2021-05 ISCC竞赛

最新推荐文章于 2024-05-30 16:26:03 发布
最新推荐文章于 2024-05-30 16:26:03 发布
阅读量4.7k 收藏 63
点赞数 9
分类专栏: 信息安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53146110/article/details/117173805
版权

2021-05 ISCC竞赛 练武题

 

        这次的ISCC比赛,还是我参加的第一个网络安全方面的竞赛,会的东西不多,碰运气的成分有不少。这里写几个已经解出来的题目。

目录

2021-05 ISCC竞赛 练武题

WEB第一题:ISCC客服冲冲冲(一)

WEB第二题:这是啥

MISC第一题:李华的红包

MISC第二题:Retrieve the passcode

MISC第四题:海市蜃楼-1

MISC第五题:美人计

       就先从WEB的两道五十分的题开刀吧。

 

WEB第一题:ISCC客服冲冲冲(一)

 

        还是挺有意思的一道题。点击链接进入题目入口,会发现两个客服,左边是真客服“ISSC客服一号”,右边是假客服“1SCC客服一号”。这个题的目的是要让前者,也就是那个真的客服赢得投票。但是一打开链接,就会发现假客服的投票数在随着20秒的倒计时的减少而飙升,投票按钮也是真的,看来是有脚本在点假客服的投票按钮。我还闲着没事试了一下跟脚本拼拼“手速”,惨败。

        显然,倒计时结束后,如果左边客服投票数没有右边多,就拿不到flag。

        我的想法很简单,让脚本点击的投票按钮换一下就行了。不管脚本,改源代码,骗一骗这个脚本。

        进入题目入口后,马上点击F12查看源代码,倒计时会暂停。

(忽略右下角的猫)

        展开投票模块,可以看到两个类,“left_Block”和“right_Block”,展开后将下图红色小方框里id后面的“left_button”和“right_button”对调一下就好了。

        改完之后效果是这样,换成左边的投票数随着倒计时的减少而飙升了。

        倒计时结束弹出对话框:

 

WEB第二题:这是啥

        这是一个比较简单的题目。点击链接进入题目入口,整个页面就这么点内容:

        习惯性先按F12查看源代码:

        直接点三个点展开内容,发现一堆jother编码:

        直接把这些代码复制下来粘贴到控制台,按下回车,完成。

        这里需要注意flag格式,在公告里得知,iscc需要改成大写:

 

        接下来是杂项。

 

MISC第一题:李华的红包

        去年高考都没碰见李华,好不容易碰见又要给他解决问题。。

        附件下载下来,是一张图片,考察的是图片隐写。

        想拿到这个图片隐藏的信息,这一个软件就够了。

        用它打开图片:

        想看看是不是色道隐写,直接按左或右箭头看了几轮,没有有效信息。

        然后试了试是不是LSB最低有效位隐写,把滚轮拖着看了看,还是没有有效信息。

        那就看看文件信息。这里有点东西:

        敲击码!

        比较短,直接对照着敲击码对照表找字母就完了。

        把这些敲击码解出来是ISSCBFS,套上个ISSC{}提交就行了。

 

MISC第二题:Retrieve the passcode

        题目名字是检索密码,scatter是分散。下载附件,是个压缩包,查看压缩包,有一个txt文件和压缩包,压缩包解压需要密码,txt文件里是一堆比例。

         对于这个txt内容和scatter这个词,可以想到散点图。起初不知道怎么做,后来有学姐指导才知道了怎么做。可以写个python做,但是我不会T_T,我试了一下用excel表格做,太耗时间了。散点图这个样子:

         这六位数想必就是另外一个压缩包的密码。输入,打开PDF,看到一个显示器,显示器底座显然是个摩斯密码:

         网上找个解码网站解一下:

         把内容转成小写,再套上个ISCC{},完成。

 

MISC第四题:海市蜃楼-1

         先把附件下载下来,有一个名为“mirage-1"的zip文件。打开,有一个名为”海市蜃楼-1“的文档。打开文档看看:

 

        文档好多页,但是最亮眼的莫过于开头这个PK。这个题直接把文档格式改成zip就行,但是这里我还是放进010editor看了一眼:

        果然,这个文件头是zip的。直接转成zip文件,再查看压缩包:

        再打开文件夹,都是XML文档。拿记事本打开这些XML文档翻了半天,终于找到了flag。

 

MISC第五题:美人计

         下载附件,得到一个压缩包,内含这两个东西:

        先看看Word文档,有一个二维码: 

         这里就用得到我的这只小猫了:

        扫描二维码,结果是这样的:

        看末尾的等号像是Base64,但是里面的符号有说明不是Base64。先看看那张图片吧。

        顺手塞进Stegsolve,首先尝试按照解MISC第一题时的两个步骤,看看是不是色道隐写和LSB最低有效位隐写,然而毫无建树。然后还是在文件信息里看到了有效信息。

        我又试着右击图片看了一下属性,详细信息里传达了同样的信息:

        这里关键信息有两个,AES和ISCC2021。AES是一种加密方式,这种加密方式解密需要密码,而ISCC2021想必就是密码了。把刚刚二维码扫出来的那一堆编码找个解密网站解一下:

       。。。。。。

       再试几次:

       。。。。。。

       把图片和文档放进010editor看一看:

       图片文件头没毛病,看看Word文档的:

 

       这不是zip的文件头吗!

       改格式,转成zip,查看压缩包,里面又是好多XML文档。

       动手翻一翻,发现在media里有两张二维码:

        第二张是和刚刚那个文档里一模一样的二维码,扫过了上过当了就不先管它了,扫第一个。

       再在解码网站里用AES试一下,解不出来。果然,

       反反复复,多么痛的领悟。。

       既然还有ISCC2021这个密钥,那就把其他几个对称加密解密工具也试试吧。果然,用DES就解出来了。

 

 

        题就解到这里了。虽然感觉收获挺大的,但是还是只是收获了一些皮毛。 期待下一次尝试。

6767陆七
关注
  • 9
    点赞
  • 63
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
2023年第20届信息安全与对抗技术竞赛
ISCC_2023的博客
04-14 5763
2023年第20届信息安全与对抗技术竞赛
ISCC2021-REVERSE_Garden -WP
qq_42667177的博客
05-25 1003
1、下载附件后是一个.pyc的文件,很明显这是python的编译文件,拿到在线反编译的网站上进行反编译即可得到源码。这里给出反编译网站及源码。 import platform import sys import marshal import types def check(s): f = '2(88\x006\x1a\x10\x10\x1aIKIJ+\x1a\x10\x10\x1a\x06' if len(s) != len(f): return False .
ISCC2024个人挑战赛WP-Mobile
最新发布
qq_59468567的博客
05-30 739
(非官方解,以下内容均互联网收集的信息和个人思路,仅供学习参考)
ISCC2021
sparename的博客
05-26 895
MSIC李华的红包Retrieve_the_passcode海市蜃楼1美人计ISCC客服一号冲冲冲(一)这是啥Web01 李华的红包 打开得到一张半张图片 题目其实有提示,将图片大小改为521*521,可以看到下面有一个鼓,对应敲击,将图表格式改为rar,看见haobao.txt文件,打开数字为24,43,13,13,12,21,43,猜测为敲击码 得ISCC{ISCCBFS} Retrieve_the_passcode 下载压缩文件查看有下面文件和一个加密的PDF 根据数据画出图片散点图如下: 输入密
ISCC-2021
qq_53142368的博客
05-24 1171
文章目录一、ISCC客服冲冲冲(一)二、这是啥三、Web01四、ISCC客服一号冲冲冲(二)五、登录六、which is the true iscc 一、ISCC客服冲冲冲(一) 可以下载一个点击器,或者直接F12在html中改,right改成left,left改成right 二、这是啥 鼠标右键打开页面源代码 发现jsfuck编码, 直接将其进行解码即可得到flag 三、Web01 Why don't you take a look at robots.txt? 在后面加上robots.txt后.
2021-ISCC
jemo的博客
05-24 1059
web题练武题web1-ISCC客服冲冲冲(一)web2-这是啥web3-web01 练武题 web1-ISCC客服冲冲冲(一) 1.写个脚本(不会) 2.用连点器(不想) 3.左右互换,让真正的一号票数增加(就这个) 然后就得出flag web2-这是啥 F12查看源代码,jsfuck加密 也可以谷歌的控制台,复制粘贴回车得出flag web3-web01 进入页面,让你想看看robots.txt协议 访问robots.txt 按照管理,不让访问,那必须访问,得到如下代码 <?php &
ISCC2021—检查一下
一个普普通通的博客
05-19 1058
一张图片,010查看后没发现什么,拿到kali中binwalk分离一下,得到一堆1,0组成的文件,长度为841,很容易联想到29*29是个二维码 二进制转二维码1对应黑,0对应白 脚本如下: from PIL import Image MAX = 29 img = Image.new("RGB",(MAX, MAX)) str = "1111111000100100110000111111110000010011011110010101000001101110100111010011010010111011
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
ISCC2021线上赛赛题.zip
05-19
ISCC2021线上赛赛题.zip wp见主页
ISCC2022题目附件
06-06
信息安全与对抗技术竞赛ISCC:Information Security and Countermeasures Contest),于2004年首次举办(国内第一),2022年大学生竞赛为第19届,中小学生信息安全对抗赛为第11届,河南赛区为第10届,广西赛区为第...
ISCC题库.docx
05-23
ISCC2020比赛题库 ISCC ISCC ISCC ISCC
ISCC2019个人挑战赛题目练习
05-05
为了让大家能够拿到题目练习,增强网络安全技术和大赛经验的积累,可以下载这些题目来练习。解题思路在我的博客。
第15届(2018)全国大学生信息安全与对抗技术竞赛(ISCC2018)通知
热门推荐
ISCC的博客
05-03 1万+
第15届(2018)全国大学生信息安全与对抗技术竞赛(ISCC2018)通知 1 竞赛简介 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使...
ISCC2021wp
outman23的博客
05-31 474
Web ISCC客服冲冲冲(一) 方法一 打开chome浏览器在控制台中打入以下代码 setInterval(function(){document.getElementById("ISCC客服一号").click();},1000); ​ 方法二 F12 调换两者投票的位置 这是啥 把代码块复制到 chome concole 里运行 得到源码 iscc{what_is*_jsJS&} Web01 进入题目后 然后看一下robots.bot协议 提示code.code.txt,打开看一下
ISCC 2021 WP
夏日 の blog
05-25 7322
MISC 李华的红包 打开发现是一个图片,binwalk分离下文件后得到一个txt文件,内容如下 24,43,13,13,12,21,43 很明显是敲击码(如果改下图片大小为521*521会看到下面有个鼓也会提示这是敲击码) 分别对应着ISCCBFS ISCC{ISCCBFS} Retrieve the passcode 解压后得到一个压缩包和一个名为scatter的txt文档 打开txt文档发现 1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5
ISCC 2021 SSTI
E1even的博客
06-21 519
ISCC中遇到了一道SSTI的题目,拿来练练手,题目难度的化,相对于普遍的过滤来说,这个过滤要更狠一点把。 看题: 进去之后是这样的,也没有提示传参,但是题目是lovely ssti 盲猜who am i 传参点应该是这个表情,这里仕林哥哥直接告诉了表情包叫xiaodouni,我就不去信息搜集了 FUZZ测试: 测试结果: 过滤了:_ ‘’ requests chr . chr 实操过程中还出现了字符串反转 思路: 过滤 . : 采用 |attr可以绕过 过滤单引号: 可以用双引号或
ISCC2021—海市蜃楼(1)
一个普普通通的博客
05-19 677
海市蜃楼1 拿到题目打开文件发现是乱码,直接拿010看一下(winhex也可以) 发现文件头是504b0304 zip格式 重命名为zip后打开后发现里面是几个文件夹(这种文件夹一般都是word转的zip) 打开后发现多个文件,一个一个找,在document中找到flag 也可以用win rar解压软件中直接搜索字符flag 海市蜃楼1 拿到题目打开文件发现是乱码,直接拿010看一下(winhex也可以) 发现文件头是504b0304 zip格式 重命名为zip后打开后发现里面是几个文件夹(这种文件夹
ISCC2021——wp
m0_46296905的博客
11-30 1683
文章目录一、MISC(二)Retrieve_the_passcode(二)海市蜃楼-1(三)区块链(四)小明的宠物兔(五)小明的表情包二、Mobile(一)Mobile Normal(二)Mobile Easy三、Reverse(一)Garden(二)Analysis 一、MISC (二)Retrieve_the_passcode ARCHPR不能破解RAR5.0版本的rar文件 import numpy as np import matplotlib.pyplot as plt from mpl_tool
ISCC2021——web部分
ki10Moc的博客
05-26 1326
ISCC客服冲冲冲(一) 该题目需要左边的客服票数高于右边的 我会的就两种方法,毕竟是废物,允许 1、 把左右按钮换一下 然后就 2、在控制台输入 回车,走你 你涨啊,涨啊,接着涨啊…没吃饭吗 这是啥 发现一堆这 Jsfuck解密。 Web01 太明显了 robots协议 和攻防世界如出一辙,不让访问那就访问 得到源码 <?php <p>code.txt</p> if (isset ($_GET['password'])) { if (p
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值