA-25/Presentations/US-25-Jian-Lishuo-Safe-Harbor-or-Hostile-Waters.pdf

https://github.com/ChaMd5Team/Venom-WP/blob/main/2025VenomCTF/2025_venomctf_web_ez_train.pdf

https://mp.weixin.qq.com/s/2VsxBTIiX5P8b16Rl1ylcA

第三届“数信杯”数据安全大赛数据安全个人赛初赛

数据安全

第四题

​

IDA打开程序

Base64解密即可，第六行数据

​

答案:716896198829037493

第五题

​

程序re1e97e14f是64位ELF可执行文件（Linux x86-64，stripped）。通过静态分析确定程序结构：

入口点_start位于0x401190，通过__libc_start_main调用main函数。main函数位于0x401579，负责文件读写和调用核心加密函数。核心加密函数sub_401276位于0x401276，实现三阶段加密处理。

程序执行流程：读取./info_81bedab.ori → 三阶段加密 → 输出./info_81bedab.ori.en

Stage A - 位运算变换（sub_401276内，地址0x4012FE~0x401360）：

Stage B - RWX自解密代码执行（sub_401276内，地址0x401360~0x401450）：

关键函数调用序列：

●0x401368: call malloc(0x1000) 申请4KB内存

●0x401380: call mprotect(page, 0x1000, 7) 设置RWX权限

●0x4013A0: 从.data段地址0x404060复制0x84(132)字节代码块到RWX页

● 0x4013B8: 获取密钥 state = (uint16_t)(buf + 0x339)

●0x4013D0: 循环调用RWX代码处理每个字节

0x84字节代码块结构（位于.data段0x404060）：

解密后的变换代码（key=0x6E72解密后）：

等效变换函数：

Stage C - 循环XOR（sub_401276内，地址0x401450~0x4014A0）：

解密算法：

Stage C逆操作：cipher XOR "e6911c24" → B[]

从B[0x339]=0xEB, B[0x33A]=0xAB约束搜索Stage B密钥，得到key=0x6E72

Stage B逆操作：通过逆映射表还原 → A[]

Stage A逆操作：A[i] >> 1 → plaintext[]

验证：A[0x339]=0x72, A[0x33A]=0x6E，与key一致

解密成功

答案:878052199921046799

第六题

题目给出一个SQLite数据库文件，提示在Freeblock空闲块中隐藏了自定义链表数据。首先连接数据库查询sys_config表获取三个关键配置：

●入口指针格式为"物理页号:偏移"，页号0x13B=315，偏移0x4F0=1264，该偏移已跳过Freeblock的4字节头部

●链表节点结构为大端序，NextPage占4字节，NextOff占2字节，Len占2字节

●加密方式为使用当前物理页号的大端4字节表示循环异或

SQLite文件头偏移16-17处读取页大小为4096字节。链表遍历算法：从入口页315偏移1264开始，读取8字节头部解析出NextPage、

NextOff、Len，然后读取Len字节的加密数据，用struct.pack('>I', current_page)生成4字节密钥循环XOR解密。当NextPage=0且

NextOff=0时链表结束。

解密拼接后得到完整SQL脚本：

执行该SQL查询得到container_id=CN2888991777，license_plate=粤B-52816，按题目要求提取container_id和license_plate后五位数字

用下划线连接。

答案:CN2888991777_52816

第七题

题目实现了一个存在漏洞的AES-CBC加密，核心代码如下：

漏洞在于hint泄露了key与message前16字节的异或值。

对于38字节的flag，自定义padding函数会在前面添加10个\x0a字节，得到48字节。PKCS7填充后变成64字节（4块）。

消息结构为：

●Block 0: \x0a*10 + flag[0:6]

●Block 1: flag[6:22]

●Block 2: flag[22:38]

●Block 3: \x10*16

由于flag[:5]=b'flag{'已知，只需爆破flag[5]一个字符即可恢复完整key。验证方法是检查解密后最后一块是否为\x10*16。

利用CBC模式特性，后续块使用前一块密文作为IV解密，可恢复完整flag。

答案:flag{IADMIN-TOP-18880101-7634567_2025}

第八题

题目提供损坏的RSA私钥key_pri.pem和加密用户数据encrypted_users.csv。解析私钥DER编码发现大量参数被零填充，属于"变异RSA"私钥恢

复问题。

私钥ASN.1结构解析：

从dp字段提取p的部分高位（496位已知，低48位为0）：

p_high =

0x9d025160d56d4971363f3cf2ce7e3e96215c50bf50d0cc606f5645de7ec113d16d931383e649bc2c7328499d219e2982b726ae41c5370

aa8000000000000

使用Coppersmith小根攻击恢复p的完整值。设p = p_high + x + y*2^496，其中x为低位未知部分（约48位），y为高位修正（约16位）。构

造格基，利用LLL算法求解满足p | n的小根。

cuso库求解代码：

恢复完整p =

0xf5e49d025160d56d4971363f3cf2ce7e3e96215c50bf50d0cc606f5645de7ec113d16d931383e649bc2c7328499d219e2982b726ae41c

5370aab851b8a28df37

验证：n mod p = 0，p为512位素数。计算q = n/p，d = e^(-1) mod (p-1)(q-1)，构建RSA私钥，使用PKCS1_OAEP解密查找目标记录。

答案:294_010880753296303612_5108757973927325

第九题

答案:S20251001

第十题

题目提供了三个文件：secret_image.png（隐写图片）、multimodal_model.pth（PyTorch模型权重）和stego_hint.txt（提示文件）。

根据提示文件，隐写规则如下：

1图片的R通道中隐藏了模型输入特征

2取图片左上角前20个像素的R值，计算 R值 mod 10 得到20维特征向量

3将20维特征输入MLP模型，输出数值四舍五入取整即为flag的ASCII码

4ASCII码转换为字符得到完整flag

关键点在于"左上角前20个像素"的取法：按扫描顺序取第一列从上到下的20个像素（x=0, y=0..19）。

模型结构为3层全连接神经网络（MLP）：20->64->32->27，使用ReLU激活函数。输出27维向量对应flag的27个字符。

答案:flag{A12I_shu1xin2bei_2025}

数据分析

数据应急

题目背景： 一家科技公司服务器被黑客入侵，重要文件被窃取并删除。需要根据系统自动备份的残存内容进行溯源分析。

第一题

三个文件全部导出

答案:HT-2025-001234

第二题

解压压缩包，得到一个内存镜像

非预期

直接搜索flag{

预期解

发现有C:\Program Files\TrueCrypt\TrueCrypt.exe

Elcomsoft Forensic Disk Decryptor挂载

加载内存镜像先搜索一下key

保存1.evk

成功挂载

答案:flag{33c3789a36bb61beb6d4268cd7d13038}

第三题

过滤响应200的包

最后一个包发现是exe程序

导出来看看

解包

找到一个exfiltrator_balanced.pyc

反编译

该程序是一个基于 ICMP 协议的隐蔽数据外带工具，通过将文件切分为 224 字节的数据块并伪装成 Windows Ping 流量发送。其核心安全机

制包含三个部分：
程序运行时会生成一个随机的 16 字节 CryptoSeed 和一个基于时间的 ScrambleSeed（用于乱序）。利用 PBKDF2-HMAC-SHA256 算

法，结合 CryptoSeed 和两组被混淆和硬编码的盐值（b'Bloodharbor!2024' 和 b'Silent_Update!!!'），迭代 10,000 次分别派生出两

层加密所需的 32 字节密钥。
每个数据块首先添加 4 字节大端序长度头，然后使用 ChaCha20-Poly1305 进行内层加密（Layer 1），输出包含 Nonce、密文和 Tag。接着

对 Layer 1 的完整结果使用 AES-256-GCM 进行外层加密（Layer 2），同样输出 Nonce、密文和 Tag，确保了数据的机密性与完整性。
程序首先发送包含种子的元数据块（以 EX1L 开头）。为了对抗流量分析，它利用 ScrambleSeed 初始化随机数生成器，对所有数据块的发

送顺序进行全随机打乱（Shuffle）。发送时，每个 ICMP 包的 Payload 前部填充 16 字节的伪造 Windows Ping 数据，并使用复杂的线性同

余算法生成伪随机的 ICMP ID 和序列号，使得流量在外观和统计特征上极难被识别。

打开流量包，发现流量包含有大量 ICMP 请求，其中部包含 EX1L 标志的 Payload，确认为数据外带。提取 EX1L 元数据块，获取 Crypto

Seed 和 Scramble Seed。加密机制为双层加密：首先是 ChaCha20-Poly1305 (Layer 1，带 4 字节长度头)，其次是 AES-GCM (Layer 2)。密

钥由 PBKDF2 基于 Crypto Seed 和硬编码盐值生成。数据块顺序经过混淆，需利用 Scramble Seed 初始化随机数生成器并还原顺序。编写脚

本提取 ICMP Payload，还原顺序并依次解密 Layer 2 和 Layer 1，拼接后得到一个 ZIP 文件。

解压得到100张图片

写一个脚本OCR识别18316978925

[+] 找到目标: person_086.png

答案:江苏省南京市鼓楼区西湖路200号梧桐里15栋4单元101室

数据分析

背景描述

随着维真科技(VerityTech)业务规模的不断扩张，公司积累了大量内部 PDF 文档，包括重要的研发资料、业务报告、内部制度说明等。在长期

的运作过程中，由于文档管理规范不完善、缺乏统一的安全策略，公司文档的安全风险逐渐显现。

近期，公司文档服务器遭遇未知勒索程序攻击。部分 PDF 文件被加密无法打开，系统中还出现可疑链接的文档，疑似为攻击入口。同时，安

全团队在受感染终端中提取到了一份可疑的可执行程序(exe 文件)，推测为勒索程序主体。

为了定位安全漏洞、恢复文档数据、查明攻击来源，公司启动了"文档安全事件分析"专项工作。本题给出攻击样本、加密文档及疑似钓鱼

PDF 文档，请你协助安全团队进行取证分析、密钥恢复、数据解密以及钓鱼链接识别。

相关信息

公司合法域名为：

其余域名均视为可疑链接，需重点审查。

第一题

通过file命令识别en.exe为Windows PE可执行文件，使用strings发现Python相关字符串，判断为PyInstaller打包程序。使用pyinstxtractor.py

解包后，在en.exe_extracted/key/目录下发现RSA密钥对文件pr.pem和public_key.pem。读取pr.pem文件内容，定位-----BEGIN PRIVATE

KEY-----标记位置，提取其后的32位字符即为答案。

答案:MIIEvgIBADANBgkqhkiG9w0BAQEFAASC

第二题

反编译

分析解包后的pyc文件，发现加密流程采用混合加密机制：使用RSA-OAEP(SHA256)加密AES密钥并保存到store.key，使用AES-256-ECB模

式对PDF文件进行加密。解密流程为：首先使用提取的RSA私钥pr.pem通过PKCS1_OAEP(SHA256)解密store.key获取AES密钥，然后使用

AES-ECB模式解密PDF文件并去除PKCS7填充，最后计算解密后文件的MD5值。

答案:52fd2cb4fc43eceb3c79233038bb5f42

第三题

使用PyMuPDF遍历999份解密后的PDF，提取PDF Annotation超链接中的URI。合法域名为veritytech.com及其子域名*.veritytech.com，排

除.local和.internal等内部域名后，筛选出所有指向外部非法域名的钓鱼URL。同时检查URL参数中的跳转地址（redirect/next/url等参数）。

过滤掉包含非ASCII字符的无效URL，将所有钓鱼URL按字典序升序排序后用逗号拼接，计算MD5值。

答案:0a16f1ca5e8db1270074d0d39f6edeaf

数据审计

背景描述

某公司运维团队在日常安全巡检过程中发现系统存在异常访问和潜在入侵迹象。经初步技术研判，问题可能与公司用于关键服务器相关。该

服务器被确认存在一定安全风险，但目前尚无法确定攻击者是否已成功获取其中的证书信息。

为进一步排查与分析潜在的数据泄漏情况，运维团队已导出该服务器的所有网络流量文件，请根据流量包文件分析并回答以下问题。

第一题

题目提供了params.csv文件，包含500组RSA参数（id, e, p, q）。需要根据id=285的参数合成RSA私钥，然后遍历所有pcap文件，提取TLS证

书中的公钥模数n，与id=285计算得到的n（n = p * q）进行匹配，找到对应的流量包。具体步骤：首先读取params.csv获取id=285的e、p、

q参数，计算n = p * q；然后遍历pcap文件，解析其中的X.509证书，提取RSA公钥的模数n；最后比对两个n值，相等则说明该pcap使用了

id=285对应的证书。

答案:mAqY0WRHsV.pcap

第二题

需要使用params.csv中的RSA参数生成私钥，然后用私钥解密TLS加密的流量包，获取HTTP明文数据。具体步骤：首先根据e、p、q计算私

钥参数d = e^(-1) mod (p-1)(q-1)，生成PEM格式私钥文件；然后遍历每个pcap文件，提取证书中的公钥模数n，匹配对应的私钥；使用

tshark配合私钥解密TLS流量，提取HTTP请求体；解密后的数据为POST请求到/api/v1/user/profile，请求体为hex编码的JSON，包含

username和phone字段；遍历所有解密结果，查找username为"王梅"的记录，获取其phone字段。

答案:13930079365

第三题

系统在请求包中设置了Authorization头部字段，使用JWT进行身份认证。JWT的payload中包含username和phone信息，而请求体中也包含

相同字段。越权访问的判断标准是：JWT中的用户信息与请求体中的用户信息不一致。具体步骤：解密所有流量包获取HTTP明文；提取

Authorization头部中的JWT token；JWT由三部分组成（header.payload.signature），对payload部分进行Base64URL解码获取JSON数

据；同时解析请求体中的hex编码JSON数据；比较JWT payload中的username和phone与请求体中的username和phone；若不一致则判定为

越权访问，统计越权账号总数。

答案:5