2020湖湘杯复赛Writeup

gclome

原文链接：2020湖湘杯复赛Writeup

Web

---

题目名字不重要反正题挺简单的
解题思路
非预期解：flag在phpinfo里显示出来了
​

---

NewWebsite

解题思路
http://47.111.104.169:56200/?r=content&cid=2
cid参数存在SQL注入漏洞，没有任何过滤，得到后台账号密码为admin/admin
进入后台发现水印图片那里有个php3文件，访问是phpinfo，没什么用
​
然后访问/upload/watermark/目录，发现可以目录遍历，有可以解析的shell文件
​
http://47.111.104.169:56200/upload/watermark/82061604228330.php3
盲猜密码cmd
​

这里猜测预期解应该是上传.php3|.phtml类型后缀进行绕过，但是当时我这个靶机好像有问题，无法上传任何文件，看到了目录遍历直接解了。

---

Miscpassword

解题思路

下载后解压发现WIN-BU6IJ7FI9RU-20190927-152050.raw文件

直接拖到kali用volatility分析
volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw imageinfo判断为Win7SP1x86

​
volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86 hivelist获取SAM文件虚拟地址

​
volatility -f WIN-BU6IJ7FI9RU-20190927-152050.raw --profile=Win7SP1x86 hashdump -y 0x93fc41e8导出Hash

​
CTF用户的hash拿去解密，密码明文为:qwer1234
然后sha1
db25f2fc14cd2d2b1e7af307241f548fb03c312a

颜文字
解题思路
题目是颜文字，其实和颜文字没啥关系。
wireshark打开数据包，发现有个index_demo.html的文件，把里面的内容复制出来保存在本地。
​
本地打开，右键查看源码发现一些类似base64的东西

1. <font size="4">KO+9oe+9peKIgO+9pSnvvonvvp7ll6hIaX4gCm==
   
2. KO+8oF/vvKA7KSjvvKBf77ygOyko77ygX++8oDspCr==                                
   
3. KCtfKyk/KOOAgj7vuL88KV/OuCjjgII+77i/PClfzrgK                                 
   
4. bygq77+j4pa977+jKinjg5bjgpwK                                                  
   
5. 77yc77yI77y+77yN77y+77yJ77yeKOKVr+KWveKVsCAp5aW96aaZfn4K                     
   
6. 44O9KOKcv+++n+KWve++nynjg44o77yg77y+77yQ77y+KQp=                           
   
7. KF5e44Kezqgo77+j4oiA77+jKc6oKuKYhSzCsCo6LuKYhijvv6Pilr3vv6MpLyQ6Ki7CsOKYhSog44CCCp==
   
8. flwo4omn4pa94ommKS9+byhe4pa9XilvKMKs4oC/wqwpKCriiafvuLbiiaYpKSjvv6Pilr3vv6MqICnjgp7ilLPilIHilLMo4pWv4oC14pah4oCyKeKVr++4teKUu+KUgeKUuwp=
   
9. 4pSz4pSB4pSzIOODjigg44KcLeOCnOODjingsqBf4LKgCn==                        
   
10. 4LKgX+CyoCjila/igLXilqHigLIp4pWv54K45by577yB4oCi4oCi4oCiKu+9nuKXjyjCrF/CrCApCp==
    
11. KOODjuOBuO+/o+OAgSlvKO+/o+KUsO+/oyop44Ke4pWwKOiJueeav+iJuSAp77yI77i2Xu+4tu+8iSgqIO+/o++4v++/oyko77+jzrUoI++/oykK
    
12. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAo=
    
13. KMKsX8KsIiko77+j77mP77+j77ybKSjila/CsOKWocKw77yJ4pWv77i1IOKUu+KUgeKUu+ODvSjjgpzilr3jgpzjgIAp77yNQzwoLzvil4c7KS9+KOODmO+9pV/vvaUp44OY4pSz4pSB4pSzCu==
    
14. 4LKgX+CyoCjila/igLXilqHigLIp4pWv54K45by577yB4oCi4oCi4oCiKu+9nuKXjyjCrF/CrCApCo==
    
15. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIMK
    
16. 4oqZ77mP4oqZ4oil44O9KCrjgII+0JQ8KW/jgpwvKOOEkm/jhJIpL35+KCNfPC0p77yI77ye5Lq677yc77yb77yJCo==
    
17. KOODjuOBuO+/o+OAgSlvKO+/o+KUsO+/oyop44Ke4pWwKOiJueeav+iJuSAp77yI77i2Xu+4tu+8iSgqIO+/o++4v++/oyko77+jzrUoI++/oykK
    
18. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAq=
    
19. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCm==
    
20. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCs==
    
21. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAp=
    
22. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCr==
    
23. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCt==
    
24. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAr=
    
25. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCi==
    
26. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCn==
    
27. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAo=
    
28. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCp==
    
29. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCq==
    
30. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCl==
    
31. KO++n9CU776fKinvvonil4t877+jfF8gPTMo44OO772A0JQp44OOKOKAstC0772Az4Mpz4Mo77+i77i/zKvMv++/ouKYhinvvZ4o44CAVOODrVQpz4M8KCDigLXilqHigLIpPuKUgOKUgAq=
    
32. KOKKmcuN4oqZKe+8nyjPg++9gNC04oCyKc+DPCgg4oC14pah4oCyKT7ilIDilIDilIDvvKPOtSjilKzvuY/ilKwpMzwoIOKAteKWoeKAsinilIDilIDilIBD77yc4pSAX19fLSl8fO+9nijjgIBU44OtVCnPgyjjgIPvvJ7nm67vvJwpCl==
    
33. KG/vvp92776fKeODjmQ9PT09PSjvv6Pilr3vv6MqKWLOtT3OtT3OtT0ofu+/o+KWve+/oyl+KOKdpCDPiSDinaQpVeKAouOCp+KAoipVCi==
    
34. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK                        
    
35. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK                           
    
36. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK                        
    
37. KOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIo4pWv4oC14pah4oCyKeKVr+eCuOW8ue+8geKAouKAouKAoijila/igLXilqHigLIp4pWv54K45by577yB4oCi4oCi4oCiKOKVr+KAteKWoeKAsinila/ngrjlvLnvvIHigKLigKLigKIK
    
38. ZmxhZ+iiq+aIkeeCuOayoeS6huWTiOWTiOWTiC==</font>

复制代码

网上搜了一下发现这是base64隐写，网上有现成的脚本

1. <font size="4">https://www.it610.com/article/1290949422569562112.htm</font>

复制代码

把base64隐写的东西保存成code.txt，解密脚本

1. <font size="4">def get_base64_diff_value(s1, s2):
   
2.     base64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
   
3.     res = 0
   
4.     for i in xrange(len(s2)):
   
5.         if s1[i] != s2[i]:
   
6.             return abs(base64chars.index(s1[i]) - base64chars.index(s2[i]))
   
7.     return res
   
8. 
   
9. def solve_stego():
   
10.     with open('code.txt', 'rb') as f:
    
11.         file_lines = f.readlines()
    
12.     bin_str = ''
    
13.     for line in file_lines:
    
14.         steg_line = line.replace('\n', '')
    
15.         norm_line = line.replace('\n', '').decode('base64').encode('base64').replace('\n', '')
    
16.         diff = get_base64_diff_value(steg_line, norm_line)
    
17.         print diff
    
18.         pads_num = steg_line.count('=')
    
19.         if diff:
    
20.             bin_str += bin(diff)[2:].zfill(pads_num * 2)
    
21.         else:
    
22.             bin_str += '0' * pads_num * 2
    
23.         print goflag(bin_str)
    
24. 
    
25. def goflag(bin_str):
    
26.     res_str = ''
    
27.     for i in xrange(0, len(bin_str), 8):
    
28.         res_str += chr(int(bin_str[i:i + 8], 2))
    
29.     return res_str
    
30. 
    
31. solve_stego()</font>

复制代码

运行完输出了一个key

​
key:"lorrie"然后将index_demo.html进行snow解密得到以下内容
​
将其替换(.)(-)

1. <font size="4">-.... --... -... ...-- ...-- . ...-- ----. -... ..... .---- ----- ..... ..-. -... ....- .- ..--- ----. ..... ...-- .- ----- -.-. . --... ----. -.-. ...-- ...-- --... ---..</font>

复制代码

莫斯密码解密得到flag。


隐藏的秘密
解题思路
​
提示计算机中没有这个用户，但是还是可以登录。众所周知隐藏账号一般为：test$这种。
接着用volatility分析这个附件，判断版本为Win2003SP2x86
​
列出SAM表的用户
​
然后拿得到的密文批量解ntml，将得到的明文信息和用户名对应，例如
JbpPIa4$:980099vz1rKjG$:565656yW1fMSd$:19861013oR9C4h0$:a520520etiH3Lp$:321321接着把这些批量md5加密，然后去平台爆破flag（非预期解）。
预期解应该是查看注册表。

---

虚实之间
解题思路：
可以先将附件中的mingwen的副本文件分离出来
修复数据包用winrar自带的或者7z直接能把mingwen副本.txt解压出来
使用ARCHPR对加密的文件进行明文爆破
爆破之后得到密码
进入原加密文件
​
再栅栏
​