末初 · mochu7

把一张图片的Hex数据(跳过了前八个字节)，进行了base64编码得到flag.txt，那么就可以利用脚本还原。附加了一个压缩包，分离出来，压缩包末尾有unicode编码，解码出来是压缩包密码。站挂了，但是给了源码，抓包拿到参数，稍微修改下源码对参数的处理方式。得到一串base64，解码是一个压缩包，有密码，在源码中找到密码。附加的压缩包解压之后有一堆带有零宽的字符，但是零宽解不出来什么。分离出来的压缩包解压得到的flag不对，是个假的flag。直接扫描是假的flag，将图片保存下来，在。

题目来源于2021创安杯线上知识赛第九题，是一道流量分析的题目。一直在尝试对其他IP发起TCP连接的扫描的IP也显而易见就是。TCP扫描端口，如果端口开放，则服务端会返回。查找关键字即可在HTTP响应头中发现。可以流量中发现很多Nmap关键字。标志位都处于Set状态的包。首先第一个问题显而易见是。的端口扫描和服务识别，且。

简单的盲注流量分析当响应包的长度>765时，该条查询语句正确，tshark导出查询语句和查询正确的判断条件(包长度)Python简单处理。

不过上面这个没有认证密码参数，适用于Redis未授权的情况下，用这个改版(打开回显CRC校验出错，猜测修改了高度，修改一下高度字段得到完整的图片内容。通道的值明显异常，大概都在ASCII可显示字符范围，直接脚本读取出来转换。简单的找了下站点服务器上没有找到Redis认证密码的提示之类的，尝试用。绕过方法很多，可以参考网上的各种文章，这里用字符串逆序绕过。，没有发现其他内网IP，后面尝试利用目录浏览读。这里是Nginx的Web容器，爆破Redis密码，字典用的是。的图片提示，搜索得到这是。

的压缩方法，解压之后又是个压缩包换了个压缩方法，本来以为是压缩包套娃，正准备先看有哪些压缩方法，先解压几次看看，结果解压到第6次，就得到。但三道题考察的知识点不一样，难度可能也做不到均衡，如果你某一道题做不下去了可以换另一道题做，总有一个方向是简单的、你做的下去的！开始执行命令，蚁剑的流量看最长的那串base64的桉树解码就行，并且一般是该参数两位之后的才是正确的命令的Base64编码。本来这三道题是一连串的套娃，但是烨师傅说太难了，于是乎我连夜将这套娃拆成了三道小题，把这道题变成了。

2022年江西省赣育杯网络安全大赛学生族Web&Misc Writeup

运行之后在响应头反馈了访问URL。在当前目录的上一级发现flag。访问即可发现成功执行。

协议自带一层url解码，这样双层url编码可以绕这里的过滤，至于。关键字可以用管道符分隔开用作过滤器(错误的过滤器也不会报错)自带强大的内省自检机制，可以查询出。末尾附加了一张PNG图片。PS加上中间的定位符就行。

本来报名了这个比赛的，但是后面给搞忘了，然后比赛完了之后才知道，Web没环境了，简单的来复现下唯一的一道Misc吧。官网没法下的这里(我从官方下的，因为写这篇文章时候忽然发现没法打开下载页面了，贴个我之前从官网下的)一开始以为这只是个标识罢了，没认为这是密码，后面实在没找到别的密码了，就试了下还真是。对于不同的密码可以打开不同的加密卷，提示另一个密码可能是。安装打开会有提醒，但是进去切换平台就可以打开。，猜测可能加密磁盘的密码在别的地方，这是。打开之后经过一番寻找，发现外设的摄像头。的加密磁盘了，但是用。

图片末尾有一段hint的base64。这里为了后面的绕过只能选择。补二维码定位符即可正常扫描。生日一般都是八位纯数字。

的很多字符经过这样的一番编码处理都可以得到正常的字母，脚本fuzz。然后是找flag位置，比较无语的是的flag位置在。的配置文件网上位置有很多，这里能读取到的是。参数的处理过程如下图所示。

注意到了banner中信息说是。

字段中(内容比较长，等待时间需要久一点，因为BUU发包太快会直接ban掉，就加个。测起来有点感觉过滤很奇怪。

登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字，例如。但是因为没有字段信息可以查，使用无列名注入直接查内容。然后再之后的对广告名的fuzz测试中发现以下过滤。猜测广告名存在注入，尝试在广告名处输入单引号。，发布的时候并没有任何反应，发布后有个。尝试联合查询、首先需要判断有多少字段，直接报错了，基本确定广告名存在。无法注释就尝试构造闭合。可以查看发布的广告。查表明，因为这里过滤。

通道的数据提取出来转换成字符，然后拼接起来，以一行一行的方式读取。通过识别它们的文件头进行进一步解压，Python简单处理。一位师傅发的、来源不知、但是觉得这题可以记录一下。的压缩文件，接下来就是套娃解压，只不过这里混合了。通道有数据，而且看起来都在。的ASCII可显示字符范围。三种压缩格式的套娃压缩。读取RGB数据，只有。

是可以执行的，可以先上线一个shell，然后在服务器中检查使用其他参数的结果。会将执行语句记录输出文件。控制输出文件内容以及文件格式就可以解析了。的文件无法写入，尝试写入一些可能会解析的其他文件后缀。使用输出格式可以将指定的内容输出到指定的文件格式。对传入的参数的保护(感觉有点点猜的意思。但是这里还有些过滤，比如过滤了关键字。会把扫描结果导出到一个文件里面。题目环境经过测试可以发现只有。，那说明导出的文件格式是。即便执行失败也无所谓，

过滤了小括号基本上就没法使用各种类的方法了，而这里。在环境变量中，这里的过滤只针对。方法，可以直接查看到当前。

位置相近打错了，这三部分key应该是相同的。显然应该是用来迷惑的，真正的。ZIP压缩包且有三部分key，并且压缩方法为。的字节流逆序，且每个字节高低位反转了。得到键盘流量，尝试了直接使用。保存前端源码，对整个文件夹找。的生成机制，追踪一下哪里调用。的压缩格式，可修改后缀为。玩游戏的过程中发现有一个。，我们直接可以生成一个。，然后每隔若干个就有。Python简单处理。可以看到传入的参数是。

的触发条件是把实例对象当作方法调用。很明显，如果把实例对象赋给。的触发条件是调用不可访问的属性或者方法，能做到的只有。是有办法通过php伪协议读取到。在当前目录，而整个题目只有。限定了形参为字符型，如果。

调用接口识别验证码登录获得会话，检测是否为置顶文章，如果为置顶、终止程序，如果不为置顶，反序列化上一次存储的文章ID对象，然后删除上一次的文章，重发文章，并且将这一次文章的ID对象序列化存储起来以备下一次删除文章使用。