楚慧杯CTF初赛writeup

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

包括web、misc、crypto、mobile, 由于时间问题pwn没搞出来，做个记录大家凑合看吧，直接从文档导入的图片要放大才能看得清，要原版UP可以自行下载：

链接：https://pan.baidu.com/s/1Wxi2oU6ZciLQD6NwsS_6ZQ

提取码：6666

Web

python_easy 题目

点击flag无法发现可以跳转需要登录

         

使用注册发现admin用户

尝试使用12345发现跳转到了登录界面

再次点击flag获得

Sign   题目

small_mini   题目

文件查看获取源码

分析源码得出exp，上传文件

根据文件名和路径得出MD5值，使用phar利用

Base64解码得到flag

flag{951c712ac2c3e57053c43d80c0a9e543}

小f的网站   题目

Misc

 

签到  题目

下载zip压缩包后打开zip

不点击解压，直接脱出得到flag.txt

全选缩放得到flag

crypt  题目

看secret.jpg的文件属性，有个veracrypt的提示

提示是一种加密算法，然后用010editor打开文件，查找到如下密码字段：a$%lSU

查看二进制数据末尾有一段unkown数据，从82FA开始到文件末尾

将该段数据拷贝另存为文件3333。因为提示verycrypt加密，且已有提示的密码，下载VeraCrypt工具，加载3333文件

3333文件被加载到O盘，查看O盘，发现只有一个空文件夹flag，右键O盘检查文件发现有3个隐藏文件

怀疑有隐藏的系统文件没有显示，打开相关显示选项，找到回收站文件夹下有个flag文件

拷贝flag.txt出来打开，看到flag

secret  题目

显示高度得到 一段，解 lsb 隐写得到 一段

OXiChaiYan

Bitlocker解密

明文攻击

解压得flag

flag{b6aa5b40559fc9762918cd32f5f6bd0f}

Crypto

RollingBase  题目

Mobile

Level_One  题目

就是个换表base64

直接解