安全矩阵

 找回密码
 立即注册
搜索
查看: 6495|回复: 0

2020湖湘杯复赛Writeup

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-11-12 09:48:55 | 显示全部楼层 |阅读模式
原文链接:2020湖湘杯复赛Writeup

Web

题目名字不重要反正题挺简单的
解题思路
非预期解:flag在phpinfo里显示出来了


NewWebsite

解题思路
http://47.111.104.169:56200/?r=content&cid=2
cid参数存在SQL注入漏洞,没有任何过滤,得到后台账号密码为admin/admin
进入后台发现水印图片那里有个php3文件,访问是phpinfo,没什么用

然后访问/upload/watermark/目录,发现可以目录遍历,有可以解析的shell文件

http://47.111.104.169:56200/upload/watermark/82061604228330.php3
盲猜密码cmd


这里猜测预期解应该是上传.php3|.phtml类型后缀进行绕过,但是当时我这个靶机好像有问题,无法上传任何文件,看到了目录遍历直接解了。


Miscpassword

解题思路

下载后解压发现WIN-BU6IJ7FI9RU-20190927-152050.raw文件

直接拖到kali用volatility分析
volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw imageinfo判断为Win7SP1x86


volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86 hivelist获取SAM文件虚拟地址


volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86 hashdump -y 0x93fc41e8导出Hash


CTF用户的hash拿去解密,密码明文为:qwer1234
然后sha1
db25f2fc14cd2d2b1e7af307241f548fb03c312a

颜文字
解题思路
题目是颜文字,其实和颜文字没啥关系。
wireshark打开数据包,发现有个index_demo.html的文件,把里面的内容复制出来保存在本地。

本地打开,右键查看源码发现一些类似base64的东西

  1. <font size="4">KO+9oe+9peKIgO+9pSnvvonvvp7ll6hIaX4gCm==
  2. KO+8oF/vvKA7KSjvvKBf77ygOyko77ygX++8oDspCr==                                
  3. KCtfKyk/KOOAgj7vuL88KV/OuCjjgII+77i/PClfzrgK                                 
  4. bygq77+j4pa977+jKinjg5bjgpwK                                                  
  5. 77yc77yI77y+77yN77y+77yJ77yeKOKVr+KWveKVsCAp5aW96aaZfn4K                     
  6. 44O9KOKcv+++n+KWve++nynjg44o77yg77y+77yQ77y+KQp=                           
  7. KF5e44Kezqgo77+j4oiA77+jKc6oKuKYhSzCsCo6LuKYhijvv6Pilr3vv6MpLyQ6Ki7CsOKYhSog44CCCp==
  8. flwo4omn4pa94ommKS9+byhe4pa9XilvKMKs4oC/wqwpKCriiafvuLbiiaYpKSjvv6Pilr3vv6MqICnjgp7ilLPilIHilLMo4pWv4oC14pah4oCyKeKVr++4teKUu+KUgeKUuwp=
  9. 4pSz4pSB4pSzIOODjigg44KcLeOCnOODjingsqBf4LKgCn==                        
  10. 4LKgX+CyoCjila/igLXilqHigLIp4pWv54K45by577yB4oCi4oCi4oCiKu+9nuKXjyjCrF/CrCApCp==
  11. KOODjuOBuO+/o+OAgSlvKO+/o+KUsO+/oyop44Ke4pWwKOiJueeav+iJuSAp77yI77i2Xu+4tu+8iSgqIO+/o++4v++/oyko77+jzrUoI++/oykK
  12. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAo=
  13. KMKsX8KsIiko77+j77mP77+j77ybKSjila/CsOKWocKw77yJ4pWv77i1IOKUu+KUgeKUu+ODvSjjgpzilr3jgpzjgIAp77yNQzwoLzvil4c7KS9+KOODmO+9pV/vvaUp44OY4pSz4pSB4pSzCu==
  14. 4LKgX+CyoCjila/igLXilqHigLIp4pWv54K45by577yB4oCi4oCi4oCiKu+9nuKXjyjCrF/CrCApCo==
  15. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIMK
  16. 4oqZ77mP4oqZ4oil44O9KCrjgII+0JQ8KW/jgpwvKOOEkm/jhJIpL35+KCNfPC0p77yI77ye5Lq677yc77yb77yJCo==
  17. KOODjuOBuO+/o+OAgSlvKO+/o+KUsO+/oyop44Ke4pWwKOiJueeav+iJuSAp77yI77i2Xu+4tu+8iSgqIO+/o++4v++/oyko77+jzrUoI++/oykK
  18. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAq=
  19. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCm==
  20. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCs==
  21. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAp=
  22. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCr==
  23. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCt==
  24. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAr=
  25. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCi==
  26. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCn==
  27. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAo=
  28. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCp==
  29. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCq==
  30. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCl==
  31. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAq=
  32. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCl==
  33. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCi==
  34. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK                        
  35. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK                           
  36. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK                        
  37. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIo4pWv4oC14pah4oCyKeKVr+eCuOW8ue+8geKAouKAouKAoijila/igLXilqHigLIp4pWv54K45by577yB4oCi4oCi4oCiKOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK
  38. ZmxhZ+iiq+aIkeeCuOayoeS6huWTiOWTiOWTiC==</font>
复制代码
网上搜了一下发现这是base64隐写,网上有现成的脚本
  1. <font size="4">https://www.it610.com/article/1290949422569562112.htm</font>
复制代码
把base64隐写的东西保存成code.txt,解密脚本

  1. <font size="4">def get_base64_diff_value(s1, s2):
  2.     base64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
  3.     res = 0
  4.     for i in xrange(len(s2)):
  5.         if s1[i] != s2[i]:
  6.             return abs(base64chars.index(s1[i]) - base64chars.index(s2[i]))
  7.     return res

  8. def solve_stego():
  9.     with open('code.txt', 'rb') as f:
  10.         file_lines = f.readlines()
  11.     bin_str = ''
  12.     for line in file_lines:
  13.         steg_line = line.replace('\n', '')
  14.         norm_line = line.replace('\n', '').decode('base64').encode('base64').replace('\n', '')
  15.         diff = get_base64_diff_value(steg_line, norm_line)
  16.         print diff
  17.         pads_num = steg_line.count('=')
  18.         if diff:
  19.             bin_str += bin(diff)[2:].zfill(pads_num * 2)
  20.         else:
  21.             bin_str += '0' * pads_num * 2
  22.         print goflag(bin_str)

  23. def goflag(bin_str):
  24.     res_str = ''
  25.     for i in xrange(0, len(bin_str), 8):
  26.         res_str += chr(int(bin_str[i:i + 8], 2))
  27.     return res_str

  28. solve_stego()</font>
复制代码

运行完输出了一个key


key:"lorrie"然后将index_demo.html进行snow解密得到以下内容

将其替换(.)(-)
  1. <font size="4">-.... --... -... ...-- ...-- . ...-- ----. -... ..... .---- ----- ..... ..-. -... ....- .- ..--- ----. ..... ...-- .- ----- -.-. . --... ----. -.-. ...-- ...-- --... ---..</font>
复制代码

莫斯密码解密得到flag。


隐藏的秘密
解题思路

提示计算机中没有这个用户,但是还是可以登录。众所周知隐藏账号一般为:test$这种。
接着用volatility分析这个附件,判断版本为Win2003SP2x86

列出SAM表的用户

然后拿得到的密文批量解ntml,将得到的明文信息和用户名对应,例如
JbpPIa4$:980099vz1rKjG$:565656yW1fMSd$:19861013oR9C4h0$:a520520etiH3Lp$:321321接着把这些批量md5加密,然后去平台爆破flag(非预期解)。
预期解应该是查看注册表。


虚实之间
解题思路:
可以先将附件中的mingwen的副本文件分离出来
修复数据包用winrar自带的或者7z直接能把mingwen副本.txt解压出来
使用ARCHPR对加密的文件进行明文爆破
爆破之后得到密码
进入原加密文件

再栅栏


















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 11:53 , Processed in 0.012872 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表