2018 黑盾杯部分writeup

这次比赛拿了三十多名。呵呵。或许这就是菜吧。

比赛经验教训：

1.赛前一定要调整好情绪。

2.比赛尽量不要紧张，每一题都认认真真的看过去！

3.站在出题者的角度去思考问题

4.刷题

5.还是情绪吧。其中还有两题我都是可以做出来的但是没做出来！

题目：CCGS

图片地址：https://files.cnblogs.com/files/nul1/sgcc.tar

binwalk分析出里面有一个zip然后解压出来是一个secret.txt

里面很显然是一些base64的代码，但是内容比较多。很难打开尝试写个脚本吧。

首先第一次解码的时候发现还是base64于是乎进行了两次解码。

然后拿到文件，file一下发现是png

然后改为png

然后如此便得到flag

我当时这题是因为慌，因为做题都是这题做一下那题做一下，导致最后做的很紊乱。所以导致没做出来。比赛得到的经验。

题目：spartacus

这题我想呵呵了。

提示sha1我一直没明白。

下载这张图片，使用ste查看信息查看到了一句话木马，我一直好奇为什么会这样。

然而是使用sha1加密一下就得到flag了。我只想呵呵。当时真的因为慌而没有做出来。

dbea241cc714013ac4f57bbb25007831010c58e0

参考了一下别人的wp 感觉真的当时自己就是个傻逼！脑残！他妈的！

 <?php
 error_reporting(0);
 $user = $_COOKIE['user'];
 $code = $_GET['code']?(int)$_GET['code']:'';
 if($user == 'admin' && !empty($code)) {
     $hex = (int)$code;
     if(($hex ^ 6789) === 0xCDEF) {
         require("flag.php");
         echo $flag;
         exit();
     }
 echo "ȱ��Ӧ�еIJ���,��û��Ȩ�޲鿴������";
 ?>

算答案：

一个小脚本就跑出来了

for i in range(0,99999):
    data = i ^ 6789
    if data == 52719:
        print(i)
        exit()
    else:
        print(i)

然而我当时没想到，呵呵。

请求头添加Cookie: user=admin; 。呵呵。

the user is admin

这题跟我之前做过的一模一样，然而我比赛却没做出来。呵呵。

https://www.cnblogs.com/nul1/p/8715694.html

呵呵。我能说什么呢？

注入日志分析