2020GACTF部分wp

GACTF

misc

签到

给了二维码图 切割再拼上就行

crymisc

给了一个crymisc.docx



无法打开 用file看一下

把后缀名改成zip然后解压

这里奇怪的是用winzip解压会提示3.jpg受密码保护，用360压缩提示文件损坏，用7z命令解压图片为0字节

用mac自带解压能直接解压出来

用binwalk分析3.jpg

有zip的结尾，猜测应该里面有压缩包，尝试修复

找到jpg文件结尾FF D9 后面有一串看起来是base64编码

解码得到压缩包的密码

然后在字符串后面添加zip的文件头504B0304



再分离 用dd foremost或者binwalk都可以

binwalk -e 3.jpg
foremost -T 3.jpg
dd if=3.jpg bs=1 skip=12718 of=new.zip

得到新的压缩包 用刚刚的密码解压



得到一串emoji，找了很多在线解密网站结果都不对，然后发现了以前题的writeup

https://github.com/pavelvodrazka/ctf-writeups/tree/master/hackyeaster2018/challenges/egg17

这里给了一个暴力破解codeemoji的js 自己搭起来然后解密

web

ezflask

# -*- coding: utf-8 -*-
from flask import Flask, request
import requests
from waf import *
import time
app = Flask(__name__)
@app.route('/ctfhint')
def ctf():
	hint =xxxx
	# hints trick = xxxx
	# trick
	return trick 

@app.route('/')
def index():
# app.txt 

@app.route('/eval', methods=["POST"])
def my_eval():
# post eval 

@app.route(xxxxxx, methods=["POST"])
# Secret
def admin():
# admin requests 

if __name__ == '__main__':
	app.run(host='0.0.0.0',port=8080)

simple flask

绕ssti黑名单

ban了

'
{{1+1}}
....

用dirmap还扫出了console开启了debug模式

猜测是ssti读文件算pin码

经过fuzz后发现mro等一系列被禁

base__和_bases_[0]没有被禁，访问{{""._class_._base_.__subclasses()}}

 SECRET = "JpofUPvEjXWbz21ypHXW";

调用os eval system皆被禁，只存在open可以读文件

{{"".class__._base_._subclasses_()[179]._init_._globals_.__builtins"open".read()}}

{{[].__class__.__base__.__subclasses__()[127].__init__.__globals__.__builtins__["open"]("fla".join("/g")).read()}}

发现可以直接读flag文件了 应该是非预期吧