本人大一萌新,第一次接触CTF,毫无基础,做题的时候也是一脸懵逼,只能边做边百度,也不知道要写WP,现在写起来还有些费劲,好多题目得重新再回顾一遍,也不知道WP该怎么写,所以大佬勿喷。
下面是对这次SUCTF我所做题的大概过程。
签到题
加个群公告里就有flag,毫无技术含量……
flag: suctf{Welc0me_t0_suCTF}
flag在哪?
这道题一上来就F12,然后一通乱找,在cookie里找到了
flag: suctf{Thi5_i5_a_baby_w3b}
编码
(题目里给的网址打不开了,只能凭印象了)
F12一通乱找能找到一个password的东西,一眼就看出来是base64编码,然后找个在线解码的,多次解码,弄出一个好像是Su233的东西,然后好像是在网址后面输个?password=Su233,然后flag就出来了
(忘了具体flag是啥了……)
XSS1
(题目里给的网址又打不开了,又只能凭印象了)
一开始完全不知道XSS是啥,百度走起,有好多XSS攻击的代码,在文本框里一个一个试嘛,最后试出来了。
(flag还是不知道是啥了)
PHP是世界上最好的语言
F12,看网页源代码发现这样一段
百度一通找md5值为0e开头的,然后接着百度,找到s878926199a
flag:suctf{PHP_!s_the_bEst_1anguage}
( ゜- ゜)つロ 乾杯~
第一眼以为是jsfuck,然后想着把中间那些奇怪的符号删掉,想想不会这样吧,然后无意间得知的了brainfuck的东西,然后误打误撞把这段代码放进console,弹出一段brainfuck的密文,找个在线解码就得到flag了
flag:suctf{aAenc0de_and_bra1nf**k}
最基础的安卓逆向题
对apk文件解压缩,文件夹里的.dex文件直接用记事本打开,我是直接查找suctf就找到了flag,好像有点投机取巧的味道
flag:suctf{Crack_Andr01d+50-3asy}
Mobile300
用apktool对apk文件反编译,在得到的文件夹里出现了一个smali文件夹,对其中的mainactivity的文件进行修改,然后回编译,签名,安装在手机上,得到flag
flag:suctf{Meet_jni_50_fun}
Misc-50
把动图放到ps里面会出现80个左右的图层,应该就是每一帧的图片吧,然后把它们全部拼起来,就得到了flag
flag:suctf{t6cV165qUpEnZVY8rX}
Forensic-100
把文件解压出来用记事本打开得到:fhpgs{CP9PuHsGx#}
看形式像是flag,由fhpgs对应suctf可以得,每个字符的ascii码+13,得到flag
flag:suctf{PC9ChUfTk#}
这不是客服的头像嘛。。。。23333
将图片解压,得到一个.img的文件,打开以后在Mac OS上好像正好是个磁盘文件,里面四张二维码的一角,拼起来扫一下就得到了flag
先利其器
用IDA打开文件,然后分别对main函数和flag函数F5一下,flag5函数得到如右图,一眼就知道是ASCII码,a[0]和a[1]在main函数里找到,翻译一下
flag:suctf{I_c@n_U5e_I6a}
凯撒大帝
将所给的一串数字拆分开来,猜测flag的ascii码即为这串数字,然后根据前五个字符为suctf可以推出将每个拆分后的数字+4,+4,+15,+15,+4,根据这个规律可以推出flag
flag:suctf{I_am_Caesar}
普莱费尔
将WW91IGFyZSBsdWNreQ==base64解码得:You are lucky。
然后根据普莱费尔密码的解密规则,推得flag
flag:suctf{charleswheatstone}
很贱蛋呀
不懂python,把python翻译成C语言,反复改key的大小,然后在结果中反复查找符合符合条件的情况,最后得到一串明文,然后md5加密一下
flag:suctf{Goodlucktobreakme}
