o3Ev的博客

bugku~红绿灯下载好附件打开：是一张gif图片仔细观察，在闪一定数量后，黄灯开始闪烁，猜测红绿应该是一种加密，不是01就是摩斯，再数一下数，可以发现在红绿交替闪烁8次过后黄灯闪烁毫无疑问，这是二进制信号第一个问题来了，怎么将图片信号灯转换为二进制形式呢？这就要通过python里的PIL库来实现了（PIL~~yyds！）PIL库是python里自带的库，用的最多的就是里面的Image方法了给大家讲讲最简单的Image知识，待会不至于看不懂代码：Image.open('xxx.jpg')：

bugku~No one knows regex better than me题目描述：正则好像没有想象中的那么简单打开环境得到一串代码：<?php error_reporting(0);$zero=$_REQUEST['zero'];$first=$_REQUEST['first'];$second=$zero.$first;if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){ $key=

bugku~xxx二手交易市场打开环境：页面内的东西很多，这时我们随便点点，可以看到在url地址栏上出现了id=xxx的字样，我一瞬间想到了sql注入，然后构造了一些payload，发现不行，就继续去找其他的页面了，我们不难想到这些页面容易发生漏洞的地方-------登陆或者注册页面这时我们随便先试试注册一个账号，再登陆进去，可以发现来到了用户界面用户界面一般就可以进行上传头像等，果不其然（真的可以上传头像既然都可以上传头像了，应该就是文件上传漏洞了，随便上传个图片抓包试试：可以发现

bugku~神秘的文件记录我做题的思路首先我们打开下载好的文件其中flag.zip文件加了密，并且里面有一张一模一样的logo.png，所以我当时就在想入手点可能是logo.png我将解压好的且能打开的logo.png放到010下，但没什么发现，然后就试了下binwalk，分离得到了这几个文件看到zlib，又试着将其改为zip文件，但都打不开（有点小崩溃仔细思考了下，想到压缩包内外都有相同文件，可以用明文攻击（但明文攻击的压缩包内只能有一个文件），所以我们得把flag.zip里的另一个文件删

bugku~图穷匕见首先我们下载好文件，打开后见到：没找到什么信息，这时我们查看图片属性：可以看到应该是要让我们画图，属性看完了，就放到010里去看一下：可以看到后面有一长串数字，将其复制，仔细观察，猜测为16进制，试一试把它转换成text可以发现得到了有点像坐标的东西，再联想到之前的画图，然后百度得到了一个叫gnuplot的工具（可以在kali里下试了一下，得不出来（在这里卡了很久然后才知道，原来要把坐标修改一下，去掉括号和逗号，再次尝试：可以发现得到了一张二维码，直接放到工具

bugku~小山丘的秘密（套神的题yyds首先我们下载压缩包得到一个.txt和一个.jpg打开txt文件发现关键信息：A=1接下来打开jpg文件在这里插入图片描述乍一看，看不出什么东西，然后想到题目描述，hill能有什么秘密呢（hill其实就是希尔密码，希尔密码简单理解就是利用基本的矩阵理论来替换密码因此不难想到棋盘就是一个矩阵（一般来说希尔密码一般是A=0，B=1，但.txt文件里说A=1，往后推，可以知道Z=0）将矩阵用于棋盘，可以知道为abczadefz(这个就是矩阵私