【极客大挑战2019】Secret File
直接看题:
这时我们查看源码:会发现有一个小链接
进去后会这样显示:
点一下,就出现查阅结束的字样。
我们直接使用抓包-工具
抓到包之后,右键发送到repeater,点击Go,会发现一个 secr3t.php
访问发现:
通过对html代码的审计我们发现,代码过滤了data协议,input协议,ftp协议,当然还有一些协议它没有过滤,所以这里我们可以用伪协议文件包含来读取flag。另外flag在flag.php中,那么我们直接payload:
读取flag.php的源码以base64的方式显示出来
http://b6958368-d898-4b45-98d4-0cb7fa1b434d.node3.buuoj.cn/secr3t.php?file=php://filter/read=convert.base64-encode/resource=./flag.php
得到一串字符:
base解码便得到flag了。
【BJDCTF 2and】老文盲了
解压得到题目:
发现全是一些繁体字,我们使用汉字转拼音的在线工具看看到底是什么意思:
得到flag:BJD{淛匶襫黼瀬鎶軄鶛驕鳓哵}
【BJDCTF 2and】cat-flag
拿到题目发现是一个gif:
有点懵逼啊,但仔细观察图片你会发现上面的图案只有两种,是不是与二进制很像,赶紧试一试:
01000010
01001010
01000100
01111011
01001101
00100001
01100001
00110000
01111110
01111101
将二进制转换为16进制,再转换为文本:
flag:BJD{M!a0~}
【GKCTF2020小学生的密码学】
仿射密码,拿去解密
再拿去base64加密,flag{c29yY2VyeQ==}
大帝的密码武器
题目透露了大帝,由此我们可以利用凯撒密码来解密,
凯撒解密,偏移13,揭秘得到security;
利用这个规律我们将密文ComeChina进行加密或者解密都可以,得到
flag{PbzrPuvan}