Writeup of NCTF

最新推荐文章于 2024-06-08 14:45:43 发布
最新推荐文章于 2024-06-08 14:45:43 发布
阅读量1.7k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf 文章标签: 信息安全 ctf writeup 南京邮电
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36992069/article/details/76855246
本文详细介绍了南京邮电大学网络攻防训练平台上的CTF挑战,涉及MD5碰撞、HTTP请求、Cookie利用、MySQL查询、文件下载、变量覆盖等技巧,通过代码审计和漏洞利用,解密隐藏的flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

南京邮电大学网络攻防训练平台

md5 collision

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
    echo "nctf{*****************}";
} else {
    echo "false!!!";
}}
else{echo "please input a";}
?>

PHP弱类型,在url后面构造< ?a=* >(*的md5为0e开头)即可。

flag: nctf{md5_collision_is_easy}

签到2

这里写图片描述
按照题目说的做,输入口令“zhimakaimen”,然后点击开门,然而没有生效。
这时检查一下视图:
这里写图片描述
发现value一项为空。我们编辑一下:

<input type="password" value="zhimakaimen" name="text1" maxlength="10">

再点击一下开门,得到flag

nctf{follow_me_to_exploit}

这题不是WEB

打开题目后看到一张gif图,又说不是web题,那就把图片下载下来查看一下。

因为我在linux上做的直接命令行 vim 2.gif ;
Windows上可以用notepad等直接打开。

这里写图片描述

得到flag: nctf{photo_can_also_hid3_msg}

单身二十年 and 单身一百年也没用

这两道题是相同的——302跳转,我们需要抓取跳转过程中的网页。

可以用Python中的requests模块解决这类问题。

import requests
u='http://chinalover.sinaapp.com/web9/index.php'
print requests.get(u,allow_redirects=False).headers

只需要3行代码就搞定。

需要注意的是:前者的flag在content中,后者在headers中。

flag: nctf{yougotit_script_now};nctf{this_is_302_redirect}

打开题目后发现什么也没有,检查一下数据,发现:

Cookie: Login=0

根据提示 0==not ,我们用burpsuite抓包,把 0 改成 1 即可。

flag: nctf{cookie_is_different_from_session}

MYSQL

其实这是一道代码审计题。

打开题目后跟着提示,在url后面加上robots.txt ,回车,发现一段代码。

<?php
if($_GET[id]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $id = intval($_GET[id]);
  $query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
  if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }
  else{
    echo($query[content]);
  }
}
?>

要求:既要让 GET[id]!=1024 id==1024 。
这其中有一个函数 intval() ,作用是取整。

那么我们在sql.php提交 id=1024.1 即可。

flag: nctf{query_in_mysql}

Download~!

“想下啥就下啥~别下音乐,不骗你,试试下载其他东西~”

点击TIPS,没有反应,看一看源代码吧。

<p><a href="download.php?url=eGluZ3hpbmdkaWFuZGVuZy5tcDM=" target="_blank">星星点灯</a></p>
            <p><a href="download.php?url=YnV4aWFuZ3poYW5nZGEubXAz" target="_blank">不想长大</a></p>

很明显,url后面的文件名是base64加密的。

我们访问一下download.php,被禁止了,不妨把页面下载下来,其base64加密的值为 ZG93bmxvYWQucGhw 。

打开源码

<?php
error_reporting(0);
include("hereiskey.php");
$url=base64_decode($_GET[url]);
if( $url=="hereiskey.php" || $url=="buxiangzhangda.mp3" || $url=="xingxingdiandeng.mp3" || $url=="download.php"){
    //…………
}
else {
    echo "Access Forbidden!";
}
?>

我们发现了一个名为”hereiskey.php”的文件,同样base64加密后下载
下来。

得到flag :nctf{download_any_file_666}

/x00

代码审计,题目直接给出源码:

  if (isset ($_GET['nctf'])) {
        if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
            echo '必须输入数字才行';
        else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   
            die('Flag: '.$flag);
        else
            echo '骚年,继续努力吧啊~';
    }

根据提示,用00截断。ereg()函数对 %00 后面的内容不做检查。

其实还有一种骚操作。

首先说明一下PHP中三个等号”===”的作用:在不经过类型转换的情况下,直接判断是否相等。

ereg()函数按照正则表达式对字符串进行检查,换句话说,对与其它类型的变量,函数直接报错。

所以我们提交一个数组上去:nctf[]=#biubiubiu

得到flag:nctf{use_00_to_jieduan}

bypass again

“依旧是弱类型”

打开题目后发现源码:

if (isset($_GET['a']) and isset($_GET['b'])) {
if ($_GET['a'] != $_GET['b'])
if (md5($_GET['a']) === md5($_GET['b']))
die('Flag: '.$flag);
else
print 'Wrong.';
}

要求:a与b的值不相等而md5值相等,准确得说是md5完全一样。

所以0e**** 就不管用了,但是md5一定存在吗?数组可不能求md5。

于是提交:?a[]=1&b[]=2

flag: nctf{php_is_so_cool}

变量覆盖

——听说过变量覆盖么?
——我读书少,没听说过。

google了一下:变量覆盖是指可以用我们自定义的参数值替换程序原有的变量值。

查看源码:

<?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?>
                        <?php
                        extract($_POST);
                        if ($pass == $thepassword_123) { ?>
                            <div class="alert alert-success">
                                <code><?php echo $theflag; ?></code>
                            </div>
                        <?php } ?>
                    <?php } ?>

要求: pass== thepassword_123

不是说变量覆盖吗,那我两个变量都提交好了。

import requests
u='http://chinalover.sinaapp.com/web18/index.php'
d={'pass':'123','thepassword_123':'123'}
print requests.post(u,d).content

得到flag: nctf{bian_liang_fu_gai!}

PHP是世界上最好的语言

打开题目,根据提示访问index.txt,发现源码:

<?php
if(eregi("hackerDJ",$_GET[id])) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "<p>Access granted!</p>";
  echo "<p>flag: *****************} </p>";
}
?>

要求:id既不等于hackDJ,又等于hackDJ。(太无赖了)

但是题中有一个函数:urldecode(),那么我们就对”hackDJ” urlencode()一下。

比如我们把h转码(h的ASCII为104,转16进制为68,再加个百分号)——%68,提交。

然而失败了,因为浏览器会对地址栏的内容自动解码。

让我们再把百分号转码一下(%25),提交 ?id=%2568ackDJ

得到flag: nctf{php_is_best_language}

pass check

题目直接给出源码:

<?php
$pass=@$_POST['pass'];
$pass1=***********;//被隐藏起来的密码
if(isset($pass))
{
if(@!strcmp($pass,$pass1)){
echo "flag:nctf{*}";
}else{
echo "the pass is wrong!";
}
}else{
echo "please input pass!";
}
?>

关键在strcmp()这个函数,当两个字符串相同时返回0,所以函数前有了非运算。

但如果参数不是字符串,那么让函数返回False,即可绕过。

import requests
u='http://chinalover.sinaapp.com/web21/'
d={'pass':'123'}
print requests.post(u,d).content

得到flag: nctf{strcmp_is_n0t_3afe}

∞挖坑待续……

续……

2023 NCTF writeup
若谷的博客
12-26 1500
【代码】2023 NCTF writeup
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
【F2C】NCTF 南邮攻防平台 Write Up
KANITAN___的博客
11-19 712
说在前面 大部分参考:NCTF 南京邮电大学网络攻防训练平台 WriteUp 做题网址:CG-CTF (做得还蛮好的,只是里面时不时出现某同学的名字实在好出戏) 里面的解答比较全,不过我有几题没写出来,以后做出来了会更新。 刚接触CTF,很多东西不懂,只是为了做个笔记,比较适合新入门的同胞们看,老鸟们……求指导啊!
NCTF Crypto WriteUp
weixin_43773570的博客
01-01 620
http://ctf.nuptzj.cn/challenges Crypto篇: 第一题、第二题、第七题和CG-CTF一样,不写了… 第三题: 说了全家桶,那就python跑吧… Flag:nctf{base64_base32_and_base16} 150分到手 第四题: 鬼知道进行了几次… 首先把base.txt中的回车都搞了,Notepad++吧,嗯。\r\n替...
2019-NCTF web writeup(上)
crispr的博客
11-26 1454
2019-NCTF web’s writeup 收货 1.php常见绕过姿势 2.XXE漏洞利用技巧及SSRF 3.文件上传绕过姿势 4.preg_replace函数的利用 0X01 easyphp <?php error_reporting(0); highlight_file(__file__); $string_1 = $_GET['str1']; $strin...
HNCTF
m0_73725283的博客
05-27 1472
正常·RSA常用的e是65537,那么65537-1=65536,它可能在base家族中能被找到(好明显的提示啊,想不到/(ㄒoㄒ)/~~)奇怪的字符,肯定也是一种加密,再次看到提示2^11=2048,所以是base2048(这谁想得到,摔桌(╯▔皿▔)╯)时间戳,是从1970年1月1日(UTC/GMT的午夜)开始所经过的秒数(不考虑闰秒),用于表示一个时间点。根据上图,有:模p的三阶矩阵群的阶为p(p-1)(p+1)(p^2+p+1)矩阵上的RSA,n是不大的,可以直接分解,主要还是求d的问题。
HNCTF---crypto mathRSA
3tefanie的博客
10-13 1434
【真正有嚼头的男女情爱,就是哑巴吃黄连,旁人拦不住,不吃还不行。】
NCTF 南京邮电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
bugkuctf web基础部分 writeup
river
03-20 3031
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
南京邮电大学网络攻防训练平台writeup
weixin_34234829的博客
08-13 1623
为了让各位能够好好查看一下,我违规操作了(QAQ)放在随笔里面了(Orz) 本文转自findneo:https://www.cnblogs.com/findneo/p/nupt-ctf-writeup.html 南邮CTF平台网址: http://ctf.nuptsast.com/challenges http://ctf.nuptzj.cn/cha...
NCTF2021——wp
m0_46296905的博客
11-30 940
文章目录一、REHello せかいShadowbringer鲨鲨的秘密二、MISC做题做累了来玩玩游戏吧Hex酱的秘密花园Hello File Format 一、RE Hello せかい ida反编译,flag明文给出 Shadowbringer 那两个函数是2次base64变异码表的编码,函数反过来换两次码表解码一下就得到flag。 鲨鲨的秘密 SEH里面有反调试(直接nop),还有初始化表需要用到的key(dword_404E58) for循环里面边smc边执行,直接动调分析逻辑 最后写exp如
NCTF2018web-wp
wuerror的博客
01-24 630
签到题: 访问indexphp,页面301跳转,在cookie里找到flag 待续
HNCTF week1
qq_49341576的博客
04-24 505
代码分析。
nctf-web
电风
03-30 2483
1:你从哪里来 你是从 google 来的吗? http://115.28.150.176/referer/index.php BP截包 看到referer这里修改如下 Repeater->go 返回flag,网页显示如下: 2单身一百年也没用 传送门:biu~ http://chinalover.sinaapp.com/web9/ 题目提示到这里找KEY,点击KEY链接, 显示
[HNCTF]crypto-wps
weixin_52118017的博客
10-28 3608
hnctf-crypto方面题解
HNCTF----Reverse复现
2203_75549399的博客
05-14 1859
ctf,HNCTF逆向
HNCTF2022 RE
最新发布
2301_80048347的博客
06-08 983
64位ELF,ida打开主函数decrypt函数,为tea加密,v ,k 已知tea加密解密函数(C语言)function函数根据以上写脚本即可,不用逆向,直接写。
HNCTF--Misc部分题解
m0_60715541的博客
11-03 1230
分享一下,HNCTF种三道有意思的题目
hnctf-pwn-[week1]
m0_64174759的博客
11-20 1908
hnctf pwn week1 WP,栈溢出,格式化字符串,32位,64位rop,ret2shellcode,可见字符串,格式化字符串
Hack.lu-2017 The Maya Society Writeup资源解析
2. The Maya Society Writeup: 这个标签表明该资源文件与Hack.lu-2017中的“The Maya Society”挑战的Writeup相关。这意味着对于CTF竞赛的参与者而言,该文件是一个参考资料,可以用来学习他人是如何解决该挑战的。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值