首页 > 代码库 > 2016第七季极客大挑战Writeup
2016第七季极客大挑战Writeup
第一次接触CTF,只会做杂项和一点点Web题……因为时间比较仓促,写的比较简略。以后再写下工具使用什么的。
纯新手,啥都不会。处于瑟瑟发抖的状态。
一、MISC
1.签到题
直接填入题目所给的SYC{We1c0m3_To_G33k_2O!6}
并且可以知道后边的题的Flag格式为 SYC{}
2.xiao彩蛋
题目提示关注微博,从Syclover Team 博客(http://blog.sycsec.com)可获取到三叶草小组微博,私信发送flag后即可得到。
3.闪的好快
一开始拖进PS分帧数查看,发现二维码都是一半一半不完整的……直接找了个在线分解了一下,共18帧,一帧一阵扫即可。
4.Come_game
打了一分钟就放弃了。手残党第一层三个刺那儿就过不去。关闭游戏后,发现生成两个文件,猜测DeadTime是保存死亡次数的,save1保存游戏关卡信息。
删除后这两个文件后,观察发现进入死亡次数、时间信息时,生成DeadTime,进出关卡后生成save1。
查看两个文件的修改时间(左为save1,右为DeadTime),在试玩时保持了在第一关存档点时不死亡,因此可以知道之前的猜测是正确的。
用十六进制编辑器HexEditXP打开save1,修改关卡信息,尝试后发现共5关,修改即可。
5.Snow
打开网页,查看源码得到key。
提示是html隐写,通过关键词搜索,可以查到有snow隐写。将key和网址一并丢入解码网(http://fog.misty.com/perry/ccs/snow/snow/snow.html),就可以得到Flag。
6.旋转跳跃
一个mp3文件,题目写着“熟悉的声音中貌似又隐藏着啥”,由题目信息,可以知道是MP3隐写,使用MP3stego(http://www.petitcolas.net/steganography/mp3stego/)可解。
7.凯撒部长的奖励
给了一串类似于Flag格式的字符串,结合题目“凯撒”,可以知道是凯撒加密,以Flag格式可知需要将MSW移至SYC,即右移6位即可。可以写代码跑,也可以丢进相关的解密网站跑。
8.MD5cracker
给定字符串01540f319ff0cf88928c83de23l27fbb,根据题目提示进行MD5解密查询,发现无效。观察发现其中有个l,改为1,再次查询解密后得到Flag。
9.PEN_AND_APPLE
给了一段极其羞耻的MP4格式的视频,由于是MISC题,联想到视频隐写,搜索之,但只查到WAV格式的。提示是Windows下命令行,查阅《数据隐藏技术解密》一书的Windows相关内容,了解到是NTFS数据流隐写。
通过搜索可知使用相关工具进行解密。但第一次尝试时未出Flag,反而出现了自己在动手实验时修改过的隐藏内容(然后把自己给误导了)……
查阅后发现只能用WinRar进行解压,否则会使隐藏文件损失。
可以在命令行下提取(使用lads和streams进行操作)或者使用NTFS Stream Info工具查看。
10.藏着小秘密的流量包
下载后发现是pcapng文件,根据提示“用手机共享”,搜索蓝牙传输协议,即OBEX,用WireShark分析,定位可以看到,传输了一个名为“secret.rar”的压缩包,提取出来就能得到Flag。
二、Linux
1.linux_1
在Ubuntu环境下进入docker,在 /usr/local/etc/geek/ 下取出第一个Flag。
2.linux_2
通过docker目录文件查看,发现有个Flag2.swp,以“swp文件”为关键词进行搜索,查到这是vi非正常退出而产生的swp文件,通过vi -r {your file name} 这个命令可以恢复。
3.linux_3
题目描述flag是某用户的登陆密码,通过Docker下查询发现有个用户名与syc相关的。
linux下用户密码的储存位置是/etc/passwd以及/etc/shadow
提取出来后,使用工具John,写字典进行爆破即可。
unshadow /etc/passwd /etc/shadow > mypasswd
参考资料:http://www.cnblogs.com/iamstudy/articles/linux_password_shadow.html
http://www.heblug.org/chinese_docker/userguide/
http://blog.csdn.net/lingdxuyan/article/details/4993868
三、Program
compress300
题目是一个300层的压缩包,且压缩包内文件无后缀名。
偷懒直接用了个按键精灵,不断解压、修改文件后缀。得到Flag。
四、Reverse
re10-一起嗨皮
只会这个。觉得逆向学习周期太长,听了一位师傅的建议,暂时先放下了RE。
这题用OD找到字符串就可以啦……
五、Web
1.web_1
F12看一下HTTP响应头,得到Flag。
2.web_2
打开网页,提示not admin
抓包,改一下whoami和root即可。
3.Social Engineering
一道社工题。
通过在线社工库,用邮箱查询可以知道邮箱主人的姓名是“肖力”,下边提示说“有贴吧的伪男”,进入 百度“肖力吧”,可以看到在有一贴子在比赛时间点时发布,提供了一个QQ号。查看该QQ号内容。发现发了一张图……还以为是图片隐写,尝试无果。
于是查看留言板内容,发现提示域名的注册人联系号码就是Flag。然后上万网查询比赛官网WHOIS得到答案。
4.sqli1
查看源码,有个tips。
可以得到参数是sycid,使用SQLMAP对该网址
(http://web.sycsec.com/d03e52c272e42e7c/?sycid=1)尝试注入(在Linux环境下)。
检测注入点——爆库——爆表段——爆字段——Dump。
sqlmap -u "http://web.sycsec.com/d03e52c272e42e7c/?sycid=1" -D sycsqli1 -T “#FL4G#” --columns
这里#FL4G#需要加个引号包含这个字段。
参考资料:http://nouername.github.io/2016/06/17/sql注入/
https://www.nigesb.com/sqlmap-common-usage-and-examples.html
http://www.legendsec.org/1111.html
5.sqli2
使用Burp抓包,改Debug=1
通过逻辑运算符XOR,使用万能密码,返回1即可
6.人生苦短
“交提”计算结果后查看源代码,得到一大串编码,使用在线解码,发现是Base64和Base32转来转去,可以用Python调用内置的模块进行解码。
7.狗师傅的计算器
写Writeup的时候已经无法访问这个网页了,只能回忆一下。
打开后发现是健脑操的一段代码。使用在线解码,得到一个welcome.php页面。
进入这个welcome页面,随意输入答案后,得到两个链接,有一个链接是robot.txt,联想到网站的robots协议,进入一下这个地址。
查看这个页面的内容,然后查询资料,有个include,知道这是一个文件包含。
参考http://www.cnblogs.com/iamstudy/articles/include_file.html ,查询php相关的内容,多次尝试得到一串编码,解密后得到Flag。
8.上传1
看题目后,搜索文件上传漏洞。尝试上传一句话php,提示类型不支持。说明php后缀过滤,查看资料,说是phpstudy可以使用 .php/.php3/.php4/.phtml上传,经过测试,发现.phtml有效。
使用Burp改成.phtml后上传即可。
参考资料:
http://www.icookie.org/文件上传.html
http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7
9.文件上传2
上传成功后,应当getshell了。
随意上传了一个一句话,访问地址,发现页面上直接显示出php代码了,调的脚本里,’php’被替换掉了,导致一句话无法写入。然而依然不会做。
之后经一位师傅提示,使用<script>的一句话绕过上传,使用菜刀连接了。
具体是哪句,不知道丢在哪儿了……所以没交给主办方……
——————————————————————
比赛官方推荐的学习链接:
== web ==
文件包含:http://www.cnblogs.com/iamstudy/articles/include_file.html
sql注入:http://www.cnblogs.com/lcamry/category/846064.html
sqli1/sqli2
xss:https://github.com/l3m0n/XSS-Filter-Evasion-Cheat-Sheet-CN
文件上传:http://wenku.baidu.com/link?url=wx-44Vq4vEpWGOOVYj9ILZlulUiYDFEbCE5_siaZYdeZJ3g6vvudWNLbMnv5hXvpFYSprWkDUBtMYXk_wYka8VxhwIzETGVAtliBRS783j7
代码审计:http://wooyun.jozxing.cc/static/drops/papers-4544.html
<script language="pHp">$k="ass"."ert"; $k(${"_PO"."ST"} [‘8‘]);</script>
菜刀
game.sycsec.com:50085/result.php?syc=php://filter/convert.base64-encode/resource=syc
== misc ==
隐写术:http://www.jianshu.com/p/67233f607f75
snow\旋转跳跃
编码与加密:http://www.tuicool.com/articles/2E3INnm
凯撒部长的奖励
== writeup ==
第五届极客大挑战:http://wooyun.jozxing.cc/static/drops/tips-3434.html
第六届极客大挑战:http://www.tuicool.com/articles/JfqMrq2
2016第七季极客大挑战Writeup