渗透测试研究中心

羊城杯-2024webweb2进题信息搜集一下，dirsearch发现了login路由可访问，先随便点一下，发现了一个文件读取：http://139.155.126.78:30148/lyrics?lyrics=Rain.txt我尝试了一下：http://139.155.126.78:30148/lyrics?lyrics=../../../../../../../../etc/passwd发现...

CryptoXOR1.打开环境是一串字符，用一个异或脚本或者在线解码工具就可以解出来(只有一次加密)key是mimic解密得到flag在线解密或者脚本：# 密文ciphertext = "0b050c0e180e585f5c52555c5544545c0a0f44535f0f5e445658595844050f5d0f0f55590c555e5a0914"# 将十六进制字符串转换为字节ciphe...

一、青龙组WEB web1 开局随便随便输入都可以登录，登上去以后生成了一个token和一个session，一个是jwt一个是flask框架的这边先伪造jwt,是国外的原题CTFtime.org / DownUnderCTF 2021 (线上) / JWT / Writeup先生成两个token，然后利用rsa_sign2n工具来生成公钥 python3 jwt_forgery.py eyJh...

初赛web_ezcmsswagger泄露test/test测试账号登录，/sys/user/**没有做鉴权，可以添加一个超级管理员用户，此时仍然不知道roleId。并且role模块没有未授权。继续阅读user模块，发现接口这里存在roleid泄露，这里填入前面泄露的admin的idfcf34b56-a7a2-4719-9236-867495e74c31GET/sys/user/roles/f...

检材链接：https://pan.baidu.com/s/1fwHb_5svMyK3Gr4-QeNc0Q?pwd=43a3挂载密码：2024Fic@杭州Powered~by~HL!手机部分1. 嫌疑人李某的手机型号是？A. Xiaomi MI 2sB. Xiaomi MI 4C. Xiaomi MI 6D. Xiaomi MI 8在火眼中分析到蓝牙名称是Xiaomi MI3Wimage-2024...

一、MISC1.火锅链观光打卡打开后连接自己的钱包，然后点击开始游戏，答题八次后点击获取NFT，得到有flag的图片没什么多说的，知识问答题兑换 NFTFlag{y0u_ar3_hotpot_K1ng}2.Power Trajectory Diagram方法1：使用py中的numpy和pandas库读取npz文件并保存为csv文件，代码如下：import numpy as npimport pa...

0x00 前言本文是关于“2024高校网络安全管理运维赛”的详细题解，主要针对Web、Pwn、Re、Misc以及Algorithm等多方向题目的解题过程，包含但不限于钓鱼邮件识别、流量分析、SQLite文件解析、ssrf、xxe等等。如有错误，欢迎指正。0x01 Misc签到给了一个gif，直接在线分帧得到synt{fvtava-dhvm-jryy-qbar}，一眼凯撒，直接rot13解码fla...

WEBPasswdStealer前言本来题目叫PasswdStealer的：)考点就是CVE-2024-21733在SpringBoot场景下的利用。漏洞基本原理参考https://mp.weixin.qq.com/s?__biz=Mzg2MDY2ODc5MA==&mid=2247484002&idx=1&sn=7936818b93f2d9a656d8ed4884327...

一、数据安全解题赛1、ds_0602解题思路题目让我们获取加密文件中的原始数据，解密后提交第六行第二列数据，下载附件，发现里面有两个文件，其中一个是“.enc”结尾，那这里我们得先简单了解一下“.enc”结尾的是什么类型的文件。简单来说“.enc”结尾的文件通常是经过加密的文件。具体来说，文件扩展名“.enc”并不代表某种特定的文件类型，而是一个通用的标识，表示文件内容已被加密，那题目要求我们的...

WEB题目：Sanic's revenge解题步骤首先看到给出的附件:from sanic import Sanicimport osfrom sanic.response import text, htmlimport sysimport randomimport pydash# pydash==5.1.2# 这里的源码好像被admin删掉了一些，听他说里面藏有大秘密class Pollute...

一、WEB1.消失的flag访问提示Access Deniedfakeip插件伪造ip提示File is Null尝试加file参数?file=index.php`提示`do not hack!!大概是filter-chain参考文章：https://www.cnblogs.com/linuxsec/articles/12684259.html https://blog.youkuaiyun.com/yua...

一、PWN1.Nullullullllu在直接给 libc_base 的情况下，一次任意地址写 \x00 。直接修改IO_2_1_stdin的 _IO_buf_base 末尾为 \x00 ，那么 _IO_buf_base 就会指向IO_2_1_stdin的 _IO_write_base，接下来就是利用 getchar 函数触发写操作修改IO_buf_base为IO_2_1_stdo...

WEBSQLUP打开题目给了一个登录页面结合名字猜测为SQL注入查看源码发现有hint提示开发者使用的是模式匹配所以我尝试使用%来模糊匹配，登陆成功username=admin&password=%进入面板之后发现有一个文件上传功能尝试上传php文件，结果被waf，文件名字不能出现p我想到了使用.htaccess文件来解析gif文件来getshell先上传.htaccess文件, 将1....

第一章 应急响应-webshell查杀简介靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx...

生成beacon_x64.exe后门，将后门上传到目标服务器，在目标服务器中点击该后门文件，CS即可上线。CS上创建监听：这里注意http host和http port和MSF加载反弹的地址一一对应。set lport 3333 # msf所在主机自定义端口号，与后门文件中的一致。http host: msf对应的IP地址，http port:MSF生成监听端口。set lhost 192.168.30.131 # msf所在主机的ip。#使用MSF进行加载反弹给CS。#本地生成msf后门。

CRYPTO签到题-学会SMhttps://www.json.cn/encrypt/sm3题目要求小写所以需要转换一下或者脚本：import hashlibmessage = "heidun2024"hash_object = hashlib.new('sm3')hash_object.update(message.encode('utf-8'))hash_value = hash_object...

WEBEncirclingGame题目描述：A simple game, enjoy it and get the flag when you complete it.开题，前端小游戏，红点出不去就行直接玩通关了看看如何不玩也能拿到flag，flag存储在后端php文件内，前端找不到。看一下游戏的请求包，里面记录了红点的最后位置和防火墙(黑点)的位置。那么我们伪造下，防火墙绕满周围一圈，但是红点...

第一部分：初始谜题这一部分算是开胃菜，形式也更像平时见到的CTF题目，三个题目都是python加密的，做出其中任意一个就可以进入第二部分，也就是一个更类似真实情境的大型密码渗透系统。但每个初始谜题都是有分数的，所以就算开了第二部分也当然要接着做。每个题目也都有前三血的加成，一血5%，二血3%，三血1%，在最后排名的时候会先根据分数再根据解题时间，所以血量分其实很重要，但是手速实在不太够然后就是他...

WEBinput_data使用工具https://github.com/kost/dvcs-ripper./rip-svn.pl -u http://101.200.58.4:10005/.svn下载下来.svn目录然后查看结构发现几个文件cd进去目录，然后cat 文件名字即可看到 flag{5674938f-803d-4c41-8f84-a77f5164bb4f}Flag： f...

decompress压缩包套娃，一直解到最后一层，将文件提取出来提示给出了一个正则，按照正则爆破密码，一共五位，第四位是数字^([a-z]){3}\d[a-z]$一共就五位数，直接ARCHPR爆破，得到密码 xtr4m，解压得到flagpleasingMusic题目描述中提到：一首歌可以好听到正反都好听根据提示(其实也能听出来后半段音乐是倒放出来的)将音频进行反向处理实现倒放，再解析其中的摩斯...

首先通过附件帐号信件获取到帐号通过base64或者jsfuck可获取提示js和c，审计一下js那么可以看到c函数，运行一下。获取到 github 项目地址查找提交历史我们发现了源码审计源码发现为 可能存在spring–boot 未授权绕过在admin的页面下的/post_message/接口存在fastjson解析查看具体版本发现无法直接ladp攻击，查看依赖发现引入了shiro。

最坏情况下，前5次全输，需要87步即可达到260分，即第92轮时，因此可以通过本题。利用SQL注入修改data数据的值，本题data是数组，且会插入数据库，最终的payload需要改一下让前后闭合，且TP5，在网上找一个链子的EXP改一下。当然，前一题的SQL注入点依然存在，不过依然需要鉴权进入后台，这意味着，只需要我们能进入后台，就能通过load_file的方式读取flag。简单来说，就是能set任意的值，例如下方的payload，就能注入一个snowwolf的键，且值为wolf，4代表数据长度。

一、环境安装1.kali下安装Volatility2注意：一般Volatility2比Volatility3好用wget https://bootstrap.pypa.io/pip/2.7/get-pip.pypython2 get-pip.pypython2 -m pip install Cryptopython2 -m pip install pycryptod...

WebX1cT34m_API_SystemAuthor：wh1sper题目描述：在API安全的新时代，安全圈迎来风云变幻。掀起巨浪的你？只手遮天的你？选择保护还是放弃你的曾经的伙伴？target:http://129.211.173.64:58082/附件链接：https://wwn.lanzoui.com/iUoDwwyfdxchint1:the hidden API to bypass 4...

MISC1 签到难度 签到复制给出的flag输入即可2 range_download难度 中等flag{6095B134-5437-4B21-BE52-EDC46A276297}0x01分析dns流量，发现dns && ip.addr=1.1.1.1存在dns隧道数据，整理后得到base64:cGFzc3dvcmQ6IG5zc195eWRzIQ==解base64得到:passwo...

0x00 Misc一、应该算是签到快去BV1ZX4y1V7Qb找一条全部由字母和下划线构成的特色flag弹幕吧！flag格式为D0g3{xxxxxxx_xx_xxxxxxxxx}访问视频半天没找到flag，眼看几分钟都十几解了，我想到了村霸的一句名言：钓不到鱼我就用抽水机来抽(直接用jjdown下载该视频的XML弹幕文件，然后直接搜索D0g3D0g3{welcome_to_axbgogogo}...

WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST：admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...

Web1.esay_eval<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; ...

Web1.Checkin解题思路这道题 前面根据 源码应该是 nosql注入，我分析的payload：username='||1){returntrue;}})//&password=123456盲注得admin/54a83850073b0f4c6862d5a1d48ea84fimporttimeimportrequestsimportstringsession=reque...

Webeasywill解题思路变量覆盖http://eci-2zej1goyn9jh8hty6ton.cloudeci1.ichunqiu.com/?name=cfile&value=/etc/passwdP神博客最近的文章利用pearcmd：https://tttang.com/archive/1312/Pentest in Autumn解题思路http://eci-2ze40jm52...

WebHackMe开局一个文件上传，utf-16的编码绕过，然后根据提示爆破文件名 爆破最后四位 0000 - 9999， 就可以访问到了，注意是12小时。PwnbabyropDEBUG# _*_ coding:utf-8 _*_from pwn import *import numpy as npcontext.log_level = 'debug'#context.terminal=...

CryptoVigenere在https://www.boxentriq.com/code-breaking/vigenere-cipher网站爆破得到为key:asterism解密得到falg。或者根据题目Vigenere可看出是维吉尼亚密码使用在线解码工具破解https://guballa.de/vigenere-solverflag：flag{53d613fc-6c5c-4dd6-b3c...

WEBmmmmd5d5d5d5链接打开页面绕过?a[]=1&b[]=2构造md5<?phpfor($i = 0 ; $i <= 100000 ; $i ++){ if (substr(md5($i) , 5, 5) === "3ddc6") { echo $i; break; }}?>进入到下一层提交ffifdyop得到：<?phpe...

签到题目内容是一个 pdf 文件，用 Adobe Acrobat 打开，看到其中包含一些特殊符号。在编辑模式下，查看得到其字体为 Wingdings，这是一个装饰字体，文本内容其实是 ASCII 码。文本范围是超出页面的，resize 之后复制出其内容，给出了两行文字：这是栅栏密码，得到 flag 为flag{Have_A_Great_Time@GeekGame_v1!}。fa{aeAGetT...

Web1.[强网先锋]寻宝下发赛题，访问链接如下：该题需要你通过信息 1 和信息 2 分别获取两段 Key 值，输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”，发现是代码审计：完整源码如下：<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__...

一、WEB1.web_BaliYun进去之后一个文件上传，而且只能上传图片。访问www.zip拿到源码网站源码：index.php:<?phpinclude("class.php");if(isset($_GET['img_name'])){$down=newcheck_img();#hereecho$down->img_check();}if(isset...

1.Web1-1:题目名称：目录扫描Flag:DASCTF{84a70245035ca88088a2ba6ae2378021}1-3:题目名称：MissingData主要就是开头ob_start();所以所有输出都会存到缓冲区，用户手动取输出所以文件名$this->LOG_NAME由hello获得：$hello = $_GET['hello'];echo $hello...

一、misc1.题目名称：CyberSpace先选择最小的数使其相等，然后分成两部分依次加各部分最小的次数，不会写脚本只能手搓b= [32 , 38, 27 , 33 , 53 , 30 , 35 , 32 ,32 , 31 , 44 , 31 , 40 , 46 , 25 , 50 , 41 , 44 , 55]flag=''for i in range(len(b)):flag+=chr(b...

0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序，发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...

re-babyre1、下载得到chall.txt，使用file命令查看文件类型，该文件是python文件2.这里将chall.txt重命名为chall.pyc使用在线python反编译得到python(https://tool.lu/pyc)from ctypes import c_uint32from base64 import b64encodedef enc(rounds: int, v:...