0x01 第一关
题目1-1
进入后发现问今天是哪一年,自然想到2017,然后又给了Year is not true,输入
http://url?year=2017
发现答案果然是错的。
推测这里的判断代码应该是php的弱类型比较,输入
http://url?year=2016.9999999999999
得到flag
题目1-2
是一个登陆框,第一时间想到是不是注入,试了试,发现过滤了很多东西,应该不是注入。
扫目录的时候发现有admin.php,但是提示说“You are not Harry Potter!”,应该是缺少类似管理员cookie的东西,但是右键看源码的时候发现了一个wdctffunction.js,内容为
function getSecret()
{
key = "86a17069c75946be37f7fa085c0ae31e";
$.ajax(
{
"type": "post",
"dataType": "json",
"data":{
"key":key
},
"contentType": "application/x-www-form-urlencoded; charset=utf-8",
"url" : "./action.php?do=admin",
"success": function(data)
{
console.log(data);
var a = document.getElementsByName("secret")[0];
a.value=data;
}
});
}
分析其功能,应该是一个将管理员的key用json发送到服务器,那么就是说,只要我们抓取action?do=admin请求的包,将包的格式按照getSecret()修改,应该就能伪造成管理员了,把key post过去得到flag。
0x02 第二关
题目2-1
这道题题目是社工,根据提示,账户是邮箱,密码在博客里自己找,就将资料里所有看起来像密码的内容挨个试了一下,结果发现是车牌号。。。
题目2-2
根据题目描述,用户名是admin,让我们找出密码,那应该就是注入题了。
然后fuzz了一下,发现没有admin里过滤了单引号,password没有过滤单引号,但是过滤了sleep,benchmark函数,这里没有回显,应该是盲注,但是现在不满足盲注的条件呀,那么可能是在useraname框里?后来发现当用户名为admin的时候,password不对是显示Password error!,但是当用户名不是admin的时候会显示Username error!那么这个就是一个很好的盲注条件了。
userame = 'admin"^(ascii(substr((select(pass)from(users)))from(a)))=b)^"^1'
然后利用这种注入语句进行注入就可以了。最后得到password,登陆后,访问admin.php抓包得到flag。
0x03 第三关
题目3-1
这道题是个流量包,wireshark打开后,导出HTTP对象,发现了flag.rar
保存本地后,打开发现有密码。压缩包里就一个flag.txt,那么密码的线索应该不是压缩包本身,应该还在流量包里。继续wireshark打开,跟踪tcp流,发现在一个流中存在一段python代码。
# coding:utf-8
__author__ = 'YFP'
from Crypto import Random
from Crypto.Cipher import AES
import sys
import base64
IV = 'QWERTYUIOPASDFGH'
def decrypt(encrypted):
aes = AES.new(IV, AES.MODE_CBC, IV)
return aes.decrypt(encrypted)
def encrypt(message):
length = 16
count = len(message)
padding = length - (count % length)
message = message + '\0' * padding
aes = AES.new(IV, AES.MODE_CBC, IV)
return aes.encrypt(message)
str = 'this is a test'
example = encrypt(str)
print(decrypt(example))
发现是一个AES加解密的脚本,而且惊喜的发现,竟然连密钥也给了,但是,比较尴尬的是,竟然没有密文。。。。
继续看流量包
我们发现,在这段流中,是有很多linux命令操作的,其中观察到有个ls的操作,存在文件1,2,3,test,并且在后面每个文件cat了一下。文件1是flag.rar,文件2是是一串base64字符串,文件3是python脚本,文件test是"zhu ni cheng gong",那么很明显了,那个base64应该就是密文base64加密之后的字符串了,因此在脚本修改一下
# coding:utf-8
__author__ = 'YFP'
from Crypto import Random
from Crypto.Cipher import AES
import sys
import base64
IV = 'QWERTYUIOPASDFGH'
def decrypt(encrypted):
aes = AES.new(IV, AES.MODE_CBC, IV)
return aes.decrypt(encrypted)
def encrypt(message):
length = 16
count = len(message)
padding = length - (count % length)
message = message + '\0' * padding
aes = AES.new(IV, AES.MODE_CBC, IV)
return aes.encrypt(message)
# str = 'this is a test'
# example = encrypt(str)
# print(decrypt(example))
str = '19aaFYsQQKr+hVX6hl2smAUQ5a767TsULEUebWSajEo='
print(decrypt(base64.b64decode(str)))
得到密码,打开压缩包得到flag
题目3-2
这道题是个跳来跳去的gif,但是仔细观察后发现其中是有二维码的标识点的。用PS合成之后得到二维码,拖到在线网站解析,得到了一串十六进制的字符串,用winhex编辑之后发现是一个pyc文件,利用在线python反编译工具,得到了python代码
import random
import base64
key = 'ctf'
strr = '186,98,180,154,139,192,114,14,102,168,43,136,52,218,85,100,43'
def func1(str1, key):
random.seed(key)
str2 = ''
for c in str1:
str2 += str(ord(c) ^ random.randint(0, 255)) + ','
str2 = str2.strip(',')
return str2
def func2(str2, key):
random.seed(key)
str1 = ''
for i in str2.split(','):
i = int(i)
str1 += chr(i ^ random.randint(0, 255))
return str1
发现这里是一个加密和解密的两个函数,str应该是密文,key是密钥,在脚本后面添加
find = func2(strr, key)
print find
之后运行代码,得到flag。(这里有个巨坑啊,我自己用windows运行之后得到的是乱码,我队友在linux一运行,莫名地就出flag了,不是很懂这是为什么。。。)
0x04 第四关
题目4-1
这道题是一张图片,名字是画风不一样的喵。习惯性的直接binwalk一下,发现果然有东西,得到了一个tips.txt和两个看起来一模一样的图片day1.png和day2.png。tips中说
Although two days doing the same things, but day2 has a secret than day1
意思是说day2.png比day1.png多一下东西,用神奇stegsolve比较了一下两张图片,用day2 SUB day1发现确实多了一些类似条码的东西,推测可能是盲水印攻击,利用github的利用脚本(https://github.com/chishaxie/BlindWaterMark),发现真的成功了,得到了flag。
题目4-2
这道题是一段加密过后的密文,让我们解出明文(因为题目没有了,不能贴出密文了,比较可惜),尝试了一下基础的凯撒加密 、栅栏加密,发现都不是,就利用词频分析,就得到了flag。。(分享一波词频分析的网址https://quipqiup.com/)
