葡京签到送彩金WPSEC-周计划(三)

这次来探有红大学——

图形来源于网络

南京邮电大学的CTF题目吧~

(Ps:因本人于懒,所以做题时都是手工+度娘,几乎从来不用浏览器以外的家伙,如产生重好的措施,欢迎留言告知~)

文/韩大爷的广货铺

Web

1.

签到题

一直查看源代码吧。。

<html>  
<title>key在哪里?</title> 
<head> 
      <meta http-equiv="content-type" content="text/html;charset=utf-8">
      <astyle="display:none">nctf{flag_admiaanaaaaaaaaaaa}</a> 
</head> 
<body> key在哪里? 
</body>  
</html>

Flag:nctf{flag_admiaanaaaaaaaaaaa}

自因此对考研之阅历印象如此鲜明,因为那是自己第一民用生抉择。

md5 collision

直白给了源码,来探望

$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
   echo "nctf{*****************}";
} else {
   echo "false!!!";
}}
else{echo "please input a";}

察觉使用的是MD51=MD52来跳出flag,而且还深受了单参数a,那么就待让参数a的价值经过MD5加密后暨字符串QNKCDZO透过加密后的MD5值相等就哼了。加密后发现凡是0E开头的密文,即PHP解析0E开头的md5漏洞。详情参见:http://blog.csdn.net/bestlzk/article/details/77994272
这就是说直接在url后增长
?a=s878926199a(自行百度,数不胜数),即http://chinalover.sinaapp.com/web19/?a=s878926199a
Flag就粘出来了。
Flag:nctf{md5_collision_is_easy}

是属于本人自己之选。

签到题2

口令是11位数的zhimakaimen,输入会发现这个输入框限制输入长度也10位数,本人Firefox浏览器直接按F12(或鼠标单击右键审查元素)找到这同推行:

<input value="" name="text1" maxlength="10" 
style="background-image:url··· type="password">

较途中全种种更于人口永生难忘的,是于召开决定前同同各老师的通话。

maxlength=”10″的10变更化>=11,再输入就可以提交口令了。

Flag:nctf{follow_me_to_exploit}

就她正好在自己的靶子院校修读博士后,我几是抱定被拒的立意点起来了转号键。

马上书不是web

既然无是web,源码和头文件呢从不外提示信息,就拿当时张图下载下来,改呢txt格式打开,Ctrl+F迅速搜索,发现flag在文末。。还真的不是WEB啊
Flag:nctf{photo_can_also_hid3_msg}

“你明白这里是极好之。”

少有推进

无啥思路。。。就右键查看源代码,跟随底部链接,依次访nctf{javascript_aaencode}
开辟是乱码,习惯性用转码工具(Alt->查看->文字编码->Unicode)转换一下发觉凡是平等针对性堆放表情,明显是JS加密,直接F12贴上控制高跑一下,Flag就出去了~
Flag:nctf{javascript_aaencode}

“我知道。”

独立二十年

翻看源码,点击<a
href=”./search_key.php”>
,Flag直接出来了。。
Flag:nctf{yougotit_script_now}

“你懂此是无限难以的。”

php decode

为PHP环境没有配备好要什么来头,据说eval函数可以实行php代码,但本身拿他形容好放上本土根目录的时光打开会报错,所以呢即从未有过开留着以后填坑

“我知道。”

文本包含

LFI漏洞,自行百度补充。
拟到了某些粗鄙的知,在劳动器端的.php文件无法直接展示,用base64加密(read=convert.base64-encode)后将到密文再解密,就可以看到源码了。

<html>
    <title>asdf</title>

<?php
    error_reporting(0);
    if(!$_GET[file]){echo '<a href="./index.php?file=show.php">click me? no</a>';}
    $file=$_GET['file'];
    if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
        echo "Oh no!";
        exit();
    }
    include($file); 
//flag:nctf{edulcni_elif_lacol_si_siht}

?>
</html>

Flag:nctf{edulcni_elif_lacol_si_siht}

“但你呢一律清楚,考研只不过是应有尽有选择某个,考上了为未见得就是什么样,也许没什么两样。”

独一百年吗并未因此

跟单身二十年相同,看源码,点击 <a href=”./index.php”>
结果也越反至了
/no_key_is_here_forever.php,猜想是为此了再次定向,F12查看网络,就能觉察index.php这个包,果然是302重定向,查看响应没有东西,那么相应在头文件了,果然,不来所料~
响应头

Server: sae
Date: Sat, 13 Jan 2018 08:17:43 GMT
Content-Type: text/html
Content-Length: 0
Connection: keep-alive
flag: nctf{this_is_302_redirect}
Location: http://chinalover.sinaapp.com/web8/no_key_is_here_forever.php
Via: 1566

Flag: nctf{this_is_302_redirect}

“嗯,我清楚,我知道。”

Download~!

切莫可知开,留着今后填坑~

“你懂乃完全没必要冒这个风险,你综合素质好好,没必要多举行几年学究。”

COOKIE

事先打明白COOKIE大凡单什么事物,验证身份用之针对吧?那么接下来去押请求包,F12网络,发现要求头和响应头之间的基情:

Host: chinalover.sinaapp.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: Login=0
Connection: keep-alive
Upgrade-Insecure-Requests: 1
DNT: 1
Cache-Control: max-age=0

Server: sae
Date: Sat, 13 Jan 2018 08:27:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Via: 15146
Set-Cookie: Login=0
Content-Encoding: gzip

cookie:Login=0,题目为的出Tips啊,0==not,按照程序员的沉思(不要问为何,嘿嘿嘿),那么1==yes,改之,出Flag.
Flag:nctf{cookie_is_different_from_session}

“我知道,我知道。”

MYSQL

依照提示上robots.txt晚转码看到如下内容:

别太开心,flag不在这,这个文件的用途你看完了?
在CTF比赛中,这个文件往往存放着提示信息

TIP:sql.php

<?php
if($_GET[id]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $id = intval($_GET[id]);
  $query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
  if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }
  else{
    echo($query[content]);
  }
}
?>

吓了,TIP又出去了,进去sql.php探,什么都并未,回来看就无异于实践

 if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }

/sql.php?id=1024后提示try again,换到/sql.php?id=1025后提示no
more。。
虽然不清楚原理,但是猥琐的试了一波/sql.php?id=1024.5,哈哈,成功将到Flag~
新兴才理解重中之重是此时

  if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }
  else{
    echo($query[content]);
  }

渴求提交的ID在值上==1024,但还要休能够是1024,否则就算会见try
again。。任意的有些数都可~ ~
Wpsec的基友们记不记某个浪想如果之998?同一个道理~

“你知你而凡选择了这个,虽然随后以时有发生闪转腾挪的后路,但也说不定付出许多机会成本进去。”

/x00

(膜拜大佬,不甘心这道题,看了Writeup恶补一番文化才为明白,此题writeup直接拖)

“嗯……我知道。”

原文

view-source:

    if (isset ($_GET['nctf'])) {
        if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
            echo '必须输入数字才行';
        else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   
            die('Flag: '.$flag);
        else
            echo '骚年,继续努力吧啊~';
    }

ereg详解
strops详解

此处ereg有有限个漏洞
1.%00截断及遇到%00则默认为字符串的了
2.当ntf为数组时它们的回值不是FALSE

于是产生点儿只办法拿flag
1.令id=1%00%23biubiubiu
2.令nctf为数组,即nctf[]=1

Flag:nctf{use_00_to_jieduan}

“你懂人就一世路那么基本上,往生了游说匆匆几十年,考不考试什么的,做不开啊的,其实也不曾什么所谓。”

伪装者

变更了X-Forwarded-For没因此,不用改Referer,应该是服务器发问题了,看了writeup后发现思路也从没错。。自行补充XFF和Referer和UA以HTTP协议中的意图吧。。

“是呀……确实是如此,我知道。”

Header

直接F12意思文件,Flag就于里面。

Date: Sun, 14 Jan 2018 10:42:18 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Flag: nctf{tips_often_hide_here}
Content-Length: 132
Connection: close
Content-Type: text/html; charset=UTF-8

Flag:nctf{tips_often_hide_here}

“所以我……”

bypass again

开辟见到

if (isset($_GET['a']) and isset($_GET['b'])) {
if ($_GET['a'] != $_GET['b'])
if (md5($_GET['a']) === md5($_GET['b']))
die('Flag: '.$flag);
else
print 'Wrong.';
}

GET可以承受数组
但md5()不可知加密数组内的数
,所以令a和b分别为数组,可以绕了,所以当url里加入index.php?a[]=1&b[]=2,即可看出Flag
Flag: nctf{php_is_so_cool}

“但是,老师……”

综合题

一大堆,是jother编码,控制高跑一下出去1bc29b36f623ba82aaf6724fd3b16718.php,贴入URL发现叫玩了=
=,TIP在峰里,查看头文件发现

Server: sae
Date: Sat, 13 Jan 2018 08:47:08 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
tip: history of bash
Via: 1566
Content-Encoding: gzip

百度一波history of
bash,发现有大佬文章http://blog.csdn.net/pan\_tian/article/details/7715436,拜读完后清楚发生个东西叫.bash_history,贴入url发现

zip -r flagbak.zip ./*

双重下载,发现叫坏无法解压。。常规思路,改呢txt格式发现Flag~
Flag:nctf{bash_history_means_what}

“你先别说,所以我提议您考。真的,孩子,所以我倒建议你失去试一跃跃欲试。不因为别的,这个思想就当公心头生了根了,我吗不问您是出于什么原因,你会给本人从之对讲机便能够征很多。我提议你尝试一试跳,试了,哪怕试错了,顶多后悔两年,你这么年轻,未来时有发生多独简单年;但假如您怂了,等你三四十岁,总有午夜梦回的少时,你总会惦记,总会想到另一样栽或,却是为你亲手堵死的或许,你恐怕会后悔终身。我建议你试一跃跃欲试,我鼓励公试试一试跳,不贪图别的,给好只交待。”

Re

2.

Hello,RE!

若知道人是飞之动物,总是会做出一些莫名其妙的操纵,和奇怪的挑选。它们可能被丁大跌眼镜,它们或者不被理解,甚至是中来不少流言、非议、甚至是讥讽和嘲笑。

盖工具的免配合。。RE的书写就从来不开。。

当这些选择默默,都明码实价地标注好你所要担当的代价,无关好坏,甚至无所谓对和错,有些东西在那里,你请,伸手就是若的命运,不告,也无可厚非,只是另一样栽命运。

Pwn

可是凡此一切由到一块儿,在下面就词话面前都非重大:它们是若的选,是特属于你的挑三拣四。

When did you born?

领取码错误。。

哪个吧不敢保证她会如您生活得再好,或者再次烂,但唯一可以规定的凡:它们定义了您生活了。

Stack Overflow

无会见做,留在下将~

自身当今年夏日之一午后,坐于计算机前,觉得好烫。我跑来门打了只冰棍,吃少,按理说会凉快一点,其实并没有。

Crypto

以过往的奔波,让自己再次热了,哪怕冰棍吃上肚子里,缓解了部分,但体温也单独是回来到出发前之状态。

easy!

丢Base64解密,秒出。。
Flag:nctf{this_is_base64_encode}

如此这般一看,前后都是如出一辙的,一样的熬;这么一看,吃冰糕也是从未意义的,何苦呢?

Keyboard

题材就是是键盘,看提示也是键盘,那么就算从键盘入手,会发觉样子是字母areuhack,
问题也说了增长nctf{}。。
Flag:nctf{areuhack}

唯独要么未一样,这个历程被,多矣同一接触东西。

异性相吸

领到码错误,以后填坑吧

那点东西是呀?很简单:我知道冰棍是啊味了。

Misc

人生何尝不是如此,不鸣金收兵地给矛盾,甚至是制造矛盾,解决矛盾,不停歇地做出取舍,然后享受选择得来之好处,或是为是承担一点必之代价,不停歇地动方走方,最后都归入尘土。

漫领取码错误。。就先行放开正吧

你要仅从理论及来拘禁,前后都是如出一辙的,并没啊两样。

但总是见仁见智的,不同于啊?不同于,你经历了,你于了和谐一个交代,你来过,你在了。

百年之义,归根结底,就于这里。

公免会见记得您哪次摔跤时的窘迫与困窘,别人呢印象不坏,who care
呢?但您总会以那天,你毛骨悚然摔跤,拒绝了伴侣出门游玩的特约,没抓到均等只有蝉,而感到遗憾和难过。

3.

自见了相同截最温暖的对话,是这么的:

“新年快乐啊。”

“新年快乐。”

“听说你打算毕业后打算去都。”

“哈哈,对什么,就假设陷入北漂了。”

“挺好的,真的要命好之。”

“我懂得自己是控制非常笨,反正……就摸索吧,撞了南墙再回头。”

“这就是是您的性格。”

“是呀,我同样忙起来就是比如假小子,也绝非个女生的典范,他们还看自家产生接触,太过度执拗了,我啊知晓没有必要这样嘛,就是起一点点不甘心呗,嘿嘿。”

“没什么,没什么可比为在台下当观众再也悠闲的了,但品头论足的观众什么呢得不交,毕竟他们啊啊从没举行。你得的。”

“我了解自己特别,我呢理解我无帅,我还无您决定,我只是自不量力一下,我明白我如此说挺傻的。”

“听在,听在,不需跟自家说他套话,不要客气,也未用当谈里为好留余地,听着:你死厉害,自从你开了之控制你虽比我们决心。去吧,别回头,我们不仅不笑话你,我们倒想而能够成为,你成为了,就一定给为咱们见到了另外一样种植可能。你免属这里的,你竟敢之走,替我们开始起同样漫长总长来。还有,你便是好好之。”

4.

“咱们这领读营叫什么名字吓?”

“读之都是经,就深受精华内容领读经吧。”

“多少天?”

“100天。”

“有硌长,能抵得住吗?”

“嗯,我起把握。”

“那您或许使每天还得做一样不良直播,连续直播100不行,不克差的。”

“不,不是100涂鸦,是200次等,每天朝同一段落社科类理论的小音频,晚上一律次于文学经典的解读直播。”

“还是坏,这样太为难了,一方面经典中但与具体结合的东西不见,另一方面现在的人数要不便于读经,喜欢干货,要么总觉得好无待养成习惯,想起来时自己翻翻就实施了。”

“是出难度,但归根结底挑容易的从开,挺没意思。一来,我可以老最特别努力被大家感受及经的能力,与具体充分整合。二来,都说现在底神州人没不下中心读书,我弗这样当。”

“那即便将100只社科理论同100总理影视之路删掉吧,就根据我们这些先生大家之书目领读,完全足够了。”

“不可知去除,这是自己一直以来的愿,我思给大家不仅发生心情和感觉,也想一起造起一卖理性来。”

“太为难了,而且产生高风险,搞不好,只来几乎个人报名。”

“如果只是发生一个丁申请,我接下的100几近上,就特吗及时一个人口做分享,做直播。”

……

“多少人矣?”

“360差不多,还真的成了。”

“早在吗,今天凡第几单上日?”

“第七个。”

“日常签到得来之汇报如何?”

“概括来说:每一样龙,都发出收获。”

……

“累不累?”

“忙,但切莫认为麻烦。”

“现在没空成这样,后悔不?”

“一点吧不。”

“哥们嘴挺硬。”

“心比嘴硬,我觉得自我同当下360几近总人口,每天还生活在。”

End.