CTF(一四月)

1、xgm(CRYPTO)

EB2EE5C1-C6F5-4800-B346-000E885A9405.png

似乎是RSA??
發現n1 n2是相同的,查閱資料http://www.lxweimin.com/p/1dff3eba348f 發現 是共模攻擊
隱含條件是:明文m相同

  • assert 斷言,條件為false的時候觸發

x : no libnum

04.01

2、王曉明的日記(社工)

3、簡單個人信息搜集

無任何信息 需要密碼,查閱是偽加密
zip
504B,第二個,后面的09改為00
windows txt打開,Mac是亂碼
[
在哈爾濱市阿城區勝利街六委十三組 有個叫杜甫的你能把他的手機號找到嗎?
flag格式 flag{手機號}
]
看wp,原本使用的社工庫不能用了

04.02

1、sign in

*下載網易MuMu模擬器
輸入密碼,報錯關鍵字【Try again】
安裝apktool
.apk改為.zip 再解壓
有了.dex


image.png

安裝jd-gui

止步于[它說我沒Java環境]
在H4lo(劃重點!!)師傅的幫助下 直接打開jar文件,???用
搜索Try again


7BCF36F2-DDF0-4C63-9D8D-FCA98C30D446.png

源碼


0867156C-0F63-4BC6-BFF4-E76F523C4FBE.png

查閱wp發現 2131427360 是一個資源分配管理的id

E6BD54D3-084E-435F-9887-23721F4D9DD7.png

它管理的地方在strings.xml里面

82EBF620-69CE-4140-B645-B028C06B638D.png

按理應該在values中,但是沒找到,作罷,放棄 ??

04.03

[mobile1]模擬器中安裝失敗???
[mobile2] xml中???

1、First_mobile

sh d2j-dex2jar.sh classes.dex

調用了encode


C0B93DA7-A995-4CA6-A247-548444863B39.png

是一個加密(編碼的函數),輸出的是bool型,判斷其是否相等。


AC72983B-3F7A-45B0-84E9-A7CC297712CA.png

根據其寫出解密函數

2、HelloSmali2

java源碼,類似base64解密


41DE8CFA-5504-464C-869A-A72388BE6D37.png
javac //編譯 得到.class
java //運行

得到eM_5m4Li_i4_Ea5y

3、baby unity3d(N1CTF)

參考https://github.com/Nu1LCTF/n1ctf-2018/blob/master/writeups/reverse/baby%20unity3d/writeup.md

沒實現
思路是:
global-metadata.dat 被加密了
找到解密函數,解密
再用Il2CppDumper來恢復libil2cpp.so中的符號
然后是aes

04.07

1、fake func

???
https://www.52pojie.cn/thread-820158-1-1.html

04.11

1、extract 變量覆蓋

extract()漏洞:沖突的時候,引入新的變量,覆蓋原來的變量,
trim()函數,移除字符串兩側的空白字符或預定字符


320D62A0-8DEE-434A-AC1C-D07D40669280.png

[需要把值設置為空才可,不明白為什么]

2、strcmp 比較字符串

在php5.3之前???用數組繞過驗證,即如果輸入的不是字符串,會返回0

3、urldecode二次編碼

eregi是不區分大小的正則匹配
GET本身就有一次url解碼的功能
第一次 url編碼 在burpsuite中
第二次 把第一的百分號進行編碼
%2568%2561%2563%256b%2565%2572%2544%254a

04.12

1、MD5

思路1:尋找碰撞
思路2:字符變為數組

04.13

1、sha()函數比較繞過

var_dump用于輸出變量的相關信息


C4C56B83-D753-48B7-A07C-E8DC2CFF4A78.png

仍然是利用數組

2、md5碰撞

240610708和QNKCDZO


C676CC5E-3BFC-42CA-BE55-532A8F30EB95.png
1E55A419-6102-4F19-968A-68565F516651.png
F407E0DC-5EBD-4987-B22E-900A6C316DA3.png
DD4351B2-C20A-471D-B80B-51DAB6874F1B.png

實際上是不相同的,但是對于0e開頭的,它都判斷為0,所以就認為他們兩個是相等的了

3、16進制與數字比較

2BBEE0F3-0738-4D86-A01A-E488D743A076.png

04.21

1、ereg正則截斷

  • strpos(string,find,[start]),找到find再string中的位置,從start開始搜索
  • ereg()函數用指定的模式搜索一個字符串中指定的字符串,如果匹配成功返回true,否則,則返回false。搜索字母的字符是大小寫敏感的。
C2D73529-8EBA-437C-BAA5-C30D75F82DB1.png

1、需要保證password必須是字母或數字


15A92965-D605-40A6-9988-2D80A64B4D5C.png

方法1:直接使用數組就可以繞過,并且數組繞過的時候不需要保證password>9999..99

方法2:參考別人構造的 ?password=1e9%00-

%00截斷ereg, 1e9滿足數值長度的限制
** -滿足存在- 【其實不明白為什么要加 “”,但是如果去掉會報錯】

569EA917-AD26-466C-B865-17D22AC9EB6A.png

2、strpos數組繞過

DC6ED003-A4C7-452D-8654-03F0714BF1F8.png

根據我18天的經驗,嘗試數組繞過
http://123.206.87.240:9009/15.php?ctf[]=111
成功!!

3、數字驗證正則繞過

  • preg_match 用于執行一個正則表達式匹配
    post password 位數<12即可??不懂為啥

參考
https://blog.csdn.net/qq_39629343/article/details/80141021

http://www.lxweimin.com/p/bd944f7c87b6

WEB

04.22

1、過狗一句話

...怎么題都被刪了啊...

1、字符?正則?

04.30

1、字符?正則?

接上題
正則表達式總結 見上

id=keykeyaaaakey:/a/keya:

D5A0F6F8-3E4A-4540-AA5E-144EB98EC9EF.png

圖上的問號可能不算標點符號?改為冒號和逗號均可

前女友的題打不開了,百度發現是數組截斷

2、login1

提示是約束攻擊


D6494BEB-4C3C-4160-B144-AC129EAB4C65.png

自己注冊admin(空格)賬號

3、你從哪里來

burpsuite 修改HTTP Referer (wp說是修改,但是我沒這個,就加上了)


EE6C76AF-DCE9-467E-856A-25970CD90B66.png

4、md5碰撞

常見的碰撞見代碼
https://blog.csdn.net/qq_39629343/article/details/80696263

就這?就這?就這???

5、請從本地訪問

9A595990-77D2-4622-B00D-F9493D29EC7C.png

6、各種繞過

BD143AAC-6C6A-4F56-ABE2-027D9DFEF378.png

有點類似于 代碼審計??

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容