周四下午之后因为各种原因 AFK 了，等有空再回来的时候，大家已经陆续在分享各自的 writeup 了。阅读了一下赛博厨房 Level 3 的官方题解、以及另外两位 dalao mcfx & 4qwerty7 的题解（膜拜），发现自己做是非预期，于是也记录分享一下。

Level 0 和 1 我的做法和大家类似。在解 Level 2 时，我从 js map 恢复了前端代码，对题目生成随机种子和菜谱的方法进行了分析。抓包测试发现后端并不会对每一条程序进行合法性分析，于是我选择的是类似官方题解的方法，但是只生成 127 条固定的程序，最后一条直接枚举爆破递增的数字，就等菜谱落到我会做的范围。个人感觉不用修改程序容易一些，它们的 hash 也不用重复计算。 至于 Level 3，爆破肯定是不可行的。鉴于本题在前端使用 TypeScript 封装了大量的模型和方法，推测前后端可能存在代码复用，即后端也使用的是 NodeJS。那么会不会存在一些类型上的问题呢？

让我们来以 Level 1 为例，看一下提交答案的请求：

后端读取要执行的程序，大概是类似这样的代码：req.body.programs[req.body.executions[0]]。

现在试试把 programs 从数组改成对象：

后端没有报什么大错，反而是非常贴心地告诉我们 seed 不对。把请求中的 seed 修正之后，顺利得到 Level 1 的 flag。

这个 e3b0... 是哪里来的呢？搜一下就能发现，它是空字符串的 sha256。看一下前端的计算方法就知道了：

public getInstrsHashes(programs: Array<string>) {
    let hashes = [];
    for (let i = 0; i < programs.length; i++) {
        const content = programs[i].trim();
        const hash = CryptoJS.SHA256(content).toString(CryptoJS.enc.Hex);
        hashes.push(hash);
    }
    let hashesConcat = hashes.join('\n');
    return CryptoJS.SHA256(hashesConcat).toString(CryptoJS.enc.Hex);
}

现在 programs 是个对象，programs.length为 undefined，0<undefined为假，于是并不会进入循环，最后一次 sha256 的输入就是空串。（当然乐意的话也可以给 programs 随意加个 length）

有了固定的 seed，意味着固定的菜谱，后面怎么做就不用多说了吧。