NSCTF writeup

身为web狗,在这次的比赛中我受到了成吨的伤害QAQ(re&pwn都没做QAQ.............我要转职做bin牛~~)!

言归正传

--------------------------淫荡的分割线-------------------------------------

Crypto50 神奇的字符串


加密题,我是最先AK的

没什么意思。。。。。



AES加密+古典密码学

直接上以前写的工具

得出

flag{NSCTF_Rot_EnCryption}



Crypto100 神奇的图片




隐写术,一开始想复杂了,还分析像素位


没想到就是简单多图复合,直接foremost

flag{NSCTF_e6532a34928a3d1dadd0b049d5a3cc57}




Crypto200 神秘的图片+10086




这题还算蛮有意思的,前期很容易的就得出了隐藏的二维码文件

可是死活扫不出来。。。QwQ



没办法,写Java对二维码稍微加粗修复了一下

得出

flag{NSCTF_Qr_C0De}(事后才知道原来可以直接在线分析二维码的工具,真是日了动物园啊。。。。)


Misc 100 Twitter




掌握翻墙是一个CTFer必备技能

没什么好说的直接md5解密。。。

flag{ NSCTF_nsfocus666}


Misc250 WireShark




将网络数据流量包的内容进行还原,由于我是在Linux操作的,直接strings sniffer.pcapng 获得关键文本信息“压缩包密码是nsfocus+5位数字”

foremost直接还原,得到压缩包,写个py生成字典+引用第三方包rarfile,进行爆破,得到flag{NCTF_R4r_Cr4ckNCTF}


Misc400 小绿的女神





以前试过NFC的破解,照搬套路

先Down下card并查一下原始16进制数据,然后刷一下后再看看变化,diff and grep出不同的地方位于 0x40和 0xc0那两行,并且0xc0到0xc3是表示当前卡的金额的位置,0xc4到0xc7 是 0xFFFFFFFF 减去余额。0x40到0x43 处是 0x80到0x83 减去卡的余额。伪造208数据,中间那一行的总数要改成 300,最开始是 100。然后构造第一行和第三行,得到flag{NSCTF_RfID_Cr4ck}


Web100 Be careful



web题拼的就是脑洞

脑补尝试index.html/index.php

发现问题

直接curl index.php

得到flag{NSCTF_1E72F25BA71580D7D7DDBD25ACF4A8F3}


Web100 Where are you come from



这题也是脑洞题啊。。。。


首先我想到的是XFF,尼玛怎么试都不对,然后referer也不对,想到了目录分割线问题,终于搞出来了XFF改成题目的ip, Referer www.nsctf.net,不得到了 base64 的 flag,解码

flag{NSCTF_488b7a2dccd02a734165c39ba4517dbc}


Web100 Version


这个我是直接到官方放出Hint前都没任何的头绪。官方的hin是

填写 PHP 的版本号,并且不要使用 POST 方法,所以正确的方法是把 ver

。既然不能POST那就GET咯!看回显,知道Base64&hex2char 解密后得到本题 flag{NSCTF_6c79e9b36c08b00035287a88c6cab90f}


Web150 Brute force

看源码,知道有password.txt,直接上brup跑,得到一个连接的php,到留言板,一开始以为XSS,等了半天,没有反应!换个思路吧,POST然后抓包分析,留言抓包,发现 cookie 里面有个 Islogin 变量,POST 数据有个 userlevel 变量,需要分别修改为 1 和 root,QAQ为什么是root???

然后得到flag{NSCTF_76b44eac527ad5c8789f5d2e0f1ede9a}



Web150 social engeer

社工,根据留有的信息写py,爆破,得到密码:Xiaoming09231995

上社工库,提交身份证号,得到flag{NSCTF_3ad65730a8f203a5ab861169e9547f6}。。。。。这题最有爱了


Web200 Javascript

查源码

var strKey1 = "JaVa3C41ptIsAGo0DStAff";

var strKey2 = "CaNUknOWThIsK3y";

var strKey3 = String.fromCharCode(71, 48, 111, 100, 33);

if (uname == (strKey3 + (((strKey1.toLowerCase()).substring(0, strKey1.indexOf("0")) +

strKey2.substring(2, 6)).toUpperCase()).substring(0, 15))) {

var strKey4 = 'Java_Scr1pt_Pa4sW0rd_K3y_H3re';

if       (upass       ==       (strKey4.substring(strKey4.indexOf('1',      5),       strKey4.length      -

strKey4.indexOf('_') + 5))) {

alert('Login Success!');

document.getElementById('key').innerHTML                                                                      =

unescape("%3Cfont%20color%3D%22%23000%22%3Ea2V5X0NoM2NrXy50eHQ=%3C/font%3E");

} else {

alert('Password Error!');

}

} else {

alert('Login Failed!');

}


直接肉眼看到key是base64的,解码得到key_Ch3ck_.txt,提示使用 Ch3ck_Au7h.php

尼玛又得重现安安分分的解码源码,因为js混淆,直接上工具,得到username 和 password,且post提交得到


flag{NSCTF_d7590edfdf8bcf958ced10cec94273ad}




Web200 lFI

手工了半天,试试伪协议,上

php://filter/read=convert.base64-encode/resource=index.php ,可以读到 base64 之后的 index.php 文件

解码得到flag{NSCTF_9bac7a6e289bf89ee0061bd0abdef0ab}


Web200 Decode




没什么好说的,考验编码能力,写py解码,得flag{NSCTF_b73d5adfb819c64603d7237fa0d52977}。。。这题也很有爱QWQ


Web200



直接访问index.php.swp可得源代码



审计之,然后 id 和 pass 是在 index.php 的返回包中抓到的。


解得 pass=20150923,id 需要改成 1,才能过第一个判断点。另一个坑点

是 POST 过去是没用的,构造payload且POST

得到

flag{NSCTF_98c5bf58e35877fc76ce03f0f01327c5}


Web200 Variable cover


这题我一开始也是没做出来。等官方放Hint才Gank之



在index.php源码中审计出变量覆盖漏洞

Keypoint:

1.绕过正则。

$_CONFIG[‘Security’]控制,在对其赋值之后,有一段 unset

语句,所以只需要在传参的时候,传入_CONFIG,就可以 unset 掉全局变量$_CONFIG 数组,使得正则无效。

2.绕过 clean 函数。

要想查询记录数>1,就必须截断单引号,最后构造出payload

得到

flag{NSCTF_adf0ff1eb152b1e3398ba4523fc713f}



Web350 SQLI




手注狗的最爱!

可控 POST 参数有两个:username 和 filtername,第二个参数是帮助绕 WAF

直接给 username 传个’会被反斜线,URL两次编码后绕过+Union 注入,构造出payload

得到

flag{NSCTF_98c5bf58e35877fc76ce03f0f01327c5}




Web400 File Upload





直接Fuzz出能上传什么鬼?得出可以上传*.ph*(后期直接可以上传*.php5)
传shell呗,读了一半直接挂了,什么鬼QAQ???

又传了一次,又挂了。。。。怀疑在服务端会删除shell,连续发了1000个,FUZZ出删除时间。。。。利用竞争资源,持续传shell,权限维持

读出

flag{NSCTF_8f0fc74ddf786103ed56d20af3bf2697}



评论

热度(7)

  1. 3ecurityTroubleM3 转载了此文字
    哇噢,牛牛。
©TroubleM3 | Powered by LOFTER