掌控安全CTF-2024年8月擂台赛-ez_misc

已于 2024-08-28 17:25:57 修改
阅读量152 收藏
点赞数 2
文章标签: 安全 网络安全 python
于 2024-08-28 17:21:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ASD830/article/details/141645365
版权

题解:

题目给了一个流量包和一个加密的zip文件,我们首先打开流量包,很多流量,查看一下http协议,发现是个sql靶场,找到关键字样flag,得到一串字符:

LJWXQ2C2GN2DAYKHNR5FQMTMPJMDERTGLJWUM4S2KY4W2YSHIZXGMUJ5HU======
 

base16解密后得到:ZmxhZ3t0aGlzX2lzX2FfZmFrZV9mbGFnfQ==
base64解密后得到:flag{this_is_a_fake_flag}
 

再往下我们又会找到rsa.txt
 

 

n= 43489217925558007563636756391400797378149529574751021903496069282535133839006866223260410550599538413407426964614588006275007400246991078260390312195904589721338428085434172399719461589261992218665591773334129943107225575727780195166055393685218448420720438980410624810057704307625828329627767464148252758001
e= 65537
c= 36130878068248402738560299131646475603724825552357501315563339107931689677118969949120034243479180229973732010106235105382800417726466593880006557216051126730665469539293176332289284136350093429079449794175396650185724862085491944146833903655679903611518298996520196270292730040114431445396188731766010616304
 

#exp(考察点:n是p的r次方)
import libnum
import gmpy2
n= 43489217925558007563636756391400797378149529574751021903496069282535133839006866223260410550599538413407426964614588006275007400246991078260390312195904589721338428085434172399719461589261992218665591773334129943107225575727780195166055393685218448420720438980410624810057704307625828329627767464148252758001
e= 65537
c= 36130878068248402738560299131646475603724825552357501315563339107931689677118969949120034243479180229973732010106235105382800417726466593880006557216051126730665469539293176332289284136350093429079449794175396650185724862085491944146833903655679903611518298996520196270292730040114431445396188731766010616304
#分解n
# #yafu-x64.exe
p=81207361375222669491316104953044746246400146737625592406724026490508197814501
phi_n=p**4-p**3
#求逆元
d=libnum.invmod(e,phi_n)
m=pow(c,d,n)
print("m=",m)
#数字转字节,转字符串
print(libnum.n2s(int(m)).decode())
 

运行后得到:flag{the_password_is_zkaq!!!}
 

用得到的密码(the_password_is_zkaq!!!)去解密 最后的秘密.zip 压缩包,可以得到一个key.txt和一个加密的flag.zip
 

 
 
key.txt内容如下:
 
 
FGVAGVAFGDAX
 

 

这里我们没啥信息可用的了,返回去看看 最后的秘密.zip 压缩包有注释(我最喜欢和超人一起下棋了,哈哈哈哈哈哈!!!!!)
 

我们就可以猜测为棋盘解密,找个解密网站(棋盘密码在线加密解密 - 千千秀字
 

发现需要密钥,超人超人,猜测为“superman”,解密成功得到新的key:s1mple
 

 

然后使用新的key:s1mple去解密flag.zip,得到最终的flag:flag{i_L0ve_th3_w0rLd}
 

恭喜你,小师傅!!!找到了通往大千世界的旗帜,请提交你的旗帜,然后继续环游世界吧!
flag{i_L0ve_th3_w0rLd}

                

        

        

    




    

      

        

            

              
                
                  R3de3m
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
CTF-misc工具2-CTF-Tools-masterV1.3.7

				
			

			

				

					08-17
				

			

		

		

			
				
该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码...

			
		

	



                

              
                



	

		

			

				
					
CTF-MISC关于各类编码习题(湖工商扛把子)

				
			

			

				

					03-17
				

			

		

		

			
				
网络安全领域,尤其是Capture The Flag (CTF)竞赛中,Miscellaneous(杂项)部分常常涉及到各种编码问题。这类题目通常测试参赛者对不同编码格式的理解和应用能力,包括但不限于ASCII、Unicode、Base64、Hex、URL...

			
		

	



                


  
              

                


	

		

			

				
					
掌控安全CTF-20245擂台赛-WP(部分)

				
			

			

				

					ASD830的博客
				

				

					05-27
					
					1410
					
				

			

		

		

			
				
如果实在没看到的话(或者扫不出来),可以放stegsolve里面看看,red plane 3,够清晰了吧哈哈哈。

			
		

	





	

		

			

				
					
青少CTF擂台挑战赛 2024 #Round 1-MISC

				
			

			

				

					weixin_62467741的博客
				

				

					03-02
					
					1720
					
				

			

		

		

			
				
1.得到的zip显示加密,伪加密,使用010打开修改两个部分改为00,得到jpg和txt,foremost分离一下jpg可以得到zip包,同时zip包的末尾还有一个jpg(需要手撕),zip需要密钥解压,在jpg的末尾发现一段base64,解码后提示密钥中字符部分都是小写字母。2.将得到的22.txt中的十六进制转化为字符串,发现文件尾为zip包文件的文件头每个字节位置颠倒后的结果,直接先两位颠倒再逆序整体十六进制,得到最后的zip文件。最后将包个头交了就对了。# 删除每行倒数十个字符。

			
		

	



		

			
		



	

		

			

				
					
[青少CTF擂台挑战赛 2024 #Round] Misc 1ez_model

				
			

			

				

					Jay17的博客
				

				

					03-04
					
					603
					
				

			

		

		

			
				
[青少CTF擂台挑战赛 2024 #Round] Misc 1ez_model

			
		

	





	

		

			

				
					
2024掌控安全-五擂台赛 WriteUp

				
			

			

				

					zkaq7777777的博客
				

				

					05-29
					
					2079
					
				

			

		

		

			
				
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

			
		

	





	

		

			

				
					
青少CTF擂台挑战赛 2024 #Round 1

				
			

			

				

					weixin_70928309的博客
				

				

					04-16
					
					787
					
				

			

		

		

			
				
最后发现这么一堆,好样的,上网搜了一下,emmm,eval钩子,直接eval换成echo就可,然后解出来是这么个反序列化呜呜呜,又是反序列化。Vs加python跑傻了,两台kali都跑错了,哎,蚌埠住了,跑了一个小时。这,不是,我为什么回到了一之前做题,一个时间盲注脚本即可跑出来。题目显示xxe漏洞,还给了版本号,直接搜一下,啊,公开wp?看出来后面三个是iife,根据我所知道的英文,直接猜life。解出情况中写了题目名称后面真的不想写了,累死了,第一层,我直接010打开,然后熟悉的base系列。

			
		

	





	

		

			

				
					
青少CTF擂台挑战赛 2024 #Round 1 PK You!战队 WriteUp

				
			

			

				

					2301_79744960的博客
				

				

					03-02
					
					1988
					
				

			

		

		

			
				
青少CTF擂台挑战赛 2024 #Round 1 PK You!战队 WriteUp

			
		

	





	

		

			

				
					
ISCC 2024 部分wp

				
			

			

				

					焦虑的焦虑
				

				

					05-25
					
					5969
					
				

			

		

		

			
				
ISCC 2024 部分wp

			
		

	





	

		

			

				
					
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_

				
			

			

				

					10-01
				

			

		

		

			
				
CTF常用小工具你值得拥有那个。。。。111

			
		

	





	

		

			

				
					
CTF-字符串编码识别工具,网络安全CTF比赛的好帮手!

				
			

			

				

					06-10
				

			

		

		

			
				
网络安全领域,特别是参与Capture The Flag (CTF)竞赛时,了解和掌握各种字符串编码识别工具至关重要。CTF比赛通常包含多种类型的问题,其中MISCMiscellaneous)题型涉及广泛,包括密码学、逆向工程、取证分析等...

			
		

	





	

		

			

				
					
终端防火墙软件功能 | 在终端设备上启用防火墙!终端安全小课堂开讲啦

				
			

			

				

					2401_86434954的博客
				

				

					08-24
					
					465
					
				

			

		

		

			
				
终端设备的安全性直接关系到企业的整体网络安全,随着网络威胁的日益复杂和多样化,启用并合理配置终端防火墙软件是保障终端安全不可或缺的一环。今天,我们将走进终端安全小课堂,详细解析中的防火墙功能,为您揭开其保护终端安全的神秘面纱。

			
		

	





	

		

			

				
					
医院建筑的电气设计——保障医疗质量与安全的坚固基石

				
			

			

				

					acrel002的博客
				

				

					08-28
					
					251
					
				

			

		

		

			
				
特别是那些与患者生命息息相关的1、2类场所,如急诊抢救室、手术室、重症监护室等,其供电系统更是被赋予了“特别重要负荷”的标签,要求在极短的时间内恢复供电,以确保医疗活动的连续性和患者的安全。随着一批批新建医院及既有医院的华丽蜕变,从社区医院到综合医院,再到医疗城、医疗集聚区的崛起,不仅彰显了政府对民生健康的深切关怀,也预示着我国医疗体系正迈向智能化、高效化的新时代。医院,作为生命与健康的守护者,其内部布满了各式各样的精密医疗设备与电子仪器,这些设备的稳定运行高度依赖于稳定、可靠的电力供应。

			
		

	





	

		

			

				
					
《云原生安全攻防》-- K8s攻击案例:组件未授权访问导致集群入侵

				
			

			

				

					
				

				

					08-27
					
					277
					
				

			

		

		

			
				
在本节课程中,我们将一起探讨K8s组件未授权访问导致集群入侵的攻击案例。K8s的组件的配置不安全,就有可能存在未授权访问的安全风险。如果攻击者能够成功进行未授权访问,就有可能导致整个集群节点遭受入侵。在这个课程中,我们将学习以下内容:K8s组件未授权访问:常见的K8s组件未授权访问漏洞介绍。K8s组件未授权攻击案例:深入分析K8s组件未授权访问的攻击案例。我们将重点介绍以下几个常见的组件未授权访问...

			
		

	





	

		

			

				
					
“北京地铁系统中人脸识别技术的安全与效率问题研究”

					
最新发布

				
			

			

				

					matlabgoodboy的博客
				

				

					08-28
					
					280
					
				

			

		

		

			
				
综上所述,北京地铁系统中人脸识别技术的应用在提高安检和售检票效率方面具有显著优势,但同时也面临着数据隐私保护和滥用风险等安全问题。为了充分发挥人脸识别技术的优势并降低其风险,需要建立健全的法律法规和监管机制,并不断优化技术算法和管理手段。

			
		

	





	

		

			

				
					
Metasploit漏洞利用系列(十):MSF渗透测试 - 震网三代(远程快捷方式漏洞)实战

				
			

			

				

					2402_86373248的博客
				

				

					08-24
					
					727
					
				

			

		

		

			
				
在本系列的第十篇中,我们将深入探讨如何利用Metasploit Framework (MSF) 来利用著名的震网三代(Stuxnet三代)中的一个远程快捷方式漏洞(LNK漏洞)。虽然“震网三代”并非官方术语,而是为了描述一个类似震网蠕虫的高级威胁,但我们将以此为背景,探索利用Windows快捷方式(LNK)文件的漏洞进行渗透测试的技术细节。漏洞描述:想象一个虚构的场景,其中存在一个类似于CVE-2017-8464的LNK漏洞,允许攻击者通过恶意快捷方式文件在受害者计算机上执行任意代码,无需用户交互。

			
		

	





	

		

			

				
					
【奇某信-注册/登录安全分析报告】

				
			

			

				

					
				

				

					08-24
					
					950
					
				

			

		

		

			
				
奇某信作为安全领域的巨头,创始团队来自奇虎360, 具备不凡的实力, 专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务,但在验证方面不够重视用户体验, 采用的还是老一代的图形验证码已经落伍了,按传统手法,对图形增加了干扰和扭曲, 导致用户体验很差,但在AI普及的今天,简单的图形验证码被识别变得非常容易导致安全隐患, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“

			
		

	





	

		

			

				
					
【终端IDPS】开源安全平台Wazuh之Wazuh Server

				
			

			

				

					不断学习,不断进步。
				

				

					08-28
					
					872
					
				

			

		

		

			
				
Wazuh是一个开源的、免费的企业级安全监控解决方案,专注于威胁检测、完整性监控、事件响应和合规性。它由部署在受监控系统的端点安全代理和管理服务器组成,服务器收集并分析代理收集的数据。Wazuh支持多平台,包括Windows、Linux、macOS、HP-UX、Solaris和AIX,能够跨场所、虚拟化、容器化和基于云的环境保护工作负载 。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值