1、xgm(CRYPTO)

EB2EE5C1-C6F5-4800-B346-000E885A9405.png

似乎是RSA？❌
发现n1 n2是相同的，查阅资料https://www.jianshu.com/p/1dff3eba348f 发现 是共模攻击
隐含条件是：明文m相同

• assert 断言，条件为false的时候触发

x : no libnum

04.01

2、王晓明的日记（社工）

• bugku字典生成
• 需重新安装burpsuite
  参考https://www.sqlsec.com/2019/11/macbp.html#toc-heading-1
  还未实现

3、简单个人信息搜集

无任何信息 需要密码，查阅是伪加密
zip
504B，第二个，后面的09改为00
windows txt打开，Mac是乱码
[
在哈尔滨市阿城区胜利街六委十三组 有个叫杜甫的你能把他的手机号找到吗？
flag格式 flag{手机号}
]
看wp，原本使用的社工库不能用了

04.02

1、sign in

*下载网易MuMu模拟器
输入密码，报错关键字【Try again】
安装apktool
.apk改为.zip 再解压
有了.dex

image.png

安装jd-gui

止步于[它说我没Java环境]
在H4lo(划重点！！)师傅的帮助下 直接打开jar文件，🉑️用
搜索Try again

7BCF36F2-DDF0-4C63-9D8D-FCA98C30D446.png

源码

0867156C-0F63-4BC6-BFF4-E76F523C4FBE.png

查阅wp发现 2131427360 是一个资源分配管理的id

E6BD54D3-084E-435F-9887-23721F4D9DD7.png

它管理的地方在strings.xml里面

82EBF620-69CE-4140-B645-B028C06B638D.png

按理应该在values中，但是没找到，作罢，放弃 💩

04.03

[mobile1]模拟器中安装失败？？？
[mobile2] xml中？？？

1、First_mobile

sh d2j-dex2jar.sh classes.dex

调用了encode

C0B93DA7-A995-4CA6-A247-548444863B39.png

是一个加密（编码的函数），输出的是bool型，判断其是否相等。

AC72983B-3F7A-45B0-84E9-A7CC297712CA.png

根据其写出解密函数

2、HelloSmali2

java源码，类似base64解密

41DE8CFA-5504-464C-869A-A72388BE6D37.png

javac //编译 得到.class
java //运行

得到eM_5m4Li_i4_Ea5y

3、baby unity3d(N1CTF)

参考https://github.com/Nu1LCTF/n1ctf-2018/blob/master/writeups/reverse/baby%20unity3d/writeup.md

没实现
思路是：
global-metadata.dat 被加密了
找到解密函数，解密
再用Il2CppDumper来恢复libil2cpp.so中的符号
然后是aes

04.07

1、fake func

???
https://www.52pojie.cn/thread-820158-1-1.html

04.11

1、extract 变量覆盖

extract()漏洞：冲突的时候，引入新的变量，覆盖原来的变量，
trim（）函数，移除字符串两侧的空白字符或预定字符

320D62A0-8DEE-434A-AC1C-D07D40669280.png

[需要把值设置为空才可，不明白为什么]

2、strcmp 比较字符串

在php5.3之前🉑️用数组绕过验证,即如果输入的不是字符串，会返回0

3、urldecode二次编码

eregi是不区分大小的正则匹配
GET本身就有一次url解码的功能
第一次 url编码 在burpsuite中
第二次 把第一的百分号进行编码
%2568%2561%2563%256b%2565%2572%2544%254a

04.12

1、MD5

思路1:寻找碰撞
思路2:字符变为数组

04.13

1、sha（）函数比较绕过

var_dump用于输出变量的相关信息

C4C56B83-D753-48B7-A07C-E8DC2CFF4A78.png

仍然是利用数组

2、md5碰撞

240610708和QNKCDZO

C676CC5E-3BFC-42CA-BE55-532A8F30EB95.png

1E55A419-6102-4F19-968A-68565F516651.png

F407E0DC-5EBD-4987-B22E-900A6C316DA3.png

DD4351B2-C20A-471D-B80B-51DAB6874F1B.png

实际上是不相同的，但是对于0e开头的，它都判断为0，所以就认为他们两个是相等的了

3、16进制与数字比较

2BBEE0F3-0738-4D86-A01A-E488D743A076.png

04.21

1、ereg正则截断

• strpos(string,find,[start])，找到find再string中的位置，从start开始搜索
• ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。

C2D73529-8EBA-437C-BAA5-C30D75F82DB1.png

1、需要保证password必须是字母或数字

15A92965-D605-40A6-9988-2D80A64B4D5C.png

方法1：直接使用数组就可以绕过，并且数组绕过的时候不需要保证password>9999..99

方法2:参考别人构造的 ?password=1e9%00-

%00截断ereg, 1e9满足数值长度的限制
** -满足存在- 【其实不明白为什么要加 “”，但是如果去掉会报错】

569EA917-AD26-466C-B865-17D22AC9EB6A.png

2、strpos数组绕过

DC6ED003-A4C7-452D-8654-03F0714BF1F8.png

根据我18天的经验，尝试数组绕过
http://123.206.87.240:9009/15.php?ctf[]=111
成功！！

3、数字验证正则绕过

• preg_match 用于执行一个正则表达式匹配
  post password 位数<12即可？？不懂为啥

参考
https://blog.csdn.net/qq_39629343/article/details/80141021

https://www.jianshu.com/p/bd944f7c87b6

WEB

04.22

1、过狗一句话

...怎么题都被删了啊...

1、字符？正则？

• preg_match ()用法，用于执行一个[正则表达式匹配]（昨天的3）

  
  
  454A4687-5D50-48B9-8351-712EA7DEC38B.png

• trim 移除字符串两侧的字符或预定的字符

• 正则表达式总结 https://blog.csdn.net/qq_26090065/article/details/81606045

04.30

1、字符？正则？

接上题
正则表达式总结 见上

id=keykeyaaaakey:/a/keya:

D5A0F6F8-3E4A-4540-AA5E-144EB98EC9EF.png

图上的问号可能不算标点符号？改为冒号和逗号均可

前女友的题打不开了，百度发现是数组截断

2、login1

提示是约束攻击

D6494BEB-4C3C-4160-B144-AC129EAB4C65.png

自己注册admin（空格）账号

3、你从哪里来

burpsuite 修改HTTP Referer (wp说是修改，但是我没这个，就加上了)

EE6C76AF-DCE9-467E-856A-25970CD90B66.png

4、md5碰撞

常见的碰撞见代码
https://blog.csdn.net/qq_39629343/article/details/80696263

就这？就这？就这？？？

5、请从本地访问

9A595990-77D2-4622-B00D-F9493D29EC7C.png

6、各种绕过

BD143AAC-6C6A-4F56-ABE2-027D9DFEF378.png

有点类似于 代码审计？？