SWPU2017 CTF是西南石油大学举办的一个CTF比赛,我和Th1s师傅一起参加了下,拿到了第七名。感觉还挺不错的,不过我并没有做出来Web题目,只是把MISCAK了。但是回过头来看看MISCWPWEBWP,以后还是好好做Web题目吧。下面是我所做的MISC题目的WriteUp

1、签到题

签到题目是给了一个jar文件,打开发现是一个弹幕游戏。这道题目和我官方WP的做法不一样,官方WP的做法是把jar包放到分析软件里面分析出来的,而我是找了一个这个游戏的小bug。就是把我们所控制的东西藏到下图所示的位置上:
1
然后过60s后再出来故意死掉就可以得到flag了,如下图所示:
2

2、俄罗斯套娃

这道题目可以说是很恶心了,跟题目叙述的一样,就像老太太的裹脚布,一层又一层,那我就来一层一层的看。
首先下载得到一个加密过了的zip文件,用ultraedit打开,可以看出来是伪加密,修改加密标志,就可以打开了,如下图所示:
3
解压出来得到三个文件,flag.zip是加密的,并不是伪加密,然后就是key.txt,根据提示可以知道是一个曼彻斯特编码,写了个小程序来解密:

解出来的结果如下图所示:
4
可以看到是很像二维码的一个东西,这个时候我找到了一个网站来进行转换,如下图所示:
5
使用手机扫描,发现是一个网址:
6
访问这个网址,可以发现是一种经过了特殊编码后的JS脚本,放到chromeconsole里面执行一下,就得到了一个坏掉的字符串,如下图:
7
看到这里,应该基本上能判断这是一个base32编码过的字符串,中间有几位是空缺的,所以就需要写个小程序来进行暴力枚举:

结果跑出了许多组很像的字符串,这个时候就不要去想着一个一个试了,直接丢到Advanced ZIP Password Recovery 4.0里面,秒出结果:
8
使用跑出的key打开flag.zip,可以看到flag
9

3、我为祖国献代码

这道题目不难,就是一个mp3隐写,但是题目给出来的提示稍微有点弱了,我查了很久才知道程序员的的情人节是5月22日。
题目的一个提示是:fl?g???
10
这里就可以猜想解密keyflag522,使用MP3Stego进行解密,Decode.exe -X -P flag522 target.mp3,即可得到从题目给的mp3中隐写的数据,如下图所示:
11
可以看出是一段base64编码过的字符串,解密得到flag
12
13

4、爆照

拿到题目先使用binwalk进行提取,可以提出来一堆图片,如下图:
14
然后逐个图片来看:
15
88图片里面有个二维码,扫描得到bilibili
然后888图片属性的详细信息里面藏了个base64编码过的字符串,解密后发现是silisili
18
8888图片里面藏了个压缩包,解压出来是一个二维码,扫描后得到panama
16
17
根据题目的提示进行组合,得到flagbilibili_silisili_panama

5、Web题目考察点总结

1、你能进入后台吗?

第一个考察点:php_screw的解密,我使用的解密程序是:https://github.com/amor-tsai/php_screw
第二个考察点:md5注入,原理是将md5后的字符串使用原始16字符二进制格式,也就是md5函数的第二个参数为true,导致某些字符串经过md5后会变成sql注入语句,这里给出一个例子:ffifdyop

2、flag!flag

第一个考察点:文件包含漏洞,使用php://filter/read=convert.base64-encode/resource=check可以读取文件源代码,这是php伪协议的应用。
第二个考察点:parse_url解析的问题,///x.php?file=xxx这种格式会返回false

3、我们来做个小游戏吧

这个题目是一个代码审计题目,感觉比较绕,自行关注官方WP

4、You Think I Think

第一个考察点:thinkPHP的路由规则。
第二个考察点:thinkPHP模板包含:$this->display($name)
第二个考察点:thinkPHP模板中使用php代码的几种方式。
详见官方WP

5、catch me if you can

御剑扫描后台,社工搞定密码。

6、偷懒的出题人

见官方WP,这里Th1s师傅是通过cookie来绕过waf的,官方是使用超长字符串。

7、python sandbox

见官方WP

8、师傅们一起来找flag

http://wooyun.chamd5.org/bug_detail.php?wybug_id=wooyun-2014-059783

总结

不能再把更多的精力投入到MISC题目中了,要抓紧时间巩固Web的知识和学习Web里面一些小技巧。

参考链接

官方WriteUp
Th1s的Web WriteUp

Leave a Comment

电子邮件地址不会被公开。 必填项已用*标注