第一次认真入门一场ctf比赛

最新推荐文章于 2024-05-06 11:21:12 发布
最新推荐文章于 2024-05-06 11:21:12 发布
阅读量577 收藏 2
点赞数
文章标签: python 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yichengchangan/article/details/121090183
版权

WP-guicheng

虽然说注定拿不到奖,但还是第一次认真参与一场ctf,学到了不少新的知识,因此写下这份wp纪念一下。

[pwn]babyida_pwn

解题思路

反编译代码,看到当输入为2222时拿到shell,ls,看到flag文件

[misc]温柔点

解题思路

zip文件被加密,给出了dic密码本,用py的zipfile暴力破解

# -*- coding: utf-8 -*- 
import zipfile
import os
def Test(line):
    try:
        with zipfile.ZipFile("H://QAQ//QAQ.zip","r") as f:
            f.extractall("H://QAQ//",pwd=line.encode("utf-8"))  #利用密码字典中的密码解压缩
    except Exception as e:
        return e
    finally:
        f.close()
def main():
    try:
        with open("H://QAQ//dic") as file:
            lines=file.readlines()
            for line in lines:
                line=line.strip("\n")
                e=Test(line)
                if e:
#                    print(line)
                    pass
                else:
                    print("************压缩文件的密码是:%s"%line)
                    return line
    except Exception as e:
        print("异常对象的类型是:%s"%type(e))
        print("异常对象的内容是:%s"%e)
    finally:
        file.close()
if __name__=='__main__':
    re=main()
    if re:
        pass
    else:
        print("对不起,密码字典中未匹配到密码!")

得到密码1q2w3e4r5tyuiop,解压后看到图片flag

[crypto]babyflower

解题思路

找到文本加密为花朵符号的网站 解密得到HFHXGU{S3ool_XIBKG0~}
由于我们已知格式为SUSCTF{},因此做一个简单代换,得到倒序字母表,解出真正flag

[crypto]justRSA

题目

from Crypto.Util.number import *
from flag import flag

p=getPrime(150)
q=getPrime(150)
n=p*q
e=65537
m=bytes_to_long(flag)
c=pow(m,e,n)
print(n)
print(c)
'''
1478515719392936710044850615656034941194767475153371243813090897713762117025516403232117859
635346483268607041765081653692316846690674938281834040872188948517632743897309531894345982
'''
解题思路

已知n,可以直接在线分解,得到p,q,已知e,用扩欧得到d,直接解码密文;

[crypto]ezpy

题目

import random
from Crypto.Util.number import *
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
 
flag1 = "*********"
key = 'llggwwcryptoyyds'
mode = AES.MODE_OFB
cryptor = AES.new(key.encode('utf-8'), mode, b'0000000000000000')
length = 16
count = len(flag1)
if count % length != 0:
    add = length - (count % length)
else:
    add = 0
message = flag1 + ('\0' * add)
ciphertext = cryptor.encrypt(message.encode('utf-8'))
result = b2a_hex(ciphertext)
 
print(result.decode('utf-8'))
# b6e4122d658a39d8fa3da7369e1f6dc2
 
 
flag2 = b'*********'
n = 2 ** 256
flaglong = bytes_to_long(flag2)
m = random.randint(2, n-1) | 1
c = pow(m, flaglong, n)
print('m = ' + str(m))
print('c = ' + str(c))
# m = 83862941474000352622736856571533270468192196205332529383208031858169966457039
# c = 93540468044159507877580535912312883151967317672005767396221829672116391895425
解题思路

可以看到flag分为前后两部分,前一部分加密使用自带的AES库,已知密钥和模式,只需调用解密函数,参数设为相同的key和mode,即可得到flag1,需要注意不可以在主函数调用encrypt函数后直接decrypt,可以另写一个decypt函数;
第二部分是离散对数问题,可以调用discrete_log()函数直接解出flag2;
将flag1和flag2拼接即得答案

import libnum
import sagemath
#import Crypto
from Crypto.Cipher import AES
import binascii
from Crypto.Util.number import long_to_bytes
from binascii import b2a_hex, a2b_hex
m = 83862941474000352622736856571533270468192196205332529383208031858169966457039
c = 93540468044159507877580535912312883151967317672005767396221829672116391895425
n = 2 ** 256
#d=discrete_log(c,mod(m,n))
#print (d)
d=450624660454257828385864
print (libnum.n2s(d))

def de(content):
    key = 'llggwwcryptoyyds'
    mode = AES.MODE_OFB
    cryptor = AES.new(key.encode('utf-8'), mode, b'0000000000000000')
    k = a2b_hex(content)
    b=cryptor.decrypt(k)
    print(b)
    
re='b6e4122d658a39d8fa3da7369e1f6dc2'
de(re)
#print (libnum.n2s(b))

[crypto]ezcipher在这里插入图片描述

解题思路

观察到密文中一共只有5个字符,使用棋盘密码,暴力跑出所有可能性,筛选出有意义的字符串

#include<iostream>
#include<cstring>
#include<cstdio>
using namespace std;
char C[5][5]={'B','T','A','L','P','D','H','O','Z','K','Q','F','V','S','N','G','I','C','U','X','M','R','E','W','Y'};
char D[5][5]={'a','b','c','d','e','f','g','h','i','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z'};
string A="010203123442212003021331120221";
//char P[5]={Y,B,N,M,L};
bool f[5];
string S;
int main()
{
	freopen("1.txt","w",stdout);
	for(int i1=0;i1<5;i1++)
	{
		f[i1]=1;
		for(int i2=0;i2<5;i2++)
		{
			if(f[i2]==1)continue;
			f[i2]=1;
			for(int i3=0;i3<5;i3++)
			{
				if(f[i3]==1)continue;
				f[i3]=1;
				for(int i4=0;i4<5;i4++)
				{
					if(f[i4]==1)continue;
					f[i4]=1;
					for(int i5=0;i5<5;i5++)
					{
						if(f[i5]==1)continue;
						for(int j=0;j<30;j+=2)
						{
							int p,q;
							if(A[j]-'0'==i1)p=0;
							else if(A[j]-'0'==i2)p=1;
							else if(A[j]-'0'==i3)p=2;
							else if(A[j]-'0'==i4)p=3;
							else p=4;
							if(A[j+1]-'0'==i1)q=0;
							else if(A[j+1]-'0'==i2)q=1;
							else if(A[j+1]-'0'==i3)q=2;
							else if(A[j+1]-'0'==i4)q=3;
							else q=4;
							S+=D[p][q];
						}
						//cout<<"SUSCTF{"<<S<<"}"<<endl;
						cout<<S<<endl;
						S="";			
					}
					f[i4]=0;
				}
				f[i3]=0;
			}
			f[i2]=0;
		}
		f[i1]=0;
	}
}

在这里插入图片描述

[reverse]babyre

解题思路:

xor问题,观察反编译程序
在这里插入图片描述
可以看到原始字符串处理后结果要等于aa_tql
先对aa_tql进行异或解密
在这里插入图片描述

a= [0x73, 0x06, 0x75, 0x16, 0x62, 0x04,
    0x7F, 0x1C, 0x74, 0x21, 0x7E, 0x0A,
    0x3B, 0x64, 0x2C, 0x6D, 0x5D, 0x02,
    0x6E, 0x5D, 0x14, 0x4B, 0x2A, 0x57]

s=''
s=''
for i in range(1,len(a)):
    s+=chr(a[i]^a[i-1])
print(s)

#susctf{chU_t1_HA0_l3I_a}
#SUSCTF{CHu_T1_ha0_L3i_A}

由于之前代码中进行了大小写转换,因此再转换回来即可得flag

[web]justeval

解题思路在这里插入图片描述

eval()可以将内容作为php代码来执行

/?a=echo ` base64 flag.php`;

得到密文后用base64解码即可得flag

[web]easy_sql

解题思路

无过滤注入
在这里插入图片描述
在这里插入图片描述

[web]EasyRobot

解题思路

查看robots.txt即得flag

ps: 其它一些有意思的加解密网站

与佛论禅
在这里插入图片描述
新与佛论禅得到部分密码,zip的解密直接枚举问号处字符,构造密码本解密;

hxm001122
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF安全竞赛介绍
PICACHU+++的博客
07-01 7898
Web是CTF中最主要的题型,也是大多数人入门CTF的第一类题目,这类题目涉及常见的Web漏洞,例如:SQL注入,XSS,CSRF,文件上传、包含、下载,代码执行,反序列化等等。也有一些关于网络基础知识的考察:TCP/IP协议,数据包内容和构造等等MISC是CTF中综合性最强的一类题目,也是难度略大的一类,主要涉及隐写,流量审查,取证分析,社会工程学,数据分析与统计等包括古典密码学和现代密码学,古典密码学种类多,趣味性较强;现代密码学对数学,算法,编程能力要求高。
CTF —网络安全大赛
weixin_68789096的博客
02-27 6054
💻随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。💂互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。👨‍👨‍👧‍👦网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛
HSCSEC CTF 2023 web-EZPY-wp
……
02-20 413
HSCSEC2023-web-EZPY
[NISACTF 2022]ezpython(PyInstaller封装程序反编译)
qq_24481913的博客
12-24 755
[NISACTF 2022]ezpython(PyInstaller封装程序反编译)
2024年最新CTF —— 网络安全大赛_ctf网络安全大赛,2024年最新大厂网络安全面试总结+详细解答
最新发布
2401_84300255的博客
05-06 1833
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
2019SUSCTF安德门
OIqng的博客
08-02 277
读题 在南京地铁一号线运行途中,一个1在鼓楼上车,一个1在新街口上车。过了安德门站之后,只剩一个1了,为什么?flag提交格式SUSCTF{} 审题 and运算 提供 flag_a: SwsKu鐊~_??鈝ww? flag_b: [誗鉚F0t{Os遤輙_镹d} 解题 题目描述提示的是and门,也就是与运算。 文件需要用二进制读写,每个字节按位与就能得到flag。 python解法 f = open('flag.txt','rb') a = f.readline()[8:] b = f.read
[NISACTF 2022]ezpython
weixin_61154173的博客
10-31 702
re简单题
CTF比赛是什么?需要学哪些东西,1篇文章给你讲透彻!
logic1001的博客
09-28 7533
CTF比赛必须知道的事情
CTF-RE第一次出题记录
10-21
CTF-RE第一次出题记录
CTFCTF(夺旗赛)介绍
WenZhongxiang
10-06 4258
CTF攻防模式(Attack-Defense)是CTF比赛的一种模式,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。需要具备安全编程的能力,能够编写安全的代码等等。CTF比赛的知识范围大致分为:Web安全、PWN(二进制安全)、逆向工程、Misc(杂项)、Crypto(密码学安全)、网络安全。国外:ctftime.org 是对一个在国际上比较重要的赛事的做一些记录,而且会还会给出赛事的一些权重,以及对这种CTF 知名战队的一些排名。
CTF-Reverse】初级两道题
LeeOrange_45的博客
04-06 413
这道题他给了源码,那就可以看源码(没有ida加持看源码没法改原始代码),但是我想用ida32打开,去研究。其中有一个红框(下面的这个红框)的函数根本识别不出来,看到没有!最后选中整个函数按P进行函数组装,然后ida就能识别这个函数啦。(我不知道为啥我打开好慢,他说啥C盘地下有啥东西……将call指令和相应的函数以及多出来的EB都nop掉!看她改名字了,变成sub了。代表ida可以识别了呢。是有两个这种花指令的,人工修改一下?
CTF入坑日志
Grey的博客
04-25 8490
赛事介绍CTF竞赛模式分为以下三类:一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。二、攻防模式(Attack-Defense)在攻防模式CTF赛制...
CTF —— 网络安全大赛
xnxqwzy的博客
09-24 6248
前言随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。‍ ‍ ‍ 网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛
通俗理解CTF网络安全比赛
喜欢Python编程的程序员柚柚呀
09-23 1217
什么是CTF?下面我们对课程进行一个内容的讲解,在讲解之前我们首先来对ctf进行对应讲解,ctf是当前1种非常流行的信息安全竞赛形式,其英文名可翻译为夺得flag,也可翻译为夺旗赛。
CTF是什么?一文带你读懂网络安全大赛
xx16755498979的博客
06-10 2529
现在的CTF比赛一般由专业队伍承担比赛平台、命题、赛事组织以及拥有自动化积分系统。参赛队伍需提交参赛申请,并且由DEF CON会议组织者们进行评选。比赛侧重于对计算机底层和系统安全的核心能力。
解读CTF比赛怎么打?怎么参加?CTF是什么?
mkl7717的博客
06-08 1703
很多人觉得CTF脱离实战。是的,现在很多CTF赛题并没有大多意义,更像是为了出题而出题,⑨当你拋弃那些无意义的比赛,参加一些优质赛事时就会发现,现在大量优质的比赛正在使用odaya或是非常前沿的技术在出题。在CTF比赛中你掌握了快速的学习能力、漏洞的挖掘方法与技巧、前沿漏洞的挖掘、利用脚本与工具的编亏,那么现在你还觉得CTF无意义吗?
网络安全最出名的5大赛事,含金量贼高,每个网安人的梦!
logic1001的博客
08-22 3931
可以不参加,但不能不知道
CTF网络安全比赛介绍
2301_76161259的博客
03-03 1838
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。
CTFCTF(夺旗赛)介绍_ctf比赛(2),2024互联网大厂网络安全面经合集
m0_61331491的博客
04-07 1225
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
入门第一部分主要介绍了一个名为"bugku-ctf"的CTF web题库,其中包含了多个题目供练习。第一个题目是"成绩单",具体内容和解题思路未在此文档中给出。第二个题目是"秋名山老司机",同样缺乏具体描述和解题思路。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值