cai_huaer的博客

下载附件后是一个zip的压缩包，双击查看，发现里面是一个名为flag.png的图片。如下图：、右键用解压工具解压，提示有密码：压缩包有密码分为两种：一种是。（只需用十六进制编辑器将密码标志位改回即可）一种是首先，我们先从伪加密方面去考虑。更改了。具体可见上一篇文章-->里具体写的。更改标记位后，发现flag.png解压后依然无法查看，由此可见，这一题是真的加密。那么真加密我们就从暴力破解和明文攻击两个方面去考虑。之前已经点开发现里面是一张png的图片，那么png格式的12字节的文件头是固定的。

这样一看，我们改的是目录区的加密标识，数据区的加密标识还没有改，于是，搜索504B0304，后面第7，8个字节是09 00，把09 00 也改成00 00，保存后再重新解压，得到flag.txt。我们用010Editor发现，我们搜索504B0102，搜索到后，50为第一位，开始数，数到第9个字节和第10个字节，如果他们不是“0000”，那么改成“0000”。那么需要用十六进制的编辑器，去把加密的标志位改成不加密的。，则被识别为加密，但数据区未加密时即为伪加密）。2.真加密需数据区和目录区标志位均为奇数。

根据下载的gif图片，我们可以知道，用Frame Borwser来提取每一帧的图片。于是如下图，一次选出1到18张图，点击save按钮去保存。主要用于查看图片的详细信息，如文件类型、尺寸、颜色模式等，有时图片隐写的 flag 会藏在这些信息中。其实这题应该是比较简单的，相信大家都应该猜到，把每一帧的二维码保存下来，再扫描查看结果。下载附件后，发现是一个gif的动画，如下图所示，每一帧都是一个二维码，不停地循环切换。将两张或多张图片以不同的方式进行拼接组合，并浏览不同的组合效果。

下载附件，发现是一个conf.bin的文件。结合题目说的宽带信息和宽带用户名，那么我们可以推测，这个bin文件时一个宽带上网的配置文件。后来查了下资料，得知此题需要下载一款路由器的恢复工具：RouterPassView。用此工具，打开conf.bin文件，在里面查找username，即可得到flag。首先我用十六进制文件查看器查看，搜索flag和username，没有发现。

现在开始分析，从binwalk的执行结果中可以看到有jpeg文件和tiff文件，那么我们在十六进制文件中搜索，jpeg文件的文件头和tiff的文件头，分别是FFD8FFE1 和 49492A00，结果FFD8FFE1有两个，49492A00没有。如果binwalk无法正确分离出文件，可以使用foremost，将目标文件复制到kali中，成功执行后，会在目标文件的文件目录下生成我们设置的目录，目录中会按文件类型分离出文件。3.查看文件头是FFD8FFE1，这个是正确的jpg的文件头。

用binwalk看一下dat文件，发现都是gzip压缩数据，gzip文件的后缀名为gz，改过来后，再解压，之后再用notepad去查看，再搜索flag关键词，发现在三个文件中都有flag。之后把file.zip解压，解压出来后是一个New World的文件夹。‌MCA格式是Minecraft服务器中用于存储区块数据的文件格式‌，是一种二进制文件。下载附件后，是一个file.zip文件。DAT文件是一种通用数据格式，通常用于存储无特定格式要求的数据。首先查看json文件，数据中没有flag的字样。

下载附件，解压出来后是不带后缀的brave文件。用010查看，没能从文件头看出文件类型。继续查找字符串，因为提示“key的格式是KEY{}”，所以，搜索KEY。记住红线位置要选择Text格式的。

内容显示了，是一个图片，并且是一个base64编码格式的。于是把内容复制，找一个在线base64转图片的网站就可以转成一个二进制图片了。即在html文件中，加上一个img标签，src中赋值内容，再用浏览器打开，也是一张二进制图片。再将此文件用十六进制工具打开，发现出现的并不是十六进制的形式，而是一串字符串。该题目提示“在做题过程中你会得到一个二维码图片”。之后扫描二进制图片，获得flag。该题也可以用另一种方法解出。

之后用十六进制工具去看一下，发现眼见非实的docx文档的文件头是504B0304，对照文件头和对应的文件类型，判定此文件为zip文件。将docx文档，后缀名改成.zip，之后再点击解压，是一个眼见非实的文件夹，里面是一些xml文件。下载完附件，发现是一个file.zip的文件。开始我看见F1@g，看见这么短，还以为g是变量，以为会由g的赋值，然后还全局搜索g。首先，用binwalk去看一下file.zip，是否由多个文件在一起，发现没有异常。再再看一下解压出来的docx文档，他提示是zip文件。

下载附件，是一个telnet.zip文件，解压打开后，是一个networking.pcap文件。发现Telnet Data，右键此记录，选择follow(追踪流)——TCP Stream。用wireshark打开，

这道题，我首先用tweakpng打开图片，提示CRC错误，把CRC改成了他提示的值后，发现，在kali上图片可以打开了，但是还是没有任何的flag显示。本来我的思路是看看rar里面有没有合并其他文件的，想用binwalk的命令，但是kali中直接图片不能显示，提示crc错误，加上题目的名称为“隐写”，那么说明应该就是这张图片的问题。should be里面就是他计算出来的CRC值，这时，我们只要用十六进制工具打开这张图片，把原本的CRC（该题目CRC是cbd6df8a）改成他提示的值即可。

4.能命令执行后，尝试直接cat flag.php，即ip=127.0.0.1|cat flag.php，发现返回了/?”，即：ip=127.0.0.1|ls或者ip=127.0.0.1;，*等都是特殊字符不让输入，空格、bash也不让输入，如果有满足顺序为flag的字符，中间可以插入任意字符，也是不能输入的。cat$IFSindex.php，不显示其他内容，只显示ping的内容。结果不再报错，但是也没有其余多的显示，还是出现ping的结果。cat$IFSflag.php，结果返回。

MISC杂项前面几题比较简单，就合写在一起记录了。

127.0.0.1 & find / -name index.php ，这个是之前命令执行发现的index.php，就在当前目录下。127.0.0.1 & find / -name flag，发现没有任何返回，之前ping的数据都没有了。127.0.01 & cat ../../../flag，显示flag。3.由于ping是命令执行，尝试加上&，看是否后面语句是否能命令执行。于是猜测，要么文件夹位置不对，要么就是find命令不能执行。尝试：127.0.0.1 & ls ../../../

3.由于php的名字叫flag.php，我们是否可以大胆假设，他的源代码中可能会有flag的相应信息。那么现在要做的，就是显示的源代码。结合该题是有关include漏洞相关，于是，我们可以尝试使用伪协议 php://，来加载php文件。php文件不能直接加载执行，我们需要用base64编码加密让其不再运行。查看网页源代码，没有发现有效内容。4.对网页显示字符串进行解密。结果网页上出现用base64加密后的字符串。2.点击Tips，跳转到。

2.从代码可知，可以传一个cat的参数，当cat的值是“dog”的时候，他会输出一些内容。1.查看网页源代码。发现网页源代码在最下面的地方，有一端注释的代码。一般这种情况，我们就先查看网页源代码。（本来我还以为要用Syc去操作，结果不用😀）首先启动靶机，打开网址，是一张猫咪的图案。然后就很突然，屏幕上出现了flag。

密码都是admin，用户名依次尝试：admin，admin#，admin' and '1'='1'#，admin' And '1'='1'#，均结果返回“NO,Wrong username password！最后可以注入成功的用户名为：admin' or '1'='1'# 或者 admin' or 1=1#后来我发现我写错了，应该是or，不应该用and,结果用or一试就可以了。由题目所示，此题是SQL注入的，因此从SQL注入方面考虑。1.打开Burp Suite，抓取请求和返回的数据。

ffffllllaaaagggg”，发现没有“you can't see it”提示，页面是一片空白后，应该是跑到了include那去了，只是可能位置不对。仔细看checkFile方法，发现当page值是hint.php/ffffllllaaaagggg时，下面方法是false。再看一下代码，如果是文件夹，那么我们能用include漏洞去文件包含，那么需要执行到include那一行代码，需要前面三个条件都为真。的字符串，只要符合$whitelist数组中的值就行，source.php和hint.php。

最近安装了一个windows7的虚拟机，准备测试下永恒之蓝。发现同为虚拟机的kali无法ping通windows，但是windows却可以ping通kali。具体关闭防火墙方法：windows 7中，控制面板——网络和Internet——网络和共享中心——Windows防火墙——关闭Windows防火墙。后来查了下资料，发现是Windows防火墙导致的。于是关闭了windows的防火墙。开始我以为是网络设置的问题，但是发现windows可以ping通kali后，我觉得应该是设置问题。

因为之前我们是登录进来，所以有一个cookie，现在我们之间用url去请求，没有附带cookie，所以这时是需要重新回到登录页面的。再回到之前的源代码那，可以看到，密码是md5加密后再存的，所以在网上搜索md5解密，把爆破出来的密码成功还原。然后我们分析，user变量是用单引号‘去识别的，那我们在输入的时候，自己加入’后再加入一些其他的内容是不是也可以。后台数据库是MySQL，然后有两个数据库，一个是information_schema，一个是dvwa。3.接着，我们继续注入，爆破所有的数据库。

先执行ping命令，再执行 whoami。显示ping 127.0.0.1的结果。执行完ping命令后，再执行whoami。执行完ping命令后，再执行whoami。1.首先正常输入127.0.0.1。只显示whoami的输入结果。只显示ping命令的结果。4.输入IP后加||5.输入IP后加&&如有错误，欢迎指正！

加载弱口令文本后，如果觉得哪一个弱口令不要，可以直接选择那一行的弱口令，再点击Remove，如果觉得需要添加哪个弱口令，可以在Add按钮右边的输入框输入后，再点击Add按钮进行添加。一共9个口令，爆破18次，会依次赋值去爆破，首先第一个参数，依次赋值弱口令字典的值，然后第二个参数为之前提交的默认参数，当时我写的密码是112233，所以前面9次爆破就是第一个参数依次赋值字典，第二个参数为112233，后面9次爆破就是第一个参数为当时我输入的112233，第二个参数依次赋值字典的值。