武靖骐 121182023004
$web$
$huaji$
图片隐写为什么在web里(雾
扔到
winhex里十六进制看一下,flag在最后面$brcbeb$
直接看前端,
index.js里面搜flag即可$弱欸$
hackbarpost 提交,用114514.0绕过$伯乐$
weevely上传$杂鱼rce$
aaa=system("ls /");直接找
flag$启动$
抓包得到是跳转到
flag界面后再跳转到启动界面$小店$
反复提交价位看报错得,具体代码类似
1
2
3
4
5
$a=$post
$b=.....$f=....
eval("echo $a*$d+$b*$e+$c*$f;");那么只需使
$a=/* , $f=*/把中间注释掉,再用$f=system()注入即可$easy-xss(题没了)$
想太复杂了,
level1直接<script>框住就好,level2用" </h2>闭合前面的标签$homo$
现学
vim,在第三个临时文件.index.php.swn中找到这个
得到了很复杂的过滤表达式
但这串正则表达式太具有标志性,百度 已经构造好了
payload$xml$
抓包,找到
doLogin.php,发现application/xml判断是xxe注入,直接百度到以下payload1
2
3
4直接在根目录下找到
flag$rickroll$
F12找到“你怎么不传参”界面,在这里卡了很长时间当
PHP版本小于 $8$ 时,参数中出现[, 则会被转换成_,而导致接下来参数名中的非法字符不会继续转换为_,例1
c[m.d=xxx
会被转成
c_m.d=xxx$1453$
扫了一下还是怎么得到了
/robots.txt,在这里找到/h1nt.html得到提示是用
get传basilic到新朝雅政这里,一直以为是
post: sultan=xinchaoyazheng卡住了,想了几天用xinchaoyazheng=1看到报错,那么直接1
2xinchaoyazheng=system("ls /");
xinchaoyazheng=system("cat /flag.txt");
$misc$
签到题略
$流量分析$
扔
wireshark里,公式化的拉到最底下,挨个看一看找到这个
解一个三重
base64$艾克$
考查英文翻译,找到
lol原文去掉逗号提交即可(雾$GIF$ 看起来很卡,结合背景艾克联想到时间轴隐写
1
identify -format "%s %T \n" TIME.GIF
得到这个:
一眼
ASCII,直接转换得到$osint$
$osint \ ×$
$web \ √$
真会
osint,但这个不会仔细读题:
筛去中文
1
2
3
4
5
6
7
8
9
10
11
12
13
14@echo off
rem 删除txt文本里的所有汉字/中文
set #=Any question&set $=Q&set/az=0x53b7e0b4
title %#% +%$%%$% %z%
cd /d "%~dp0"
set "folder=#result"
2>nul md "%folder%"
>"%tmp%\t.t" echo;var s='';try{s=WSH.StdIn.ReadAll().replace(/[^^\x00-\xff]/g,'');}catch(e){};WSH.echo(s);
for /f "delims=" %%a in ('dir /a-d/b *.txt') do (
echo;"%%a"
type "%%a"|cscript -nologo -e:jscript "%tmp%\t.t">"%folder%\%%~nxa"
)
echo;%#% +%$%%$% %z%
pauseburp-intuder直接爆破就过了但我仍不知道答案是什么(大雾
$中国编码$
搞到压缩包放先
ARCHPR试了 $5$ 位的不行,winhex试试是否是伪加密失败搜资料的时候这篇提醒我去看注释,提示是密码全是数字,暴力得到
220294012中国编码app扫出来这里没有flagbinwalk分解出misc3.txt删除多余字符然后用
playfair?不会喵
$排队吃果果$
怎么不是
prime能表达强壮和质数啊(恼改一下字体颜色发现有加粗的
按照题目的排队把每一列都升序排一下
加粗黑块直接二维码了
改一下列宽即可
$crypto$
栅栏和凯撒写在题面了,直接在线解,莫斯同理
$凯撒pro$
看格式前几个对应
NISACTF结合凯撒规律是每个字符后推 $i++$ 位
$vigenere$
网上找转换器,括号和一些字符没有被成功转换,手动换即可
PS: rsa不会啦,现搜脚本
$ezzzRSA$ (已知 $n,c,e$ )
在线分解大整数得到 $p,q$
1
2
3phi = (p-1)*(q-1)
d = gmpy2.invert(e,phi)
m = gmpy2.powmod(c,d,n)$EmbryoRSA$ (已知 $p,q,n,c,e$)
同上
$babyRSA$ (已知 $n,c,e$ )
$n$ 不能分解,考虑低指数攻击,搜脚本得到
1
2
3
4
5
6
7i = 0
while True:
if gmpy2.iroot((c+i*n),e)[1] == True:
m = gmpy2.iroot((c+i*n),e)[0]
break
i += 1
print(m)$CrtRSA$
我贫瘠的竞赛记忆告诉我是中国剩余定理
$e=3$ ,百度得考虑低加密指数攻击,又因为 $e=k=3$ ,有同余式组
其中
n_1,n_2,n_3应该两两互素,设 $M=n_1 \times n_2 \times n_3$$M_i=\frac{M}{n_i}$
那么 $m^e \equiv C_i \mod n_i$
有解我忘了
继续搜脚本得到
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19from gmpy2 import*
from functools import reduce
def CRT(a,n):
sum = 0
N = reduce(lambda x,y:x*y,n) # ni 的乘积,N=n1*n2*n3
for n_i, a_i in zip(n,a): # zip()将对象打包成元组
N_i = N // n_i #Mi=M/ni
sum += a_i*N_i*invert(N_i,n_i) #sum=C1M1y1+C2M2y2+C3M3y3
return sum % N
n =[n1,n2,n3]
c =[c1,c2,c3]
x = CRT(c,n)
m = iroot(x,e)[0]
print(m)$Do you know coding$
看一下是数字+6种字母的组合,恰好字母 $nopqrs$ 连着,对应十六进制的 $ABCDEF$
替换得到
1
49524644515954504A4A59564D534A51474655454B355A5A4E354156434E4B59494D59584B5A4C514B464A43365354594D355A4532554B50504658555756335149524B474F34324650425256455254574F5254454954523548553D3D3D3D3D3D
直接
ASCII转,结尾有 $5$ 个=那么再base32转然后不会
然后搜资料的时候发现懒狗aiFrom_Base32(‘A-Z2-7%3D’,false)From_Base64(‘N-ZA-Mn-za-m0-9%2B/%3D’,true,false)From_Base85(‘!-u’,true,’z’)&input=NDk1MjQ2NDQ1MTU5NTQ1MDRBNEE1OTU2NEQ1MzRBNTE0NzQ2NTU0NTRCMzU1QTVBNEUzNTQxNTY0MzRFNEI1OTQ5NEQ1OTU4NEI1QTRDNTE0QjQ2NEE0MzM2NTM1NDU5NEQzNTVBNDUzMjU1NEI1MDUwNDY1ODU1NTc1NjMzNTE0OTUyNEI0NzRGMzQzMjQ2NTA0MjUyNTY0NTUyNTQ1NzRGNTI1NDQ1NDk1NDUyMzU0ODU1M0QzRDNEM0QzRDNE) 直接出答案啊嗯
$逆向$
$恋恋$
录屏啊嗯
$变表base64$
不会逆向,现下
IDA,扔里面F5找到hello,reverse直接提交发现过了
$PPC$
nmap扫出来,扫一下敏感目录,访问robots.txt提示/~secret那么模糊测试访问得到sshid:icex64密码devils91直接登录得到第一个
flagsudo -l查看权限,得到一个可以运行的py已经贴心的写好了
arsene的shell1
sudo -u arsene /usr/bin/python3.9 /home/arsene/heist.py
进到这里之后能得到第二个
flag/home/arsene查看隐藏文件在.secret里找到密码在没有
sudo权限的地方硬卡着,最终找到这篇文章如此能将
arsene加入sudoer中,如下
那么可以在这里随便找个
shell拿下