攻防世界misc高手进阶区刷题记录easycap解压出来之后为一个pcap文件，使用wireshark打开右键追踪TCP数据流即可获得flagflag：385b87afc8671dee07550290d16a8071reverseMe

原题解题思路notepad++看到，这应该是一个压缩包，解压。但是解压的时候提示格式不对，不是zip，rar可以。解压出来有一个key.txt，打开就行。

下载所给附件，用winhex打开，发现是个wav文件，果然修改文件扩展名为.rar会发现有一个音频文件，我们用audacity打开，选择左上方的sound选项，找到其中的频谱图，就会得出答案直接输入flag后边的内容就完成了。

附件下载下来解压是一个wav后缀文件wav文件介绍WAV是最常见的声音文件格式之一，是微软公司专门为Windows开发的一种标准数字音频文件，该文件能记录各种单声道或立体声的声音信息，并能保证声音不失真。但WAV文件有一个致命的缺点，就是它所占用的磁盘空间太大（每分钟的音乐大约需要12兆磁盘空间）。它符合资源互换文件格式（RIFF）规范，用于保存Windows平台的音频信息资源，被Windows平

下载发现是gz压缩包，放在linux下解压用Audition打开，没有发现什么特别的切换到频谱频率显示器得到flag

目录攻防世界-MISC新手练习题集（二）What-is-thisHear-with-your-EyesreverseMemisc_pic_againTest-flag-please-ignoreJános-the-Ripper

1.进入环境，下载附件是个音频文件，打开听听，妈的差点给我送走了！2.题目分析题目提示用眼睛听这段音频，说的真好，看了看wp，说白是要将音频波形图转成频谱图，在此下载Audacity软件，打开如图：我们转成频谱图：得到最终结果e5353bb7b57578bd4da1c898a8e2d7673.还可尝试用AU来转换传送门：https://www.bilibili.com/read/cv1336827

打开“攻防世界”，选择“Misc”后，找到“Hear-with-your-Eyes”，下载附件解压。得到如文件：解压后发现，该文件无法打开，于是将文件后缀改为压缩包再解压试试。果真，可以了。

攻防世界MiscHear-with-your-Eyes1.解压压缩包winhex打开2.Audacity打开切换到频谱图1.解压压缩包发现一个无后缀文件winhex打开可以看到是一个wav文件直接修改后缀试试发现并不能打开猜测是一个压缩包修改后缀为

János-the-Ripper题目：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4756&page=1知识点：1.010查看文件，PK开头为zip文件标志。2.zip压缩包若非伪加密（0900），密码可尝试爆破（AdvancedArchivePasswordRecovery）hit-the-core题

原题解题思路是一个没有后缀的文件，题目提示要用眼睛看这段音频，notepad++打开文件，没什么东西。加后缀zip再解压看看。使用Audacity打开音频文件

第一步，用科学计数法绕过a=1e9if(isset($a)&&intval($a)>6000000&&strlen($a)".md5($i);}}第三步，绕过is_numeric函数$c=(array)json_decode(@$_GET['c']);#接收json格式的字符串并将其转化为数组c={"m":"2033%00"}#使用%00可以绕过is_numeric函数第四步，绕过is_array

1Gin框架源码解析通过阅读gin框架的源码来探究gin框架路由与中间件的秘密。1.1Gin框架路由详解gin框架使用的是定制版本的httprouter，其路由的原理是大量使用公共前缀的树结构，它基本上是一个紧凑的Trietree或者只是（RadixTree）。具有公共前缀的节点也共享一个公共父节点。RadixTree基数树，由成为PAT位树，是一种更节省空间的前缀树。对于基数树的每个节点，如果该

原题解题思路thinkPHP.0有漏洞，ThinkPHP5.xrec漏洞分析与复现。本题就是利用漏洞查找。格式是：?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=命令。ls查看文件没什么东西，robots.txt和index.php有可能有，不过看了也没什么可疑的。一

原题解题思路解压后文件没有后缀，不知道是什么文件。用notepad++打开找不到flag。尝试当成压缩包解压。用stegsolve以打开图片1，合成两张图片。

原题解题思路用StegSolve打开文件，调通道没用，wp说用RGB信道打开可以找到，但说实话用大括号也没找到在哪，得是预先知道答案才找得到。

原题解题思路注释说了flag存在f14g.php中，但是在wakeup函数中，会把传入的文件名变成index.php。看wp知道，如果被反序列话的字符串其中对应的对象的属性个数发生变化时，会导致反序列化失败而同时使得__wakeup失效（CVE-2016-7124的漏洞），所以这题其实是一个反序列化的题目。preg_match函数判断是否包含类似o:2的字符串，如果存在则中断程序执行，否则调用@u

原题解题思路明显使用的flask框架，那就用flask模板注入。查看配置文件config。注意config在函数safe_jinja中使用了。http://61.147.171.105:59211/shrine/%7B%7Burl_for.__globals__['current_app'].config%7D%7Dflag就在config中。

原题解题思路点击join就可以进行注册username看起来是个超链，点击跳转在url里出现了no=1，看起来可以注入，改成no=1and1=2报错。本来想用sqlmap，可能是网速有问题，啥都没出来。no=1orderby5报错，一共有四列。按照以前的方法现在该看数据库名no=1unionselect1,2,3,database()，但是不行。网上大佬们的wp都提到了序列化，扫描目录还能看到fl

解题思路：1、御剑扫描--未发现线索2、发现隐藏的robots.txt、flag.php，访问发现站点就login和join，login一通sql注入未果注册后查询发现“http://159.138.137.79:57307/view.php?no=1”可能存在注入点使用orderby发现为4，使用unionselect注入。注：需要使用/**/union/**/select绕过waf?no=1a

通常情况下，在开发者使用一些执行命令函数且未对用户输入的数据进行安全检查时，可以注入恶意的命令，使整台服务器处于危险中。作为一名CTFer，命令执行的用途如下：①技巧型直接获取flag；②进行反弹Shell，然后进入内网的大门；③利用出题人对权限的控制不严格，对题目环境拥有控制权，导致其他队伍选手无法解题，这样在时间上会占一定优势。在CTF中，命令执行一般发生在远程，故被称为远程命令执行，即RCE

1、网络安全人才培养模式2、网络安全涉及领域三、如何入门学习网络安全1、黑铁（练气期）WindowsLinux计算机网络Web基础数据库基础2、青铜（筑基期）Web进阶PHP编程计算机网络进阶加解密技术

1.题目描述打开链接，可以看到如下代码：代码意思很简单，让我们传递两个参数，一个file1，一个file2，如果file2的内容为helloctf，那么就可以在代码中includefile12.思路分析这道题显然是一个文件包含的问题，而且输入没有做任何过滤，这样的话就比较简单了，可以参考本人之前的帖子https://blog.csdn.net/wuh2333/article/details/130

题目描述菜鸡听说有的程序运行就能拿Flag？下载文件后，看下文件信息，是一个可执行程序思路分析逆向出代码，发现关键点在这里这里有个解密函数，解密出v2和我们的输入v1进行对比，能够匹配上就OK，说明这个v2就是我们需要的flag。继续看这个解密函数，函数中并没有给出密文是多少，继续往前追溯就更困难了因此，这里既然明确v2是我们需要的flag，那么其实没必要去弄清楚并复现该解密过程，直接调试该程序，

1.题目描述打开链接，如下：告诉我们flag在flag.php上2.思路分析只看前端页面没有什么有效的信息，burpsuite抓包看看代码很短，很快就能找到关键点，我们可以通过设置cookie中的language字段，利用文件包含，获取flag.php的内容参考之前写的一篇博客的内容：https://blog.csdn.net/wuh2333/article/details/132258424?s

原题解题思路js就看源代码，pass是数字，下面还有一串十六进制的编码。进制转换就是，也是一串数字，那把这两串数字都拿去转ASCII码。s1=[55,56,54,79,115,69,114,116,107,49,50]s2=[70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65]a=""foriins1:b=chr(i)a=a+bprint(a

原题解题思路下载下来的文件解压就可以看到非常多的文件夹，直接搜索flag明显用base64加密了：解码工具

原题解题思路php://被替换了，但是只做了一次比对，改大小写就可以绕过。用burp抓包，看看有哪些文件flag明显在第一个PHP文件里，直接看

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行点开链接我们直接上传一句话木马发现上传不了说明可能被过滤了所以我们需要绕过绕过的点为检查后缀中是否有htaccess或ph思路：通过上传.user.ini以及正常jpg文件来进行getshell.user.ini文件解题前我们先了解下.user.ini文件指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了requi

首先分析源代码题目类型为文件包含漏洞通过GET传参获得flag根据第3行include(“./check.php”);运用php伪协议构造payloadphp://filter/read=convert.base64-encode/resource=check.php原理：利用filter协议读文件，将index.php通过base64编码后进行输出。这样做的好处就是如果不进行编码，文件包含后就不

原题解题思路直接查找看不到明显的回显变化先找回显变化数量-1'orderby2#如果是3列就报错，说明只有两列。接下来找数据库名称：-1'unionselect1,databases#结果是后端做了一些简单的过滤，需要更换查找语句。-1';showdatabases;#题目就叫supersqli，目标数据库也明显了。下面找数据库的表。-1';usesupersqli;showtables;#两个表

1、网站目录下会有一个robots.txt文件，规定爬虫可以/不可以爬取的网站。2、URL编码细则：URL栏中字符若出现非ASCII字符，则对其进行URL编码，浏览器将该请求发给服务端；服务端会可能会先对收到的url进行解码，然后交给后端代码。3、Post传参将头部中第一行中的GET改成POSTPOST头部数据格式声明Content-Type:application/x-www-form-urle

原题解题思路只有一张图片，就查看源代码，有一个source.php。查看source.php，白名单中还有一个hint.php。hint.php告诉我们flag的位置ffffllllaaaagggg但是直接跳转是没用的，构造payload。http://61.147.171.105:55725/source.php?file=source.php%253f/../../../../../../ff

原题解题思路需要满足a表示一个大于6000000长度小于等于3的数，这就会用到科学计数法，例如1e9。b需要md5值的倒数6位为8b184b。md5彩虹表可以通过获得cmd5破解范围-discuz密码破解,vBulletin/md5(phpbb3)。c要是json格式，m键且不能是整数类型，但要大于2022，n键要是一个列表，并且列表的第一个元素也是列表。构造payload类似于“http://?

原题解题思路robots.txt是网站的爬虫声明，说明允许哪些部分被爬取，进robots.txt看看。f1.g.php不让看，进去看看。

原题解题思路题目已经告诉了，flag在flag.php中，先查看网页源代码（快捷键CTRL+U）。通过抓包修改，可以把lan变量赋值flag。在cookie处修改。新打开的网页没有cookie，直接添加“Cookie:language=php://filter/read=convert.base64-encode/resource=/var/www/html/flag”即可。base64解码

原题解题思路直接展示源码了，flag.php应该存放了flag，在file1与file2都不为空且file2是“helloctf”时file1将被导入。接下来做法很明显，让file为flag.php，file2为“helloctf”。“?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=data://text

原题解题思路flag被分成了两个部分：flag2，flag2。获得flag1需要满足变量a=0且变量a≠0，这看起来不能实现，但实际上当变量a的值是字符时，与数字比较会发生强制类型转换，所以a为字符型数据即可，变量b则是一个不全为数字的大于1234的值即可。比如加入”?a=a&b=66666c“。

checksec后试运行放入64位ida典型栈溢出发现system，但参数不对，那我们shift+F12查看字符串，发现binsh，地址为0x0804A024system在plt的地址为0x08048320写脚本#coding=utf8frompwnimport*context.log_level='debug'p=remote('111.198.29.45',31028)system_plt=0

参考文章：re学习笔记（27）攻防世界-re-csaw2013reversing2_Forgo7ten的博客-CSDN博客攻防世界逆向入门题之csaw2013reversing2_沐一·林的博客-CSDN

下载压缩包：下载链接：https://adworld.xctf.org.cn/challenges/list参考文章：攻防世界逆向高手题之secret-galaxy-300_沐一·林的博客-CSDN博客发现这只是三个同一类型文件的三个不同版本而已

参考文章：re学习笔记（28）攻防世界-re-no-strings-attached_Forgo7ten的博客-CSDN博客攻防世界逆向入门题之no-strings-attached_攻防世界no-strings-attached

查壳，发现是UPX壳脱壳，命令upx-d路径脱壳成功拖进IDA，静态分析，shift+F12查看字符串，d_0n3_4nd_tw0}猜是flag的一部分。转到汇编代码阶段，能看到是part2，所以还有一部分没给出来，function。直接搜索part，进入汇编代码阶段，能看到对数据进行转为十六进制，R。分析汇编就知道数据是放在栈上的，以小端序存储方式存储(高位字节放高地址，低位字节放低地址)。最后

查看提示：不需要爆破进入到靶场中，发现需要注册用户到达注册页面，isadmin需要打勾，并输入同样burpsuite抓包原来payload：{"username":"1","password":"1","isAdmin":true,"inviteCode":"1"}payload：{"username":"1","password":"1","__proto__":{"isAdmin":true}

1.下载附件、拖进exeinfo查壳，无壳2.64位IDA静态分析发现没有main函数，只有一个start函数。两种方法：第一种：在start函数，F5反汇编，其中发现main，双击进去并没有信息，观察v4=sub_940()函数，双击进去，进到主要函数。__int64sub_940(){intv0;//eaxintv2;//[rsp+8h][rbp-218h]intv3;//[rsp+Ch][r

1.下载附件，exeinfo查壳，无壳2.32位IDA分析，进入主函数内int__cdeclmain(intargc,constchar**argv,constchar**envp){intresult;//eaxintv4;//[esp+5Ch][ebp-70h]char*v5;//[esp+60h][ebp-6Ch]charv6[27];//[esp+6Ch][ebp-60h]BYREFcha

这题有点琐碎吧,记一下,多少学点东西一菜狗最近学会了拼图，这是他刚拼好的，可是却搞错了一块(ps:双图层)下载文件,就一个flag.txt,把压缩包扔进winhex参考,因为这里是文件头不是子块,把7A改成74打开后是图片还是空白,把图片丢进winhex发现是gif文件,改变图片后缀;打开后发现还是空白图片;因为题目提示了拼图,双图层就需要用ps分离图层了在线ps网站:米斯达把导出来的两张图片分别

我会一题一题的做，因为也是新手所以我会尽可能的写的清楚明白后面所需要的工具我会慢慢发出来，也可以私信我MISC新手区1、this_is_flag题目描述：Mostflagsareintheformflag{xxx},forexample:flag{th1s_!s_a_d4m0_4la9}答案很明显告诉你了前面写着flag的格式flag{}后面告诉你了flag很明显flag{th1s_!s_a_d4

1.题目描述打开链接，发现是一串源码：从源码中不难发现关键词是flask.render_template_string(safe_jinja(shrine))，这个函数说明了题目的关键点在于模板渲染，即存在模板注入2.思路分析从代码中不难发现，即使存在模板渲染的操作，但是进行了一些安全防护措施2.1将(和)替换成了空字符2.2将关键字config和self替换为空字符串，不能直接传入这两个字符串我

题目给了一个附件，我们将附件下载下来并解压，发现有俩文件，显然这个hello程序就是我们需要破解的在linux环境下执行下该程序，发现这是一个通讯录小程序，可以对通讯者号码，姓名，描述信息进行增删改查操作使用file命令查看文件类型，发现是64位的elf文件ok，接下来使用ida对该文件进行逆向，查看具体的代码逻辑。代码逻辑如下：主函数：从代码中可以看出，主函数的逻辑就是接收增删改查指令去调用对应