2016第七季极客大挑战Writeup

第一次接触CTF,只会做杂项和一点点Web题……因为时间比较仓促,写的比较简略。以后再写下工具使用什么的。

纯新手,啥都不会。处于瑟瑟发抖的状态。

一、MISC

1.签到题

直接填入题目所给的SYC{We1c0m3_To_G33k_2O!6}

并且可以知道后边的题的Flag格式为 SYC{}

2.xiao彩蛋

题目提示关注微博,从Syclover Team 博客(http://blog.sycsec.com)可获取到三叶草小组微博,私信发送flag后即可得到。

3.闪的好快

一开始拖进PS分帧数查看,发现二维码都是一半一半不完整的……直接找了个在线分解了一下,共18帧,一帧一阵扫即可。

4.Come_game

打了一分钟就放弃了。手残党第一层三个刺那儿就过不去。关闭游戏后,发现生成两个文件,猜测DeadTime是保存死亡次数的,save1保存游戏关卡信息。

删除后这两个文件后,观察发现进入死亡次数、时间信息时,生成DeadTime,进出关卡后生成save1。

查看两个文件的修改时间(左为save1,右为DeadTime),在试玩时保持了在第一关存档点时不死亡,因此可以知道之前的猜测是正确的。

2016第七季极客大挑战Writeup

用十六进制编辑器HexEditXP打开save1,修改关卡信息,尝试后发现共5关,修改即可。

2016第七季极客大挑战Writeup

5.Snow

打开网页,查看源码得到key。

2016第七季极客大挑战Writeup

提示是html隐写,通过关键词搜索,可以查到有snow隐写。将key和网址一并丢入解码网(http://fog.misty.com/perry/ccs/snow/snow/snow.html),就可以得到Flag。

6.旋转跳跃

一个mp3文件,题目写着“熟悉的声音中貌似又隐藏着啥”,由题目信息,可以知道是MP3隐写,使用MP3stego(http://www.petitcolas.net/steganography/mp3stego/)可解。

7.凯撒部长的奖励

给了一串类似于Flag格式的字符串,结合题目“凯撒”,可以知道是凯撒加密,以Flag格式可知需要将MSW移至SYC,即右移6位即可。可以写代码跑,也可以丢进相关的解密网站跑。

8.MD5cracker

给定字符串01540f319ff0cf88928c83de23l27fbb,根据题目提示进行MD5解密查询,发现无效。观察发现其中有个l,改为1,再次查询解密后得到Flag。

2016第七季极客大挑战Writeup

9.PEN_AND_APPLE

给了一段极其羞耻的MP4格式的视频,由于是MISC题,联想到视频隐写,搜索之,但只查到WAV格式的。提示是Windows下命令行,查阅《数据隐藏技术解密》一书的Windows相关内容,了解到是NTFS数据流隐写。

2016第七季极客大挑战Writeup

通过搜索可知使用相关工具进行解密。但第一次尝试时未出Flag,反而出现了自己在动手实验时修改过的隐藏内容(然后把自己给误导了)……

2016第七季极客大挑战Writeup

查阅后发现只能用WinRar进行解压,否则会使隐藏文件损失。

可以在命令行下提取(使用lads和streams进行操作)或者使用NTFS Stream Info工具查看。

10.藏着小秘密的流量包

下载后发现是pcapng文件,根据提示“用手机共享”,搜索蓝牙传输协议,即OBEX,用WireShark分析,定位可以看到,传输了一个名为“secret.rar”的压缩包,提取出来就能得到Flag。

二、Linux

1.linux_1

在Ubuntu环境下进入docker,在 /usr/local/etc/geek/ 下取出第一个Flag。

2.linux_2

通过docker目录文件查看,发现有个Flag2.swp,以“swp文件”为关键词进行搜索,查到这是vi非正常退出而产生的swp文件,通过vi -r {your file name} 这个命令可以恢复。

3.linux_3

题目描述flag是某用户的登陆密码,通过Docker下查询发现有个用户名与syc相关的。

linux下用户密码的储存位置是/etc/passwd以及/etc/shadow

提取出来后,使用工具John,写字典进行爆破即可。

unshadow /etc/passwd /etc/shadow > mypasswd

2016第七季极客大挑战Writeup

参考资料:http://www.cnblogs.com/iamstudy/articles/linux_password_shadow.html

http://www.heblug.org/chinese_docker/userguide/

http://blog.csdn.net/lingdxuyan/article/details/4993868

三、Program

compress300

题目是一个300层的压缩包,且压缩包内文件无后缀名。

偷懒直接用了个按键精灵,不断解压、修改文件后缀。得到Flag。

四、Reverse

re10-一起嗨皮

只会这个。觉得逆向学习周期太长,听了一位师傅的建议,暂时先放下了RE。

这题用OD找到字符串就可以啦……

五、Web

1.web_1

F12看一下HTTP响应头,得到Flag。

2016第七季极客大挑战Writeup

2.web_2

打开网页,提示not admin

2016第七季极客大挑战Writeup

抓包,改一下whoami和root即可。

2016第七季极客大挑战Writeup

3.Social Engineering

一道社工题。

2016第七季极客大挑战Writeup

通过在线社工库,用邮箱查询可以知道邮箱主人的姓名是“肖力”,下边提示说“有贴吧的伪男”,进入 百度“肖力吧”,可以看到在有一贴子在比赛时间点时发布,提供了一个QQ号。查看该QQ号内容。发现发了一张图……还以为是图片隐写,尝试无果。

2016第七季极客大挑战Writeup

于是查看留言板内容,发现提示域名的注册人联系号码就是Flag。然后上万网查询比赛官网WHOIS得到答案。

4.sqli1

查看源码,有个tips。

2016第七季极客大挑战Writeup

可以得到参数是sycid,使用SQLMAP对该网址

(http://web.sycsec.com/d03e52c272e42e7c/?sycid=1)尝试注入(在Linux环境下)。

检测注入点——爆库——爆表段——爆字段——Dump。

sqlmap -u "http://web.sycsec.com/d03e52c272e42e7c/?sycid=1" -D sycsqli1 -T “#FL4G#” --columns

这里#FL4G#需要加个引号包含这个字段。

参考资料:http://nouername.github.io/2016/06/17/sql注入/

https://www.nigesb.com/sqlmap-common-usage-and-examples.html

http://www.legendsec.org/1111.html

5.sqli2

使用Burp抓包,改Debug=1

通过逻辑运算符XOR,使用万能密码,返回1即可

6.人生苦短

“交提”计算结果后查看源代码,得到一大串编码,使用在线解码,发现是Base64和Base32转来转去,可以用Python调用内置的模块进行解码。

7.狗师傅的计算器

写Writeup的时候已经无法访问这个网页了,只能回忆一下。

打开后发现是健脑操的一段代码。使用在线解码,得到一个welcome.php页面。

进入这个welcome页面,随意输入答案后,得到两个链接,有一个链接是robot.txt,联想到网站的robots协议,进入一下这个地址。

查看这个页面的内容,然后查询资料,有个include,知道这是一个文件包含。

参考http://www.cnblogs.com/iamstudy/articles/include_file.html ,查询php相关的内容,多次尝试得到一串编码,解密后得到Flag。

8.上传1

看题目后,搜索文件上传漏洞。尝试上传一句话php,提示类型不支持。说明php后缀过滤,查看资料,说是phpstudy可以使用 .php/.php3/.php4/.phtml上传,经过测试,发现.phtml有效。

使用Burp改成.phtml后上传即可。

2016第七季极客大挑战Writeup

参考资料:

http://www.icookie.org/文件上传.html

http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7

9.文件上传2

上传成功后,应当getshell了。

随意上传了一个一句话,访问地址,发现页面上直接显示出php代码了,调的脚本里,’php’被替换掉了,导致一句话无法写入。然而依然不会做。

之后经一位师傅提示,使用<script>的一句话绕过上传,使用菜刀连接了。

具体是哪句,不知道丢在哪儿了……所以没交给主办方……

——————————————————————

比赛官方推荐的学习链接:

== web ==

文件包含:http://www.cnblogs.com/iamstudy/articles/include_file.html

sql注入:http://www.cnblogs.com/lcamry/category/846064.html

sqli1/sqli2

xss:https://github.com/l3m0n/XSS-Filter-Evasion-Cheat-Sheet-CN

文件上传:http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7

代码审计:http://wooyun.jozxing.cc/static/drops/papers-4544.html

== misc ==

隐写术:http://www.jianshu.com/p/67233f607f75
snow\旋转跳跃

编码与加密:http://www.tuicool.com/articles/2E3INnm
凯撒部长的奖励

== writeup ==

第五届极客大挑战:http://wooyun.jozxing.cc/static/drops/tips-3434.html
第六届极客大挑战:http://www.tuicool.com/articles/JfqMrq2

上一篇:编译RocketMQ


下一篇:支持Python 2.7的pylot