【Writeup】2017.9.16 问鼎杯(部分)

0x01 第一关

题目1-1

进入后发现问今天是哪一年,自然想到2017,然后又给了Year is not true,输入

http://url?year=2017

发现答案果然是错的。
推测这里的判断代码应该是php的弱类型比较,输入

http://url?year=2016.9999999999999

得到flag

题目1-2

是一个登陆框,第一时间想到是不是注入,试了试,发现过滤了很多东西,应该不是注入。
扫目录的时候发现有admin.php,但是提示说“You are not Harry Potter!”,应该是缺少类似管理员cookie的东西,但是右键看源码的时候发现了一个wdctffunction.js,内容为

function getSecret()
{
    key = "86a17069c75946be37f7fa085c0ae31e";
    $.ajax(
            {
                "type": "post",
                "dataType": "json",
                "data":{
                    "key":key
                },
                "contentType": "application/x-www-form-urlencoded; charset=utf-8",
                "url" : "./action.php?do=admin",
                "success": function(data)
                {
                    console.log(data);
                    var a = document.getElementsByName("secret")[0];
                    a.value=data;
                }
            });
}

分析其功能,应该是一个将管理员的key用json发送到服务器,那么就是说,只要我们抓取action?do=admin请求的包,将包的格式按照getSecret()修改,应该就能伪造成管理员了,把key post过去得到flag。

0x02 第二关

题目2-1

这道题题目是社工,根据提示,账户是邮箱,密码在博客里自己找,就将资料里所有看起来像密码的内容挨个试了一下,结果发现是车牌号。。。

题目2-2

根据题目描述,用户名是admin,让我们找出密码,那应该就是注入题了。
然后fuzz了一下,发现没有admin里过滤了单引号,password没有过滤单引号,但是过滤了sleep,benchmark函数,这里没有回显,应该是盲注,但是现在不满足盲注的条件呀,那么可能是在useraname框里?后来发现当用户名为admin的时候,password不对是显示Password error!,但是当用户名不是admin的时候会显示Username error!那么这个就是一个很好的盲注条件了。

userame = 'admin"^(ascii(substr((select(pass)from(users)))from(a)))=b)^"^1'

然后利用这种注入语句进行注入就可以了。最后得到password,登陆后,访问admin.php抓包得到flag。

0x03 第三关

题目3-1

这道题是个流量包,wireshark打开后,导出HTTP对象,发现了flag.rar



保存本地后,打开发现有密码。压缩包里就一个flag.txt,那么密码的线索应该不是压缩包本身,应该还在流量包里。继续wireshark打开,跟踪tcp流,发现在一个流中存在一段python代码。

# coding:utf-8

__author__ = 'YFP'

from Crypto import Random
from Crypto.Cipher import AES
import sys
import base64



IV = 'QWERTYUIOPASDFGH'


def decrypt(encrypted):

  aes = AES.new(IV, AES.MODE_CBC, IV)

  return aes.decrypt(encrypted)



def encrypt(message):

  length = 16

  count = len(message)

  padding = length - (count % length)

  message = message + '\0' * padding

  aes = AES.new(IV, AES.MODE_CBC, IV)

  return aes.encrypt(message)


str = 'this is a test'

example = encrypt(str)

print(decrypt(example))

发现是一个AES加解密的脚本,而且惊喜的发现,竟然连密钥也给了,但是,比较尴尬的是,竟然没有密文。。。。
继续看流量包

我们发现,在这段流中,是有很多linux命令操作的,其中观察到有个ls的操作,存在文件1,2,3,test,并且在后面每个文件cat了一下。文件1是flag.rar,文件2是是一串base64字符串,文件3是python脚本,文件test是"zhu ni cheng gong",那么很明显了,那个base64应该就是密文base64加密之后的字符串了,因此在脚本修改一下

# coding:utf-8

__author__ = 'YFP'

from Crypto import Random
from Crypto.Cipher import AES
import sys
import base64



IV = 'QWERTYUIOPASDFGH'


def decrypt(encrypted):

  aes = AES.new(IV, AES.MODE_CBC, IV)

  return aes.decrypt(encrypted)



def encrypt(message):

  length = 16

  count = len(message)

  padding = length - (count % length)

  message = message + '\0' * padding

  aes = AES.new(IV, AES.MODE_CBC, IV)

  return aes.encrypt(message)


# str = 'this is a test'

# example = encrypt(str)

# print(decrypt(example))

str = '19aaFYsQQKr+hVX6hl2smAUQ5a767TsULEUebWSajEo='

print(decrypt(base64.b64decode(str)))

得到密码,打开压缩包得到flag

题目3-2

这道题是个跳来跳去的gif,但是仔细观察后发现其中是有二维码的标识点的。用PS合成之后得到二维码,拖到在线网站解析,得到了一串十六进制的字符串,用winhex编辑之后发现是一个pyc文件,利用在线python反编译工具,得到了python代码

import random
import base64
key = 'ctf'
strr = '186,98,180,154,139,192,114,14,102,168,43,136,52,218,85,100,43'

def func1(str1, key):
    random.seed(key)
    str2 = ''
    for c in str1:
        str2 += str(ord(c) ^ random.randint(0, 255)) + ','
    
    str2 = str2.strip(',')
    return str2


def func2(str2, key):
    random.seed(key)
    str1 = ''
    for i in str2.split(','):
        i = int(i)
        str1 += chr(i ^ random.randint(0, 255))
    
    return str1

发现这里是一个加密和解密的两个函数,str应该是密文,key是密钥,在脚本后面添加

find = func2(strr, key)
print find

之后运行代码,得到flag。(这里有个巨坑啊,我自己用windows运行之后得到的是乱码,我队友在linux一运行,莫名地就出flag了,不是很懂这是为什么。。。)

0x04 第四关

题目4-1
这道题是一张图片,名字是画风不一样的喵。习惯性的直接binwalk一下,发现果然有东西,得到了一个tips.txt和两个看起来一模一样的图片day1.png和day2.png。tips中说

Although two days doing the same things, but day2 has a secret than day1

意思是说day2.png比day1.png多一下东西,用神奇stegsolve比较了一下两张图片,用day2 SUB day1发现确实多了一些类似条码的东西,推测可能是盲水印攻击,利用github的利用脚本(https://github.com/chishaxie/BlindWaterMark),发现真的成功了,得到了flag。

题目4-2
这道题是一段加密过后的密文,让我们解出明文(因为题目没有了,不能贴出密文了,比较可惜),尝试了一下基础的凯撒加密 、栅栏加密,发现都不是,就利用词频分析,就得到了flag。。(分享一波词频分析的网址https://quipqiup.com/

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,558评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,002评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,024评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,144评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,255评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,295评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,068评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,478评论 1 305
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,789评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,965评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,649评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,267评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,982评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,800评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,847评论 2 351

推荐阅读更多精彩内容