什么,小P说来点彩头?先出个简单的,就WEB20吧。 题目链接: WEB20 hint > 大家不知道复活节要玩什么吗?(非前端题,请勿关注html注释、css、javascript等)
之前被HTML注释和小P的博客坑了很久 毫无头绪 还盯着图片看是否有隐写术之类。。。
折腾了一下然后去做后面的题目抢分去了 后来根据提示得知是考php彩蛋信息
?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP信息列表) ?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP的LOGO) ?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO) ?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO 蓝色大象)
http://game1.xdctf.com:8081/H86Ki4NnCSVv/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Your Flag flag-WhatisPhp-mtzeXAtcKA53
在业界都知道,哪一行都不好做,我们这一行也不例外,拿XSS来说,没两把刷子,你还能混得下去么,下面是某黑写的XSS编码神器,你值得拥有,但是为了版权问题,他在里面留了标记,找到标记,这神器就是你的!!牛x的你值得拥有........ 之前flag有点小BUG,现在已经修复了哦~
下载得到一个crx文件,拖到chrome的extensions里面看了下没啥标记,然后修改后缀为rar或zip解压。
想想也知道key不会这么快找到;这里没有再翻翻其他文件,也都没有发现flag,看下两个图片的EXIF信息,发现有XP注释!
(话说这题队友隔壁老王是直接用windows文件夹看到备注然后拿下提交,然后团队得分了。)
107 101 121 32 105 115 58 88 68 83 101 99 64 50 79 49 52
key is:XDSec@2014
大家都说XSS很不好玩,但是会玩的人就是很好玩,你觉得呢?呵呵
Jother编码提交exp和截图到邮箱得flag
XsSXD$3(201X@xiD@n
一开始做这道题就确定是隐写的方向了……直接用winhex打开一看,发现看不出什么名堂。
用steganabara和stegsolve看了一阵子随机图层,没发现什么隐藏信息。
于是回头继续看源代码……发现有注释提示
按照注释的路径尝试,发现是一个二维码,扫之……
扫出来是这么一个东西
阅读了一下文章,发现是将恶意代码隐藏在像素中躲避杀软……
然后用stegsolve的Data Extract功能,基于像素对比,一个个尝试,最终在red0上试出来了flag(虽然不知道原理,但觉得确实很好用,还有待进一步学习呐==)
自从小P告诉离休老干部le4f python怎么写网站以后,就一发不可收拾。 这是le4f的新作:http://y0pk678.xdctf.com:8081/ 说明:本题flag形式为XDCTF{XXXX},填入XXXX内容即可。
http://y0pk678.xdctf.com:8081/help
http://y0pk678.xdctf.com:8081/read?file=readme
奇怪,为什么没全部显示出来 哦,我懂了些什么 哦,我懂了些什么 奇葩的码畜你不要卖萌了 这是newapp.py的说明文件 我猜你可能不知道还有第二行 我猜你可能不知道还有第二行 咦,怎么还有第三行 咦,怎么还有第三行 奇怪,为什么没全部显示出来
http://y0pk678.xdctf.com:8081/read?file=newapp.py
反复读取,拼接成完整的newapp.py
#!/usr/bin/env python
#coding=utf-8
__author__ = 'le4f.net'
import web
import random
urls = (
'/getflag', 'xdctf',
'/help', 'help',
'/read', 'read',
'.*','ctf'
)
def func(a):
if a == 'le4f.net':
flag = open("flagishere","r").readlines()[0].strip()
web.header('flag', flag)
return 'Nice Job!!!'
else:
pass
class help:
def GET(self)
try:
return "welcome to my first web.py project."
except:
pass
class xdctf:
def GET(self):
try:
web.input(_unicode=func(web.input(unabletoread = 'show me flag!!!!').get('unabletoread')))
return "flag is here?!!show me flag!!!!"
except:
pass
class ctf:
def GET(self):
try:
return "u may need help information."
except:
pass
class read:
def GET(self):
data = web.input(file = 'readme')
if data['file'].count('.') > 1:
f = 'readme'
else:
f = data['file'].replace('$','').replace('^','.').replace('*','').replace('\\','').replace('/','').replace('\"','').replace('\'','').replace('|','').replace(';','.').replace('<','').replace('>','').replace('&','').lower()
try:
print f
cont = open("./"+f,"r").readlines()
rand = random.randint(0,len(cont)-2)
return cont[rand]+'\n'+cont[rand+1]
except:
pass
else:
pass
if __name__ == "__main__":
app = web.application(urls, globals())
app.run()
根据代码发送一个get请求,在header中看到flag。
flag XDCTF{X1di4nUn1Vers1tySecT3AM}
最近,小黑在学习入侵技术的过程中得到一款功能十分强大的php木马,但是使用了一段时间发现,自己拿到的shell老是被别人登录,但刚开始学习的小黑,对php代码不是很熟悉,你能帮他分析下这代码吗?找到后门接收shell的密码作为key,不是后门密码哟........
下载下来发现是一个加密后的PHP。搜了一下,特征很像神盾php加密。
在网上找到一个PHP神盾的解密网站 http://blog.99tk.cn/decode#
上传解密,看到flag
XDSE@L0VEr2014
下载回来源码 看了数据库data.mdb里面没啥 然后发现了深度隐藏文件about.asp
是一个asp的大马 也找不到更好的办法了 就姑且认为这个版权的人就是我们要找到犯罪分子 
<%@ LANGUAGE = VBScript.Encode %><%
Server.ScriptTimeout=999999999
UserPass="3895" '密码
mNametitle ="gh0st2014" ' 标题
Copyright="qq:2725629821" '版权
那么昵称就是gh0st2014,QQ很新,社工库里面肯定无收获,那么这题就是考一些常规的社工和信息收集了。
访问此人空间 提示
很简单 直接 gh0st2014猜进去 其实这里可是设计的难度大一点 贴近生活一点。
根据空间里面破碎的***和基本信息 性别: 男 年龄: 29 生日: 5月7日 星座: 金牛座 现居地: 中国 陕西 西安
推出此人***610121198505073895
然后登陆 获得key:Welcome@Xidan$@clov@r
小P闲暇时间开发了一个留言板,供浏览者与管理员进行交流,不过听说有点问题? 地址:http://lsoyon.xdctf.com:8081/4CgtWuwdouSE/ FLAG在管理员的cookie中。flag形如flag-xxxx。 请自行测试确认能获得cookie,再点击提交审核,管理员会查看。管理员的浏览器是chrome最新版哦~ 提交审核后请不要删除你的留言,否则管理员看不到的哦~ 管理员2分钟看一次留言板,每次停留3秒。看过以后才能够再次提交审核。所以请测试真实通过后再提交。
于是尝试使用[script][/script]提交发现括号被过滤了,使用<svg>标签和HTML十进制编码成功绕过(这里正好用上前面题里的XSS神器: ),还蛮好用的)
成功弹出cookie
构造payload将cookie发到xss平台,却发现存在CSP协定……
然后就没有什么思路了….不知道其他队伍是怎么直接拿到cookie的 怎么搞定CSP的
我最后是做到后面的web270的时候,上传了shell,用菜刀连上后,上传了一个接收cookie的php。
也算是个YD的方法吧,哈哈,思路要开阔!
构造payload:
等了几分钟就收到管理员的cookie啦
小P睡了一觉起来,发现黑客们都饥渴难耐,想日站想疯了。 小P默默地看了看自己的网站:http://ph.xdctf.com:8082/ 感觉不知道放个什么程序比较好,而同服的另一个网站居然已经运营很久了:http://hlecgsp1.xdctf.com:8082/ 真不知道该怎么办…… 这是一个系列题目,分步骤给分。一共4个FLAG都在小P网站所在的服务器中。 请黑客们不要破坏网站文件、数据库。一旦发现有阻碍比赛正常进行的现象,将会恢复服务器到最初状态。 说明:4个flag都形如flag-xxxx
打开后发现时phpok的cms。
果断搜索下漏洞,发现有sql注入和文件上传。
文件上传的洞算出来时间戳跑文件名没有跑出来后果断换方法,尝试sql注入。
爆出管理员密码 登陆后台
找到文件管理,传个菜刀马
上大马 直接搜索flag
直接就得到3个flag,超级开心。
而在Web270[2]的flag中提示了第三个flag也在这台服务器上。
用菜刀访问/home/wwwroot时提示没有权限
用大马看下发现服务器设置了open_basedir
找一个能够bypass open_basedir的马上传,翻翻目录成功得到第三个flag,拿下了这题的firstblood!
web的题目就上面这些了,其中有3题我们是拿了一血的,哈哈。下面是破解类:
逆向分析,获取key,题目 tips:flag为44位,41位的请继续分析
PEiD查下,是.net程序。
用ILSpy打开,发现代码被混淆了。用de4dot脱下壳试试,发现加了.net reactor的壳
脱壳后就简单多了
比较坑的是
直接看这一段代码逆出来的是一个41位的flag,flag中还含有XDCTF2014,提交几次不对后,问了下管理员,管理员说要在仔细看看源码,可能忽略了一些步骤。
重新看代码后发现可能存在多个flag
由于smethod_1有关于base64的操作,使密文与明文的长度不同。
这道题拿到了1血,开心
某天,小黑在某服务器上得到一个data文件,旁边有句挑衅的话“有种你就解开data中的数据”,小黑折腾了半天,没任何发现,但是推敲出,该目录下的另外一个文件,与data息息相关,你来试试?
题目给出了一个没有扩展名的文件和一个加密后的data。
打开没有后缀名的文件后发现里面多处出现.pyt,module,__name__字样,猜测这可能是一个pyc文件。
使用uncompyler.py反编译之~
这样有了源码逆起来就很简单啦,看不太懂的地方把它print出来看看基本也就明白了
运行下
这段不造什么时候才能进入,貌似要有连续127位相同?算啦,先不管了。
其余部分的逆算法很简单,如果是0x8?的话,表示有?个连续的1;如果是0x0?的话,则表示有?个连续的0。
运行后得到一个图片,flag就在图片上~
这个是一个apk,找到key,题目
打开后发现是一个登陆界面,看下源码找到用户名和密码(buaa,123),成功登陆。
打开后发现界面与微信相似,里面有和一个人的聊天记录,打开看下叭
聊天中提到了前一阵子被媒体炒得很火的xxshenqi。
这是XXshenqi的部分源码。
果断翻下assets看看有没有什么有用的东西~
用UE看下图片数据,发现文件末尾附加了一个dex文件
提取出来转为jar报错
只好用notepad++打开看下
发现末尾有一段中文,将key md5编码后提交,成功通过: )
ZZ发现土豪Ph在用SafeAccountSystem给Le4f打一笔退休金$23333,ZZ截断了支付过程的密文,打算捉弄一下他们把退休金打到自己账户Z2333上。
密文点此处下载: http://game1.xdctf.com:8081/Z4l2Lu7XkNBa/crypt.txt
支付系统的地址 game1.xdctf.com 端口,50008,请用nc连接(telnet不行)
本题考点加密与解密,可是没这个分类,真拙计。
本题flag形如xdctf{xxx},答案填入xxx即可。
创建ID后会被分配一个One-time-Password
丢到cmd5查询无果,继续测试Transfer of Account
发现send的信息中含有许多5位一组的AB数据,猜测为培根密码,尝试对其进行解密:
对这两串数据进行diff
发现差异节中包括前面题目生成的One-Time-Password
猜测b8c2b5c881f2b7f58a096a367a32be33为Ph的One-Time-Password
成功得到Flag
逆向分析,比比谁更邪恶,题目
这道题不知道为什么,PEiD查不出壳,用IDA加载就报错,只能用OD分析了……略坑: (
先大概看下程序,401049处必须跳转,因此上面的两个字符串必须相同,得到0x40301F处应为XDCT
这里有一句检测断点的,到这里的时候别忘了改下标志位就好。
具体的分析过程就不详细写了,算法我用Python进行了模拟,发现需要对key进行枚举。
跑出来key是X@3!F,得到flag XDCTF{omgwtfjusthappenedtherethen}
2014.1010 SP小编更新:
web20、web200、web250、crack180、web270 Writeup http://pan.baidu.com/s/1mg829zM
we***、web70、web100、web150、web180、crack100、crack150、crack200、exploit100、exploit200、exploit600、coding Writeup http://pan.baidu.com/s/1i39oMBr
本文由Q7和隔壁老王以及老王团队原创,首发在SecPulse安全脉搏上。
原创作者:Q7
SP地址:http://www.secpulse.com/archives/1153.html
本文作者:Q7
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/1153.html
必填 您当前尚未登录。 登录? 注册
必填(保密)Q7同学还是比较全面的 思路也清晰 抱着研究问题的态度 毕业后肯定大有作为!
@SP小编 谢谢,我会继续努力哒:)
@Q7 厉害 期待SSCTF
学习了。。。师傅们。。
学习了。。。师傅们。。
赞 写的很详细
270第三题真是醉,搞了半天没搞动,看来手里马儿还是不够强啊……
涨知识了 thx作者