以太坊php助记词技巧_HDCTF2nd复盘

打开网页，源代码，base64解码

babysql(ACTF题)：

这题，一开始以为是纯注入，一个一个试'load_file','information_schema'。
还过滤了挺多东西的，后来就直接绕过注入，直接select即可。
看提示(划线划掉的)也是

查完字段是三个之后，直接查询flag即可。

1' union select 1,2,flag from flag#

这题也没啥限定，便是最大略的rce，../ 就返回上级目录，flag便是flag文件。

easygit(ACTF题)：

git透露，github上找个工具，下了源码直接cat flag就好了

backup_file(ACTF题)：

index.php.bak，备份文件，根据源码绕过就好了，布局?key=123即可

考点该当是php弱类型

参考别人总结的：

https://www.cnblogs.com/Mrsm1th/p/6745532.html

intval函数直接将值转换成数字，即数字跟字符串比较。

传key=123即可绕过限定。

easy_file_include(ACTF题)：

伪协议直接包含

http://8.129.15.153:20005/?file=php://filter/read=convert.base64-encode/resource=flag.php

点击页面的tips，文件包含php伪协议直接考试测验即可

提交get参数Hainan_University,然后在post提交HnuSec即可。
在根据末了一条，burpsuite抓包加上http头，没啥难的，就按哀求提交各种参数就好了。
便是post的时候我bp一贯弗成，用hackbar才可以

erciyuan

看源码，直接跟到末了。
先第一步绕过正则即可，^符号取反。
就把除了26个大小写字母和数字的其他更换成空，第二个过滤则把HnuSec更换成!。
不雅观察前面的hint我们要访问到!HDCTF!.php文件。
就布局HnuSecHDCTFHnuSec.php的编码即可绕过

不雅观察源码，直接绕过即可。
post传x[]=QNKCDZO&y[]=aabg7XSs。
给了个 fllllllllllllag.php，访问cat flag

md5弱类型，直接绕过吧

welcome:

预测弱口令，admin/123456，密码缺点左上角弹出密码。
输入 cat flag

flask的一题，下载给的python文件，没做任何过滤。
直接cat flag即可

给了个参考链接，模板注入。
还什么都没过滤。
就直接套了wp里的payload。

https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%B4%9E%E4%B9%8BSSTI%E6%BC%8F%E6%B4%9E/

{{config.__class__.__init__.__globals__['os'].popen('cat ./flag').read()}}

warmup

getshell

getshell。
看过滤。
过滤逗号和等号，而后用.来连接前后。

直接把连接前面的闭合掉，在用//注释符把后面注释掉

直接闭合后面也是可以cat flag的，看源码就拿到flag了

dudaima

get给pass传个值，然后反序列化他。
就知足if里的条件即可

就可自己测试了。
引用赋值和传值赋值参考：

https://blog.csdn.net/m15712884682/article/details/77350027

剩下的web题就不咋会了。
还有几道flask和反序列化，可以看看官方wp

2MISC签到题：

直接输flag，签到即可。

一步之遥：

伪加密

改成00打开

就lsb低位隐写，存为7z即可

后来保存下来，看到文件较小，也猜到可能是crc32，找工具爆了确实也不是

在比赛中是没想到可能会是纯数字，后来就写个纯数字的爆破脚本即可(脚本来自官方wp)

girlfriend：

导出HTTP工具，选最大的是图片文件。
打开看到flag

----- . ----. -... ..--- -... ...-- -.... . . ...-- ...-- -... .---- ...-- ..-. ..-. ----. .- --... ...-- -.. ..-. ....- ....- ----. -... --... --... . ..--- ..-.

http://www.zhongguosou.com/zonghe/moersicodeconverter.aspx

leet,l33t。
黑客措辞。
wiki上找一下。
有对照表，也有在线的网站

http://www.englishcn.com/tools/Leet.htmhttp://output.jsbin.com/IHoFuQE/1https://www.dcode.fr/leet-speak-1337http://www.toolsxx.com/code/1337.htmlhttps://1337.me/https://www.gamehouse.com/blog/leet-speak-cheat-sheet/

无字天书：

打开文件，文件只由空格，tab，换行组成。
可能是white-space

找个在线的网站贴进去可以直接解，或者去gayhub上找个。

https://vii5ard.github.io/whitespace/

ook直接解密就可

https://www.splitbrain.org/services/ook

你真的理解dns吗？

nslookup -type=txt hdctf.0x00.work,直接看到flag

dns的type表示dns的协议类型

nospace

零度字符隐写

解出来的便是password，密码admin：https://offdev.net/demos/zwsp-steg-js

雪花飘飘

零解一题，看了wp还没给我整懂，问了一下出题人。
diff原页面和链接页面。
创造换行，考虑网页隐写。
利用stegsnow。
snow=雪

用在线工具diff即可。

海南上一次下雨韶光。

然后就保存题目链接的html文件。

花朵解密

https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=huaduo

海底捞帧预报片

这题觉得不难，便是头大，看了wp还能懂，找到了可以用FFmpeg删除重复帧的命令，和wp一毛一样，问了一下出题人，还给一个用脚本的思路，Hash比较每一帧来筛选。
写不来，Ffmpeg天下第一。

删除重复帧之后，提出图片。

末了筛选到4张，但目前无ps就没连续做下去了，拼起来反色即可得到二维码。

分四阶段，紧张便是要降噪处理(不知道能不能把抬棺那段分离出来)。
还有能听出来DTMF编码。
morse降噪完直接看就好了。
DTMF不能的话，就手解。
降噪完也是能看的,一个是频谱,然后第二个该当是morse,第三个是dtmf 第四个便是流派的flag。
连起来便是末了的flag了。

调两个频段之后对着DTMF的表就可以看出来了。
用工具解的话有几位是乱了的

瓦斯矿工

很新奇的一道题，虚拟货币干系。

metamask利用可参考：

https://zhuanlan.zhihu.com/p/112285438?from_voters_page=true

直接foremost分离图片即可得到一个压缩包，拖进16进制文件里也可以看到有12个50 4B 03 04的PK头

不雅观察到大小较小，直接爆破crc即可，以太坊钱包通过助记词登录。
助记词可通过数字查询，这里就只爆破数字。

直接破即可

https://github.com/bitcoin/bips/blob/master/bip-0039/english.txt#L350

以太坊钱包通过BIP-39天生私钥，数字查询助记词。

脚本

import binasciiimport zipfileimport timedef crc32asii(v): return (binascii.crc32(bytes(str(v), encoding='ascii')) & 0xffffffff)for x in range(1, 10000): f = zipfile.ZipFile("00000001.zip", "r") for i in range(1, 13): GetCrc = f.getinfo(str(i)) crc = GetCrc.CRC a = ("0x%08x" % crc) j = crc32asii(x) if ("0x%08x" % j) == a: print(i, x) time.sleep(0.1)

利用助记词登录之后，复制地址，去查询最近的交易记录

详情里得到的直接转字符串得到flag

出题肯定有故事doge

考点是mp3保留字隐写数据，wp里给了wiki链接

https://en.wikipedia.org/wiki/MP3#File_structure

直接拿脚本就出了，未学习事理。

https://github.com/impakho/de1ctf-mc_challs/blob/master/writeup/mc_easybgm/mp3.py

3

crypto

起源

该当是凯撒直接解

这题迷惑了挺久的，以为是自己找的网站和软件不对。
反反复复里里外外。
试了好几个。
后来翻看条记的时候创造可能是w型栅栏密码

http://www.atoolbox.net/Tool.php?Id=777.com

有趣起来了：

就倒序，ctf特训营上有讲的。
quiqui也可以做的，前面改成hdctf就好了。
顺便把字母改一下即可。

官方wp上给的是用脚本

一看时候只把稳到mc。
以为是什么mc的其他版本。
就去猖獗google也没找到。
后来就翻到mc的wiki。
就mc附魔台上的字符，玩过mc的该当都知道,mc wiki上找张比拟图，比拟就好

https://minecraft-zh.gamepedia.com/Minecraft_Dungeons:%E7%AC%A6%E6%96%87

茫茫人海：

base64隐写，跟[ACTF新生赛2020]base64隐写挺像的。
反正也是套脚本就好了

整不会了这题，抱歉。

详细思路该当便是布局一个码表。
\x即是转义字符，方便表示

babyrsa：

https://www.anquanke.com/post/id/87105

这题还好，纯当代密码菜鸡，不过给了pqe。
又给了个链接，先求欧拉，然后就n，d，m

#coding:utf-8from binascii import a2b_hex, b2a_heximport gmpy2#flag = ""p = 262248800182277040650192055439906580479q = 262854994239322828547925595487519915551e = 65533n = pqphi = (p-1)(q-1)d = gmpy2.invert(e, phi)c = 68405618655091231850901459679785989915772760467494039910176075122809565696913m = pow(c, d, n)print(m)#a=(int(str(m),16))a=191853633260784640753082658319123392799532077630882079100618224148262386737246462849

https://tool.lu/hexconvert/https://www.bejson.com/convert/ox2str/

4

Re

sign_up

直接查看字符串就可看到flag

re1

这题比赛的时候看,以为是异或运算+base64换表然后解密,找了半天硬是没找全64个字符。
然后就不明晰之。
Re也不咋会。
之后的题可以看官方wp。

5

Pwn

calculator

题目描述：

python2的input实行输入导致rce

先用__import__('os').system('/bin/sh')。

直接rce

然后用python -c 'import pty;pty.spawn("/bin/bash");'。

得到一个bash的shell

找到之后cat即可

自己写了一个。
。
创造py直接input就可了

abs函数是取绝对值的意思。
以是不可能小于0。
考虑abs负数溢出。
便是2的31次方。
直接写脚本传就可

backdoor

字符串查看到sh,跟入

连续跟

bash后门

查看buf到r的位置

编写脚本溢出即可

其他pwn题本菜不会，pwn题可以参考某大佬，该当是ak了pwn题的：

https://www.cnblogs.com/z2yh/p/13771942.html