第九届极客大挑战 部分WP

---

CODE

和0xpoker分0day

百度 取石子游戏。

https://blog.csdn.net/qq_33765907/article/details/51174524

已经说得很详细了，慢慢来就好了。

IOT

无题

流量分析题目，wireshark打开。

文件->导出对象->HTTP

MISC

钢铁是怎样炼成的

https://pan.baidu.com/s/1DPuBCY-TRZg9mMQ23pm3Vg 密码:tq5b

这个绝对是明文攻击，可是我AAPR就是不行，又去试了下AZPR，不知道为什么，老是这个出错。

色差

https://pan.baidu.com/s/189tinXFrdgX7E-VV3TnMHQ 密码：argu

额。。这个标题你要不说色差还好，感觉这个名字把我带跑偏了。

都提示密码了，肯定是lsb.py那个脚本了。

python lsb.py extract secha.png flag.txt secha
放下lsb.py脚本下载地址https://github.com/livz/cloacked-pixel  

全是flag

https://pan.baidu.com/s/1C4-Oj2NADyzGYgN45zINOQ 密码:t44v

打开后，是很多图片

肯定是种加密方式，到最后也没搜到,只能说在搜索资料上边还得下功夫。

旗语:https://zh.wikipedia.org/wiki/%E6%97%97%E8%AA%9E

陈师傅线代考了满分？

很明显的希尔加密，在网上没找到好的脚本，就在线先求的逆矩阵，然后矩阵相乘。

在线:http://www.yunsuanzi.com/matrixcomputations/solvematrixmultiplication.html
按照0对应着a，25对应z就可以解出来，我记得是SYCYS来着

这里说一下矩阵的格式，可能是一下子不太好把这五行括起来，所以用了五个小括号表示。

代号为geek的行动第一幕：毒雾初现

摩斯密码

萌萌的血小板

https://pan.baidu.com/s/1v1c7LbNjh-c9KmLq14FAgQ 密码:hc9k

拖到winhex里面发现有个flag.txt，改为.zip解压。解压出一个名字叫做与佛论禅的图片，和一个txt，搜索与佛论禅加解密

小帅圆圆的发际线，你也想要么？

https://pan.baidu.com/s/1X8b-J4KEe8iIQf6Vu6tpLQ 密码：exq8

kali下binwalk分离出一个rar，里面有张图片，是brainfuck加密。

密文是图片形式的，本来以为要手打，拖到winhex里面发现有密文，复制出来在线解密就行了。

代号为geek的行动第五幕：损坏的镜像

https://pan.baidu.com/s/151Cc5nnK7l_5PgxCX1oiKQ
提取码：sicr

拖到winhex，发现里面有张图片，我本来想写wp时候再做一遍，153MB，想想还是算了。

直接搜文件头FFD8就可以搜到，然后复制出来为一个新的jpg文件就可以了。

代号为geek的行动第一幕：毒雾初现

https://pan.baidu.com/s/1j940qNdxcSqGNqol7UaqoQ 密码：2lds

hint1：qrcode定位符

hint2：xxencode

题目不难，做起来挺麻烦。

扫出一串代码，根据提示，搜索xxencode，解码即可。
我是照着自己的微信二维码做的，软件用的Snipate

RE

一点不会，不过 这个题目

可能没有你想的那么难

https://pan.baidu.com/s/1SAdcLshlihkIZ1vZrOG_4Q 提取码: v1wy

拖到winhex里面直接可以看到flag

WEB
2000字的检讨

检讨书不能复制，浏览器禁用js，然后复制就可以了

幸运大挑战

玩了一会，发现是用get方式提交的数据，直接改url就可以

form?score=10.00

代号为geek的行动第二幕：废弃的地下黑客论坛

万能密码

1' or 1=1#  

geek番外篇之废弃的地下黑客论坛

发现对字数过滤了，所以你SQL注入直接硬刚的应该是不可能了。

得构造出一个巧妙地payload绕过去。

payload是

user:\   pass:||1#
连起来
select * from users where username='\' and password='||1#';

这里巧妙地利用了\转义的作用，实际上username等于

' and password =
都是因为\的转义，'从控制字符转化为普通字符。

一句话说明就是username=假 or 1；这样就绕过去了。

为啥用||，因为不需要和1之间加空格，如果是or就得加空格，就五个字符了。
初来乍到

查看源码得到flag

代号为geek的行动第三幕：暗网追击

抓包，将cookie值is_admin值改为1,会返回一个图片的地址，访问即可得到flag

一起来和php撸猫啊

科学记数法，弱类型比较

http://babycat.game.sycsec.com/?p1=1e9&p2=2a

代号为geek的行动第四幕：绝密情报

正则表达式失效了，id=syclover直接可以进入下一步。

post提交的参数进行了require文件包含，尝试包含showpass文件，
id=syclover post：file=showpass

提示flag就在那里，但是找不到，这个地方我犯蠢了，我就没想到php文件包含用的伪协议直接读取showpass.php的源代码，flag是在注释里写的。

post:file=php://filter/read=convert.base64-encode/resource=showpass

不要写showpass.php，因为代码包含的时候给你拼接上.php了已经。

江江师傅的秘密

这道题目很有意思，我们随便输入几个网址发现都可以正常显示网站，这不就是个浏览器吗？

浏览器可以直接查看本地文件啊！

file:///c:/study.txt

注意的是file:///

代号为geek的行动终章：落命

镜像被快速地破解，里面找到了qq779938689的聊天记录，不过只有只言片语，重要的部分似乎已经被粉碎了。

ps:没有链接的web题

社工题目，脑洞有点大。

直接加QQ的话是没有任何有用的信息的，百度搜索qq，会发现一个叫做

lzayixxe回复的百度贴吧帖子，查看他的信息，看他的历史发帖都没有什么信息。

搜索其他社交工具，具有lzayixxe这个ID的，在知乎上成功的找到了一个。

搜索他的github，感觉知乎跳到github还是可以接受的。

https://github.com/Lazyboxx/q2ray/commits/master
这里点开一个就找到了flag

柠檬师傅日站的秘籍

直接看js，

发现输出了"9th geek"

而且很凑巧的是，我们一开始的时候进入页面也是输出这个。

再看代码，?cmd=echo "9th geek",这不是php命令执行吗？我们把/syscshell?cmd=加到url后边。首先尝试的是ls。