H4cking to the Gate

本题附件打开是一个bmp图片尝试用010查看该文件，搜索PK文本发现文件末尾隐藏了一个压缩包将后缀名改为zip后打开压缩包，发现有两个文件，但是解压需要密码，其中有提示说密码在图片中。尝试各种工具来解析这个图片，最后可以用zsteg来得到压缩包密码 1zsteg -a 文件名 用密码解压文件，用wireshark打开流量包追踪tcp流得到疑似flag的字符串文本写脚本跑出结果 123456789import base64flag=''for line in open("ws.txt"): rs = line.replace('\n', '') if "cmd.realMsg..privateMsg" in rs: tmp=rs.split('||') flag+=tmp[0][-1] print(flag)

题目环境进入后是一个输入框，随便传一个值，用burp抓包看看查看请求包可知，输入的字符串会被当做password的值以get方式传递，查看响应报文会发现提示，是一个sql语句，其中用到了md5($pass,true)第二个参数true会将md5值用原始的6字符输出，在网上搜索后发现这个可以用ffifdyop绕过，绕过原理是：ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c，这个字符串前几位刚好是’ or ‘6，而 Mysql 刚好又会把 hex 转成 ascii 解释，因此拼接之后的形式是 select * from ‘admin’ where password=’’ or ‘6xxxxx’，等价于 or 一个永真式，因此相当于万能密码，可以绕过md5($pass,true)函数在下一个界面可以看到注释中有提示 123456$a = $GET['a'];$b = $_GET['b'];if($a != $b && md5($a) ==...

前言最近经常见到BJDCTF赛题的改版，其中有一道很经典的代码审计题目，写篇博客学习一下 https://github.com/BjdsecCA/BJDCTF2020

一道web的签到题，考察docker的基本命令，因为以前没有接触过，做的时候还是花费了一些时间 下好了docker以后应该先 docker run -it moth404/edgnb启动容器，第一次需要拉取镜像，加载完毕后出现容器的命令行界面尝试用find命令寻找flag文件，发现该容器中有非常多的flag文件，但cat之后都是空的，没有任何内容，那我们就需要换个思路先用docker images查看镜像，再使用docker history [OPTIONS] IMAGE查看镜像的历史记录，在历史记录中发现flag字样在命令后加--no-trunc 显示完整的提交记录，可以得到 FLAG=HECTF{EDGnb!EDGnb!!EDGnb!!!EDGnbnbnb}

前言考察php的语言特性和md5

一道简单的misc 下载附件后打开压缩包，看到.DS文件和一个加密后的压缩包 通过压缩包名字可以判断密码为6位数字，题目应该是想让我们用工具爆破，我们选取的工具为John，通过计算压缩包的哈希值来解析出密码 密码即为142345 打开图片后是一只小狗，首先考虑图片隐写 各种工具都尝试一下，最后发现foremost可以成功 得到flag

一道简单的misc题，下载附件后打开压缩包 解压后打开docx文档 打开后是纯文字，首先想到可能是隐写 打开隐藏文字后发现也并无用处 使用010打开该文档后发现有PK开头，于是可以尝试压缩包打开 打开后发现是xml文件 查看各个文件后发现可疑信息，由括号组成的js代码，可在控制台中直接运行，由于文件中的括号代码有很多段，尝试拼接后在控制台运行 控制台运行后得到flag

一道简单的misc题，下载附件后打开压缩包 将这个无后缀的文件先放入010中看看，判断文件类型 看到以PK开头可初步确认为压缩包，将后缀名改为zip后成功打开 压缩包中是一个.class文件，这里应该使用java反编译来解析.class文件，还原成java代码来寻找信息 打开.class文件后发现字符串URPGS{Jr1p0zr_G0_U3pg6_!}，这个字符串和flag的形式很像，但是其中的字母应该经过了移位，用凯撒密码来解密 将位移设为14解出真正的flag

前言文件上传漏洞靶场Upload-labs，在github上下载后部署在win10本地，php版本为5.2.17，测试环境使用Kali虚拟机 1https://github.com/c0ny1/upload-labs

前言考察sql注入（万能密码），ssrf（file协议），反序列化（pop链构造） 一、题目 二、题解Part 1启动环境发现是一个简单的登陆页面先上万能密码 1" or 1=1# 此处也可以使用sql注入，查询用户表，得到用户名为admin，密码为12345678 Part 2提示/tmp/hint.php，观察地址栏提示的ssrf以及?path=尝试使用伪协议发现php://被过滤（www也被过滤） 只能选用file协议来访问文件 1?path=file:///tmp/hint.php 在hint.php找到疑似源代码 Part 3将源代码扒下来整理好格式开始审计 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071<?phperror_reporting(0);/* * flag in...