i春秋

前言 本人并不精通CTF，以下的内容不全是自己思考出来的。 有结合了自己的一些思考和大佬的思路来解题。 题目的正确答案和米斯特工具在文章末尾。 建议不要直接复制黏贴flag，还是边学习边成长会更好些。 题目介绍: 题目名称: 破译 类型: Web 分值: 150分 题目内容: 破译下面的密文 TW5650Y - 0TS UZ50S S0V LZW UZ50WKW 9505KL4G 1X WVMUSL510 S001M0UWV 910VSG S0 WFLW0K510 1X LZW54 WF5KL50Y 2S4L0W4KZ52 L1 50U14214SLW X5L0WKK S0V TSK7WLTS88 VWNW8129W0L 50 W8W9W0LS4G, 95VV8W S0V Z5YZ KUZ118K SU41KK UZ50S.LZW S001M0UW9W0L ESK 9SVW SL S K5Y050Y UW4W910G L1VSG TG 0TS UZ50S UW1 VSN5V KZ1W9S7W4 S0V FM LS1, V54WUL14 YW0W4S8 1X LZW 50LW40SL510S8 U112W4SL510 S0V WFUZS0YW VW2S4L9W0L 1X LZW 9505KL4G 1X WVMUSL510. “EW S4W WFU5LWV L1 T41SVW0 1M4

前言 本人并不精通CTF，以下的内容不全是自己思考出来的。 有结合了自己的一些思考和大佬的思路来解题。 题目的正确答案和米斯特工具在文章末尾。 建议不要直接复制黏贴flag，还是边学习边成长会更好些。 题目介绍: 题目名称: 破译 类型: Web 分值: 150分 题目内容: 破译下面的密文 TW5650Y - 0TS UZ50S S0V LZW UZ50WKW 9505KL4G 1X WVMUSL510 S001M0UWV 910VSG S0 WFLW0K510 1X LZW54 WF5KL50Y 2S4L0W4KZ52 L1 50U14214SLW X5L0WKK S0V TSK7WLTS88 VWNW8129W0L 50 W8W9W0LS4G, 95VV8W S0V Z5YZ KUZ118K SU41KK UZ50S.LZW S001M0UW9W0L ESK 9SVW SL S K5Y050Y UW4W910G L1VSG TG 0TS UZ50S UW1 VSN5V KZ1W9S7W4 S0V FM LS1, V54WUL14 YW0W4S8 1X LZW 50LW40SL510S8 U112W4SL510 S0V WFUZS0YW VW2S4L9W0L 1X LZW 9505KL4G 1X WVMUSL510. “EW S4W WFU5LWV L1 T41SVW0 1M4

前言 本人并不精通CTF，以下的内容不全是自己思考出来的。 有结合了自己的一些思考和大佬的思路来解题。 题目的正确答案和米斯特工具在文章末尾。 建议不要直接复制黏贴flag，还是边学习边成长会更好些。 题目介绍: 题目名称: 破译 类型: Web 分值: 150分 题目内容: 破译下面的密文 TW5650Y - 0TS UZ50S S0V LZW UZ50WKW 9505KL4G 1X WVMUSL510 S001M0UWV 910VSG S0 WFLW0K510 1X LZW54 WF5KL50Y 2S4L0W4KZ52 L1 50U14214SLW X5L0WKK S0V TSK7WLTS88 VWNW8129W0L 50 W8W9W0LS4G, 95VV8W S0V Z5YZ KUZ118K SU41KK UZ50S.LZW S001M0UW9W0L ESK 9SVW SL S K5Y050Y UW4W910G L1VSG TG 0TS UZ50S UW1 VSN5V KZ1W9S7W4 S0V FM LS1, V54WUL14 YW0W4S8 1X LZW 50LW40SL510S8 U112W4SL510 S0V WFUZS0YW VW2S4L9W0L 1X LZW 9505KL4G 1X WVMUSL510. “EW S4W WFU5LWV L1 T41SVW0 1M4

前言： 这次参加了i春秋ctf夺旗赛，misc类型一共有两道题。在这里跟大家分享一下解题步骤以及思路。 第一道题，XImg 下载文件解压后，得到一张png图片 这道题考察是图片隐写。图片隐写是misc常见的题型之一，接下来我会详细讲解一下解题步骤。 工具：stegsovle 1、把图片放到stegsovle分析，程序最下面有两个小按钮，不断点击直到得到一个被隐藏的二维码。 2、按照以往的题型，扫这个二维码就可以得到flag。但是这里有个坑，解码后的flag是假的。真的flag通过LBS隐写藏起来了。那怎么看是否存在LBS隐写呢？还是使用我们stegsovle隐写神器。点击程序最上面的Analyse，选择Data Extract 。然后如图所示勾选功能，Preview一下。得到flag。 第二道题，pypi 首先我们要知道PyPI是什么？PyPI( Python Package Index )是python官方的第三方库的仓库 1、下载文件解压，我们会得到一个图片，还有一个需要输入密码才能解压的txt文件。遇到这种题型，图片中可能会找到我们需要的密码。一开始的解题步骤和上一题类似，通过stegsovle找到被隐写的信息。只不过，这里被隐写的信息不是明文，而是通过base85加密后的信息。 2、点击SaveBin保存下来。然后把密文拿到在线base85解密网站去破译： 可以得到：

访问题目 http://106.75.72.168:9999/ 解题过程 审查源码，抓包查看请求头及响应头，今发现flag.xmas.js，提示flag可能存在这个文件中，然而访问这个文件出现404。尝试访问flag.js出现flag.js源码，由于源码太长没看完就放弃了。。。 扫描后台目录没有收获，看来flag只能从flag.js找线索了。把flag.js放控制台运行无收获，就不会了。 查询资料后发现，这个题目考的是git泄露漏洞。使用大佬写的工具 Git_Extract ，可直接获取文件 【upload】 在beyond compare中将flag.js与flag.js.04bb09进行对比，如下： 【upload2】 可以看出开头即为 flag{ ，挑出所有访问量不一样的地方，即可获得flag。 补充git泄露 漏洞原因：在运行git init 初始化代码库时，会在当前目录下产生一个.git的隐藏文件，用来记录代码的变更记录等。在发布代码得时候，没有吧.git这个目录删除，导致可以使用这个文件来恢复源代码。 git文件夹分析 文件夹： hooks:存放一些sheel的地方 info：存放仓库的信息 object ：存放所有git对象的地方 refs ：存放提交hash的地方 config：github的配置信息 文件： description：仓库的描述信息

buffer overflow 堆溢出、栈溢出、bss溢出、data溢出 例题： wellpwn\AliCtf 2016 vss\Hitcon 2015 readable\stkof\zerostorage 整数溢出 无符号数和有符号的转换(MIMA 2016 shadow) 整数加减乘除法，malloc(size*2)(pwnhbu.cn calc) 整数溢出通常会进一步转换为缓冲区溢出、逻辑漏洞等其他漏洞 格式化字符串 printf sprintf fprintf 任意地址读写 用来leak 释放后使用(Use-After-Free) 释放掉的内存可能会被重新分配，释放后使用会导致重新分配的内存被旧的使用所改写 Double free就是一种特殊的UAF 例题: Defcon 2014 Qual shitsco,AliCTF 2016 router,0CTF2016 freenote(double free),HCTF 2016 fheap(double free) 逻辑漏洞 访问控制 协议漏洞 多线程竞态条件等（fakefuzz） 还原结构体、接口、类 理清程序的执行逻辑 熟悉常见的数据结构 链表、树、堆、图等各种加密算法 了解各个寄存器的作用 rsp/esp pc rbp/ebp rax/eax rdi rsi rdx rcx 栈用于保存函数的调用信息和局部变量 函数调用

post i cookie post import base64,requests def main(): a = requests.session() b = a.get("http://549bc9defbb74fc5bf83a53d5f194bccf641983365c0447b.changame.ichunqiu.com/") key1 = b.headers["flag"] c = base64.b64decode(key1) d = str(c).split(':') key = base64.b64decode(d[1]) body = {"ichunqiu":key} f = a.post("http://549bc9defbb74fc5bf83a53d5f194bccf641983365c0447b.changame.ichunqiu.com/",data=body) print (f.text) if __name__ == '__main__': main() 跑出来是一串字符串 字符串的意思是提示我们一个路径，不管了，访问之 Url/3712901a08bb58557943ca31f3487b7d 进去是一个普普通通的跳转界面，看源码没什么特别的 点按钮进入下一界面 就是一个登录界面了 尝试注入 注入失败。。。 md5 username wp svn

打开是个很普通的登录网页 查看源码看看有没有东西 找到绿色的提示，可能是账号密码，试试 repeater go request show:1 Go flag php common.php $_GET, $_POST, $_SESSION, $_COOKIEif$requset['token']if login ($requset['token'])base64 db 为 class db row db user login[ ‘user’] ichunqiu flag row login[ ‘pass’] ┴―┴ "; login[‘user’] ichunqiu login[‘user’] php <?php $a = array('user'=>'ichunqiu'); $a = base64_encode(gzcompress(serialize($a))); echo $a ?> user eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA== 最后有两种方法传入token的值 一：firefox cookie editor cookie token flag flag{f3ac41fd-885a-433a-a6ae-87c25ce3e0d2} 二：使用bp传入

一、rsa256（100） 下载得到： 打开public.key: 1、使用openssl，分解publickey得到： e=65537,n=D99E952296A6D960DFC2504ABA545B9442D60A7B9E930AFF451C78EC55D555EB 2、使用网站 http://factordb.com/ 分解n，得到p，q 3、得到足够的数据，利用python解密得到flag： import gmpy2 import rsa p = 302825536744096741518546212761194311477 q = 325045504186436346209877301320131277983 n = 98432079271513130981267919056149161631892822707167177858831841699521774310891 e = 65537 d = int(gmpy2.invert(e , (p-1) * (q-1))) privatekey = rsa.PrivateKey(n , e , d , p , q) #根据已知参数，计算私钥 with open("encrypted.message1" , "rb") as f: print(rsa.decrypt(f.read(), privatekey).decode()

本次笔记以i春秋为主 R.I.P Transmission 题目给了个名为RIP的文件，winhex查看文件头发现是ELF文件，使用rar可以打开但提示损坏 打开kail，使用binwalk：binwalk -e 文件名 解析出压缩包，rar工具打开提示损坏，修复后 用fcrackzip字典爆破:fcrackzip -D -p '/usr/share/wordlists/rockyou.txt' -u 文件名（注意，rockyou有可能是以压缩包的形式存在，如果是要先解压） 实验室的logo 题目给jpg图片，右键属性查看详细信息，无提示，winrar打开失败，winhex发现是jpg文件，ps打开没发现多图层或其他信息 binwalk解析，发现该文件其实是两张jpg图片，在winhex中跳转偏移量到第二张图片的位置，复制之后的所有数据，新建文件粘贴，保存为jpg文件，再打开即可 加密的文档 题目给zip文件，打开发现有密码保护，用winhex打开发现压缩源文件数据区全局方式位标记位为0，有可能是伪加密 因为解压的pkware版本为1400，直接16进制全局搜索1400，发现在压缩源文件目录区的全局方式位标记为09，改为00，保存。 重新打开压缩文件解压里面的word文档，直接打开发现打开失败。 用winhex打开，发现PK字样，改后缀为zip重新打开，在image中可找到flag