本文文章來源：

文章作者:?Harvey

文章鏈接:?https://harvey.plus/2021/05/16/2021CISCN/

版權(quán)聲明:?本博客所有文章除特別聲明外，均采用?CC BY-NC-SA 4.0?許可協(xié)議。轉(zhuǎn)載請注明來自?Mssn Harvey！

第一卷-Web

easy_source

來源于：https://r0yanx.com/2020/10/28/fslh-writeup/

php反射，使用ReflectionMethod內(nèi)置類的getDocComment方法 , 然后爆破一下rb的值得知函數(shù)名q，進(jìn)而得到flag：CISCN{1yVxf-Nt5Gc-ITZhp-6rqwI-2sE6S-}

payload：

easy_sql

報錯注入 + 無列名注入

卷不動了~

第一卷-Misc

tiny_traffic

首先在流量包中提取出test與secret兩個br文件

接著我們找到腳本解碼得到對應(yīng)的proto3文件test1、secret1

附上下載地址：https://pan.baidu.com/s/1acusuaH05vnw4Mczjj1qSQ（提取碼：ddql）

最后在用protoc解密，整理得到flag：CISCN{e66a22e23457889b0fb1146d172a38dc}

附上安裝protoc命令（Linux-kali）

running_pixel

首先分解gif（得分解為png或者bmp的，要是jpg最后整出來可能會導(dǎo)致像素信息損失）

接著把每一幀的rgb是233 233 233的像素放到一張圖上，跑下腳本得到畫好的382張圖

關(guān)鍵就在于通過對比每十幀里的相同的圖片，進(jìn)而找到（233，233，233）這個點(diǎn)

最后解出來了出題人還要惡心你一下，一幀一幀按順序去看就能得到flag：CISCN{12504d0f-9de1-4b00-87a5-a5fdd0986a00}（PS：382張圖，字還特小）

放個flag的gif演示圖

附上腳本

第一卷-Reverse

glass

反編譯發(fā)現(xiàn)在so層加密，解包打開IDA，分析函數(shù)得知是rc4加密，跑下腳本得到flag：CISCN{6654d84617f627c88846c172e0f4d46c}

附上腳本

from Crypto.Cipher import ARC4

res = [0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA8, 0x2D, 0x42, 0xC7, 0x6E, 0x3F, 0xB0, 0xD3, 0xCC, 0x78, 0xF9, 0x98, 0x3F]
key = b"12345678"
rc4 = ARC4.new(key)
key = list(key)
for i in range(39):
? ?res[i] ^= key[i % 8]
for i in range(0, 39, 3):
? ?tmp0 = res[i]
? ?tmp1 = res[i+1]
? ?tmp2 = res[i+2]
? ?res[i] = tmp1 ^ tmp2
? ?res[i+2] = tmp0 ^ res[i]
? ?res[i+1] = res[i+2] ^ tmp2
print(rc4.decrypt(bytes(res)))

第二卷-Web

middle_source

session文件包含

掃描web文件得到了.listing，.listing文件內(nèi)容有個php文件you_can_seeeeeeee_me.php

訪問you_can_seeeeeeee_me.php是個phpinfo()，有開PHP_SESSION_UPLOAD_PROGRESS，并且拿到了session的路徑: /var/lib/php/sessions/jehaahfcad/

這樣我們可以通過上傳文件，然后使用文件包含執(zhí)行這個/var/lib/php/sessions/jehaahfcad/sess_xxxxxxxxxx文件

phpinfo有ban了函數(shù) , 不能執(zhí)行命令，所以用scandir去讀取目錄

第二卷-Misc

隔空傳話

首先我們拿到了一堆加密的通話數(shù)據(jù)，得知是短信編碼中的PDU（但是給的數(shù)據(jù)過多，懶狗肯定想辦法整個批量的

附上批量腳本

接著根據(jù)pdu信息里本身包含的時間信息排序，排起來就是一張png（指的是后面的16進(jìn)制數(shù)據(jù)

附上排序腳本

最后crc爆破寬度會發(fā)現(xiàn)前面解碼給的w465意思就是寬度是465，進(jìn)而整理得到flag：CISCN{15030442_b586_4c9e_b436_26def12293e4}（手動滑稽~

第三卷-Misc

robot

把TCP的第一個流導(dǎo)出來，然后所有的坐標(biāo)都在里面，提取一下就能得到flag：CISCN{easy_robo_xx}

附上腳本

文章作者:?Harvey

文章鏈接:?https://harvey.plus/2021/05/16/2021CISCN/

版權(quán)聲明:?本博客所有文章除特別聲明外，均采用?CC BY-NC-SA 4.0?許可協(xié)議。轉(zhuǎn)載請注明來自?Mssn Harvey！