美文网首页
2018信息安全铁人三项赛 资格测评WP

2018信息安全铁人三项赛 资格测评WP

作者: 灰羽小少爷 | 来源:发表于2018-01-19 18:48 被阅读7093次

    2018信息安全铁人三项赛 资格测评

    1.权限

    【题目描述】:你是管理员吗?

    【解题链接】:http://ctf4.shiyanbar.com/web/root/index.php

    1.进入后会发现hint,标题为password.txt。访问,获取密码字典。

    2.爆破密码后,在cookie中发现一个网址,访问,进入小黑留言板。

    3.看到提示,说是让用小黑的账号发留言。尝试发留言,会得到未登录,然后分析数据包可以发现。

    mark

    4.发现两个可以数据,修改即可。

    期间有一些小坑,他这里小黑的账户是root,而非admin。
    感觉自己还是该完善一下字典了。

    2.IOS

    【题目描述】:无

    【解题链接】:http://ctf4.shiyanbar.com/web/IOS/index.php

    1.拿到题目,打开后,显示 系统升级到了ios99 ,分析可得,需要改UA,毕竟咱也是实验吧刷过题的。

    2.修改UA为iphone99。此时又有一个坑。不光得是iphone99,还要是Safari。心疼的抱住自己。

    【payload】 :User-Agent:Mozilla/5.0 (iPhone; CPU iPhone OS 99 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12B411 Safari/600.1.4

    3.照猫画虎

    【题目描述】:照猫画虎。

    【解题链接】:http://ctf4.shiyanbar.com/web/copy/index.php

    1.打开后,题目要求访问的必须是第1234567890位。分析数据包,发现cookie可疑。

    mark

    2.进一步分析。cookie为base64(人数:md5(人数))

    3.构造payload,成功获取到flag。

    4.问题就在这

    【题目描述】:找答案 GPG key: GhairfAvvewvukDetolicDer-OcNayd#

    【解题链接】:http://ctf4.shiyanbar.com/ste/gpg/john.tar.gz.gpg

    1. 首先下载到的是一个加密文件,题目中给了秘钥,直接下载解密器打开即可。
      GPG Windows 版本的下载 https://gpg4win.org/download.html

    2. 解密后发现是一个流量包,分析后发现为http交互的流量,直接拖下来。

    3. 发现一个网页,本地搭建成功后,发现没有卵用。

    mark
    1. 发现关键字PoliCTF2015,于是搜得原题wp。
      http://www.pwntester.com/blog/2015/07/12/polictf-forensics100/

    2. 好坑,没想到是隐写题,答案就在logo.png。拖进stegsolve即可解决。(好吧,怪我没看路径提示。)

    5.你最美

    【题目描述】:无

    【解题链接】:http://ctf4.shiyanbar.com/misc/123/123.exe

    1. 下下来是个exe,以为是个逆向,突然看到有个小提示(/笑哭)目录是杂项,那么好说了,拖到hxd里,发现是个base64的图片。
    mark
    1. 那么写到img标签里。
    mark

    3.放到浏览器,运行!

    mark

    4.扫码,出答案。

    mark

    6.shellcode

    【题目描述】:无

    【解题链接】:http://ctf4.shiyanbar.com/re/shellcode/shellcode.txt

    1. 看着是个挺难的题,先按照shellcode的思路写个C程序跑一下。。。然后就。。。崩溃了。。
    2. 那就把他转换成程序码看一下。
    mark
    1. 好像发现了什么不得了的东西诶“echo ZmxhZ3tTSEVsbGNvZGVfSVNfc29fQ29vbH0K|base64 -d”这不就是把“ZmxhZ3tTSEVsbGNvZGVfSVNfc29fQ29vbH0K”base64解密再回显么,那就解下密,这个题还没有再为难你就把flag双手奉上啦(/笑)

    相关文章

      网友评论

          本文标题:2018信息安全铁人三项赛 资格测评WP

          本文链接:https://www.haomeiwen.com/subject/lvdaoxtx.html