首页
社区
课程
招聘
[原创]ISCC 2019 writeup解题思路[xueqi]
发表于: 2019-5-14 15:06 9157

[原创]ISCC 2019 writeup解题思路[xueqi]

2019-5-14 15:06
9157

iscc 2019 解题思路

WEB

Web1 

题目地址: http://39.100.83.188:8001

读了下代码,get传参,value和password。Value的值要等w3lc0me_To_ISCC2019,但ascii值不能在32和127之间。

查php手册资料得知chr()函数是 值除以256取余数。这就好办了,只需要在原有数值上加上256就ok了。

再看password ,intval可以用科学技术法绕过,如:2e4

 


Web2

此题是要输入三位数值,还有验证码,要暴力破解试下。

自己从999倒着试试,还没到990就试出来了

不过大佬告诉我要抓包,删除cookie和user_code的值,爆破pwd

 


Web3

sqli-labs中的一道原题,好像加了过滤。自己做题时,admin好像被大佬改了弱口令,捡漏登陆admin直接爆出flag,后来被修复。

思路是sql注入,注册帐号登陆后,修改密码页面,帐号填admin'or 1# 修改admin的密码,然后登录admin获取flag

 


Web4

http://39.100.83.188:8066

读下代码,parse_url这个函数引起注意,百度了下,原来存在变量覆盖漏洞。

Key要=0 ,key是被sha256加密过的,传一个hashed_key,将原来的密文覆盖掉,hashed_key的值是0经过sha256加密的密文

构造

 


---------------------------------------------2019-5-20更新--------------------------------------

MISC

这是一个被混淆的文件,但是我忘记了这个文件的密码。你能够帮助我还原明文吗?

0126 062 0126 0163 0142 0103 0102 0153 0142 062 065 0154 0111 0121 0157 0113 0111 0105 0132 0163 0131 0127 0143 066 0111 0105 0154 0124 0121 060 0116 067 0124 0152 0102 0146 0115 0107 065 0154 0130 062 0116 0150 0142 0154 071 0172 0144 0104 0102 0167 0130 063 0153 0167 0144 0130 060 0113 

看这些数字,像是某种进制,最大是7,可能是8进制,转换十进制再对应ascii表转字符串。得到结果。


Misc  倒立屋

拿到压缩包,里面是张图,还以为线索在倒立上,用Stegsolve打开,发现是lsb隐写。


选择 R G B 最低为勾选,就可看到iscc字段,不过flag提交有个脑洞就是要把找到的线索反序排列提交。


Misc Keyes' secret

打开时,看到一大串字符 头都大了,也不知道是什么加密什么算法。睡一觉起来,发现有一段{}括住的字符串。


解密无果,后来试了下键盘轨迹,发现轨迹前四个是iscc,此题需要有想象力,字母对照键盘画轨迹。


Misc Aesop's secret


打开是个gif图片,快速闪动,能看出来是个图案,拖进pscs6里,所有图层勾选可视。发现iscc图形旁边是黑点,还以为线索在周围黑色像素点上,拖进hex编辑器发现gif尾部存在一串加密密文,怀疑是base64,复制解密,无果。


拿去试AES解密,解不出,密钥不知道,想起gif的iscc字样,密码填入iscc,解密拿到明文。


Misc Welcome-流浪


这个题目拖了五天才有思路,期间大佬们一直调戏我这萌新,说电影里有线索,想到出题人的脑洞,我还真去看了遍电影,专去找户口身上的付款二维码,条码,刘培强的号码牌条码(气到痛哭)。

然后有大佬提示我留意 “户口”“长条”,然后就和小伙伴展开脑洞,长条是李一一,一一,1 !!!.户口,刘启,口,0,???,二进制?

看密文,发现户口是重点,空格是隔断,我先把有户口的字符串替换为0,没户口的替换为1,拿去解密,无果?哪里出了错?

朋友做的相反,是吧有户口的作为 1 ,没户口的作为0,解密拿到了flag

011001100110110001100001011001110111101101001001010100110100001101000011010111110101011101000101010011000100001101001111010011010100010101111101萇條

长条多出来了,删掉,二进制转字符串:得到结果


下载附近是个二维码后缀png,我觉得没那么简单,习惯性winhex16打开看,果然里面有压缩文件,打开,发现需要密码。

扫下二维码,信息是: UEFTUyU3QjBLX0lfTDBWM19ZMHUlMjElN0Q=,

Base64明文PASS{0K_I_L0V3_Y0u!},群里好多人拿到这个就当flag提交还在群里问什么格式,怎么提交不对。

Png改成zip后缀,打开,解压文件,密码输入“0K_I_L0V3_Y0u!”,拿到flag

 


附件里是个exe,winhex查看,明明是一串base64密文,拿去解base64,是乱码。

开头有png字样,想到了是不是图片转base64的。Exe文件winhex打开,编辑》转换文件》 base64->binary,保存成png,打开发现无图像,查看文件头

   文件头是89 50 4E 47 0D 0A 1A 00PNG文件头是89 50 4E 47 0D 0A 1A 0A

修改下头,就得到二维码,扫码拿到flag

 


附件打开是个exe,文件头显示确实是exe,运行,需要帐号密码,拖进IDA分析

找到了admin像是用户名,下面字符串,有两行,我复制了第一行,怎么试都不对,后来两行都复制了连在一起作为pass,成功获得flag

Text ISCCq19pc1Yhb6SqtGhliYH688feCH7lqQxtfa2MpOdONW1wmIl

Text eBo4TW5n

Pass:ISCCq19pc1Yhb6SqtGhliYH688feCH7lqQxtfa2MpOdONW1wmIleBo4TW5n

 


附件里是个png,没图像,发现末尾有1.MP3,一定又是包含了压缩文件,png改成zip后缀,打开发现01.MP3

看到MP3,专门去百度了音频隐写术,音频可视化工具也打开看了没有信息。

MP3Stego打开,MP3Stego -x -p pass 1.mp3,不知道没密码,用不了。后来经经提醒让我再看看png图片为啥不显示。

果然又是文件头损坏,改文件头89 显示二维码图片,扫码拿到当铺密码

Pass:中口由羊口中中大中中中井

当铺密码解码:201902252228

然后 MP3Stego -x -p 201902252228 1.mp3

解出信息放在txt中,拿到





下载附件:Misc-01.zip

发现里面一张jpg图片,打开无图像,16进制看到存在压缩文件头,以及50个图片名

改后缀为压缩文件或者直接winrar打开,解压,全是二维码,扫码。

由于想抢百血,一直很紧张,思路也不清晰,一直在和二维码较劲,都没仔细看文件大小和后缀名,后来百血没了才冷静下来发现第50个图片35kb,其他的图片也才8百多字节,仔细一看后缀是jpg,拖进编辑器发现了flag。

 


找到了八张图片时,懵了,有大佬暗示要用opencv,或者gl,可是都不会用后来遇到大佬给思路,说是每个图片后边插入的数据,很有规律,




安卓逆向,安卓不了解,反编译了下看了java无果。

自己云里雾里。朋友提示我用check1爆破apk的 so文件。

然后拿到:1234567836275184

IDA打开,就发现这个可疑,当作flag提交无果,想到题目上的提示sha1,

我就把这段字符加密,#kdudpeh进行sha1加密,做flag提交不对

去掉了#,加密80ee2a3fe31da904c596d993f7f1de4827c1450a

套上flag{},正确得分。

 


原题,TWCTF的dec dec dec。

思路主要是base64 加密 rot13加密  uudecode加密


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-5-25 19:08 被hkxueqi编辑 ,原因: 更新
收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 1008
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ԅ(¯ㅂ¯ԅ)intval绕过没看懂……
2019-5-14 15:45
0
雪    币: 0
活跃值: (10)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
3
能说一下web3的思路吗?   被修复了。
2019-5-17 20:44
0
雪    币: 365
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
kanxuestime 能说一下web3的思路吗? 被修复了。
主要是sql注入,注册号登陆后,修改密码,admin'or 1# 
2019-5-20 09:27
0
雪    币: 365
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
五元素神 ԅ(¯ㅂ¯ԅ)intval绕过没看懂……
具体看 intval的计算方式
2019-5-20 09:40
0
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
有没有pwn的呢?
2019-5-20 18:28
0
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
键盘密码那个试了好多都不行,能给个提示吗
2019-5-20 21:03
2
雪    币: 4
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
QAZSC在一块?是N?
2019-5-21 00:24
0
雪    币: 365
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
mb_rtvgqani QAZSC在一块?是N?
不是,这个题脑洞太大,不多话几次根本猜不对
2019-5-21 09:19
0
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
hkxueqi 不是,这个题脑洞太大,不多话几次根本猜不对
被这道题搞自闭了
2019-5-21 10:36
0
雪    币: 458
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
题目脑洞挺大的,打自闭了,难倒不难
2019-5-21 19:22
1
雪    币: 358
活跃值: (622)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
Keye那道题看得眼花
2019-5-21 21:06
1
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
五元素神 ԅ(¯ㅂ¯ԅ)intval绕过没看懂……
PHP5在使用intval对想要表达科学记数法的字符串并不按照科学计数法来解析而是当作字符串来解析,你在本地跑一下就知道了
2019-7-22 10:04
0
雪    币: 1008
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
motee PHP5在使用intval对想要表达科学记数法的字符串并不按照科学计数法来解析而是当作字符串来解析,你在本地跑一下就知道了
吼…
2019-7-24 21:53
0
游客
登录 | 注册 方可回帖
返回
//