2017网络空间安全实验班选拔赛wp

发表于 | 分类于 | | 阅读次数

渣渣只能膜fish大佬和宋神了,顺便吐槽一下自己的选择题做的是真的垃圾

Web01

第一题先看源码,得到发现可以用常规思路万能密码绕过
构造
username=’ or ‘1’=’1’#
Password随便即可绕过
即可构造出select * from users where name = ‘’ or ‘1’=’1’#andxxxxx
因为#是注释所以注释掉了后面语句

得到flag
flag{justForTestL0g1n}

WEB7

第二题可以构造后台语句
Username=0 union select 1,2,md5(1)#
Password=1
绕过,得到flag
这里可以先猜测数据库有3列,id,username,password,然后通过联合查询使password字段为1的md5值
这样通过输入password=1可以实现经过后台逻辑判断可以绕过。
flag{Second2@16L0g1n}

WEB05

上御剑

访问robots.txt

访问flag.txt

Web04

这题一开始没啥思路,上御剑扫目录
结果发现一个.index.php.swp源码泄露
先贴一下源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php 
if ("POST" == $_SERVER['REQUEST_METHOD']) 
	{ 
		$password = $_POST['password']; 
		if (0 >= preg_match('/^[[:graph:]]{16,}$/', $password)) 
		{ 
			echo '鐪熺殑鍚楋紒锛 '; exit; 
		} 

	while (TRUE) 
	{ 
		$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

		if (6 > preg_match_all($reg, $password, $arr)) 
			break; 
		$c = 0; 
		$ps = array('punct', 'digit', 'upper', 'lower'); 

		foreach ($ps as $pt) 
		{ 
			if (preg_match("/[[:$pt:]]+/", $password)) 
				$c += 1;
		} 

		if ($c < 3) break; if ("2017" == $password)
		{ 
			include_once("flag.php"); 
			echo $flag; 
		} 
		else echo 'Duang锛侊紒锛 '; exit; } } 
?>

审计源码,这里我不知道graph是啥意思(后来知道了是除(空格键与[TAB]键)之外的所有按键) )。只好fuzz,fuzz了半天发现原来是要输入超过16位,而且必须结果等于2017,这里我当时想到了俩个思路一个是0x7E1另外一个是2017.0000000000000000001
后面有说必须要有标点,大小写,数字一大堆的,了解了原理,本地搭建一个环境进行fuzz一下


结果发现本地fuzz出一个,结果弄进去不给我过ORZ

1
0x7E1&111111111111

继续fuzz半天发现了一个发现2017.0000000000是等于2017然而缺少字母,想到了eN等于10的N次方
所以最后的payload

1
20170.000000000000000000000e-1

web02 抽奖

这题没毛病,以前打陕西省网络空间安全的时候做的题,这次再做的时候莫名其妙找不到JSFuck了,晕,幸好本地正好直接有当时的wp,随手试了试了一下当时的flag发现直接可以过,(吐槽一下出题人真是懒,flag都没改)这里贴一个链接,感兴趣的小伙伴可以去看一下http://blog.csdn.net/qq_35078631/article/details/70256502

Web03

这题没撸了好长没弄出来,就先说一下思路吧,首先御剑扫到了一个flag.php,所以我们尝试读取flag.php,但是好像做了黑名单检测,就是读不了,这里我尝试了一下../发现貌似会被替换为空,然而放在tes../t.txt文件就不存在了,ORZ。然后00截断啥的尝试了一下也没啥用就放弃了。。

cipher0x

第一题提示放射密码,直接用上学期老胡布置的作业的完整版本程序跑一下就好了,源码如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
#include<stdio.h>
#include<string.h>
#include<ctype.h>
#include<stdlib.h>
void sttub(int t,int s);
void sttuben();
void sttuban();
char p[1000],str[1000]={0},q[1000]={0};
int count[26]={0},k1[12]={1,3,5,7,9,11,15,17,19,21,23,25};
int k2,k3,c,i,n,t,s,ch;
int main()
{
	printf("选择一种模式:1—>加密,2—>解密,3—>暴力破解,4—>字频破解\n");
	scanf("%d",&c);
	switch(c)
	{
	case 1:
		{
			system("color E");
			printf("请输入明文\n");
			fflush(stdin);
			gets(p);
			ch=strlen(p);
			printf("请输入密钥\n");
			scanf("%d,%d",&t,&s);
			for(n=0;n<ch;n++)
			{
				if((p[n]>='A')&&(p[n]<='Z'))
					str[n]=(t*(p[n]-'A'+s))%26+'A';	
				else if((p[n]>='a')&&(p[n]<='z'))
					str[n]=(t*(p[n]-'a'+s))%26+'a';
				else
	    			str[n]=p[n];
			}
			printf("密文:%s\n",str);
		}break;
	case 2:
		{
			system("color A");
			printf("请输入密文\n");
			fflush(stdin);
			gets(p);
			ch=strlen(p);
			printf("请输入密钥\n");
			scanf("%d,%d",&t,&s);
			sttub(t,s);
			printf("%s\n",str);
		}break;
	case 3:
		{
			system("color C");
			fflush(stdin);
			printf("请输入需要破解的密文\n");
			gets(p);
			ch=strlen(p);
			sttuben();
		}break;
	case 4:
		{
			system("color E");
			printf("请输入需要破解的密文\n");
			fflush(stdin);
			sttuban();
		}
	}
}
void sttub(int t,int s)
{
	for(k3=0;k3<1000;k3++)
		if((t*k3)%26==1)
			break;
	for(n=0;n<ch;n++)
	{
    	if((p[n]>='A')&&(p[n]<='Z'))
			str[n]=(k3*(p[n]-'A'-s)+2600000)%26+'A';
		else if((p[n]>='a')&&(p[n]<='z'))
			str[n]=(k3*(p[n]-'a'-s)+2600000)%26+'a';
		else
	    	str[n]=p[n];
	}
}
void sttuben()
{
	for(i=0;i<12;i++)
		for(k2=0;k2<26;k2++)
		{
			sttub(k1[i],k2);
			if(strstr(str,"FLAG")||strstr(str,"flag"))
				printf("该句含FLAG:  { %s }\n",str);
			else
				printf("%s     ",str);
		}
}
void sttuban()
{
	int x,y;
	int max=0,min=100000;
	gets(p);
	ch=strlen(p);
	for(i=0;i<ch;i++)
		q[i]=toupper(p[i]);
	for(i=0;i<ch;i++)
		if((q[i]>='A')&&(q[i]<='Z'))
			count[q[i]-'A']++;
	for(i=0;i<26;i++)
	{
		if(count[i]>max)
		{
			max=count[i];x=i;
		}
		if(count[i]<min)
		{
			min=count[i];y=i;
		}
	}
    for(i=0;i<12;i++)
		for(k2=0;k2<26;k2++)
			if((x==((k1[i]*('E'-'A')+k2)%26))&&((y==((k1[i]*('Z'-'A')+k2)%26))))
			{
				t=k1[i];s=k2;
				printf("%d %d\n",t,s);
				break;
			}
	sttub(t,s);
	printf("%s\n",str);
	for(i=0;i<26;i++)
		printf("%c-->%d\n",i+'A',count[i]);
}

网信 007

这题用wireshark追踪一下tcp流,在发现传输了一个hello.txt和secret.png的图片,在20流左右发现了png的16进制右键以原始数据流的形式提取出来,打开发现flag

真有这么难?

这题真的不记得了,下载下来发现有个zip,好像flag.txt藏在其中一个文件夹里面

编程小练习

只能说这题太恶心了,最后一次机会才试出来,差点给跪,原来要加flag{Akye}

1
2
3
str = 'balabalabalabala'

print str[98]+str[300]+str[1200]+str[1332]