2017广东省大学生网安赛

1.ctf入门级题目：

赛题是个网页，要我们提交password，先随便输入字符串，得到一个index.phps。用Sublime打开，可以看到：

$flag ='*********';

if (isset($_GET['password'])) {

if (ereg ("^[a-zA-Z0-9]+$",$_GET['password']) === FALSE)

echo 'You password must be alphanumeric';

else if (strpos ($_GET['password'], '--')!== FALSE)

die($flag);

else

echo 'Invalid password';

}

?>

ViewSource

Ereg()函数有%00截断漏洞，直接在网址后面的？password=…改为?password=aaa%0008,ereg()正则匹配就截止了，函数会认为是提交合法，strpos（）也不受影响。直接得到flag

2.隐写术：斑马斑马

一开始做，放到Stegsovle分析，没有出现什么异常，不是LSB，就用winhex分析，除了一部分异常代码，其他也没什么一场，头和尾都完整，那部分异常代码是两个不同的时间，一开始以为入口就在这里，结果半天也没结果。后来有一位斑马的条纹代表二进制，想想不可能，因为都是010101……，最后使用条形码扫描器扫出来，就有flag.

在线扫描器网页：https://online-barcode-reader.inliteresearch.com/