GKCTF2021 ✖ DASCTF应急挑战杯 部分WP

Misc

你知道apng吗

下载附件得到girl.apng，用apngdis_gui分解得到每一帧的png图片

分别在2，18，26发现二维码。其中18，26可以直接扫描得到-ad20和-0327-288a235370ea}。图片2是扭曲的二维码，但可以用ps拖正

扫描得到flag{a3c7e4e5，最后在第十张图片的红色通道1中得到二维码

扫描得到-9b9d,所以flag为 flag{a3c7e4e5-9b9d-ad20-0327-288a235370ea}

银杏岛の奇妙冒险

下载附件，打开exe，emmm熟悉的感觉，MC！！！！！

进入游戏，先找misc妈妈领取个任务先

给了个坐标，255 -41 71，直接输入指令传送过去 /tp 255 -41 71

呜呜呜，出题人骗我，改一下/tp 255 71 -41

到这儿之后会打一个BOSS，打死之后会得到一本书，至于如何杀了他，那肯定得开个小挂了嘿嘿嘿，输入指令 /give @p minecraft:diamond_sword 1 0 {ench:[{id:16,lvl:32727}]} 直接一刀斩了 成功得到第一本书

得到部分flag w3lc0me 以及下一个boss的坐标 291 -95 67 按照出题人习惯 我要是再去这个坐标肯定又得死 所以直接去291 67 -95

这次没有死了，还是一刀砍死boss 得到第二本书

得到t0_9kctf_和第三个boss的坐标324 -190 79 (就是324 79 -190)

还是一刀砍死，得到第三本书

得到2021_和最后一个boss的坐标362 69 -144(直接就写正确的坐标了)

杀死后得到最后一本书，得到Check_1n，所以flag为：
GKCTF{w3lc0me_t0_9kctf_2021_Check_1n}

话说后面这个图片一定就是出题人了叭哈哈哈哈 小辫子！！

excel 骚操作

打开excel附件，发现有的地方显示1，有的地方显示0

ctrl+a全选，然后点击条件格式，选择等于

点击自定义格式，选择黑色填充，并且令值等于1

确定之后得到一张看起来像二维码的东西，但是扫不出来，后来得知这是汉信码，用中国编码app扫描得到flag{9ee0cb62-f443-4a72-e9a3-43c0b910757e}

以下两题wp来自宇神

签到

首先下载题目文件得到一个wireshark数据包

我们使用wireshark打开，经过观察内容，推测为webshell的http流量

经过观察我们可以猜测QER1参数为传递的命令，那么response的值就是返回的回显
可以看到是经过编码的，经过分析发现为十六进制

十六进制解码后，第二层是base64编码

从结果来看，可能还需要将回显的字符进行反转

继续往下一步寻找，发现了类似flag的字样

我们导出这个http数据

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

将这个数据按上面的方法还原

再将每一行进行反转后组合在一起得到

DQoNCiMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIw0KIyAgICAgICAgIDIwMjEtMDMtMzAgMjA6MDE6MDggICAgICAgICAjDQojIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMNCi0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tDQrnqpflj6M6Km5ldyA1MiAtIE5vdGVwYWQrKw0K5pe26Ze0OjIwMjEtMDMtMzAgMjA6MDE6MTMNClvlm57ovaZdIA0KLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tMCAyMDowMToxMw0KW+Wbnui9pl0gW+Wbnui9pl0gW+Wbnui9pl0gZmZsbGFhZ2d7e319V1dlZWxsMCAyMDowMToxMw0KW+Wbnui9pl0gW+Wbnui9pl0gW+Wbnui9pl0gZmZsbGFhZ2d7e319V1dlZWxsY2MpKVvliKDpmaRdIFvliKDpmaRdIDAwbW1lZV9fR0dra0NDNDRGRl9fbW0xMXNzaWlDQ0NDQ0NDQ0NDQ0MhIQ==

再进行一次base64解码

可以看到flag内容，将双写内容还原得到flag{Welc0me_GkC4F_m1siCCCCCC!}

FireFox Forensics

首先下载题目文件解压得到下面两个文件

通过题目和描述，我们猜测可能为某种软件的凭证文件
百度搜索题目找到这样一个工具：RS Browser Forensics

他的作用是备份和还原浏览器的各种数据
点击分析系统

从题目名称我们可以推测为firefox的浏览器数据

我们可以看到logins.json文件，观察文件内容推测，这个文件是firefox浏览器的密码存储记录
在同文件夹中，我们一样看见了key4.db

将刚刚题目里面的文件覆盖掉本来的两个文件，打开火狐浏览器，在密码记录中看到了GKCTF{9cf21dda-34be-4f6c-a629-9c4647981ad7}

Web

easycms

进入靶机，访问admin.php进入后台登录入口，弱口令admin/12345登录

在 设计->高级 发现编辑模板这里可以写入php代码

但是尝试修改，提示需要创建 /var/www/html/system/tmp/kwav.txt 才能修改

尝试找到一个可以创建任意文件的地方，最后在 设计->组件->素材库这儿发现可以上传文件。上传一个1.txt

修改文件名为 ../../../../../../../../../../../../var/www/html/system/tmp/kwav

保存之后，发现刚刚的编辑模板可以进行修改了

保存之后访问主页，成功执行 phpinfo()

接着把代码改为 然后访问 http://ad2a38dd-7e03-436f-b1bb-d9cbd779acb1.node3.buuoj.cn/index.php 得到flag{1e66c481-e02d-4f48-a24b-7fcda106e87f}