分类: 比赛WP

平时打的比赛的一些wp

26 篇文章

某渗透决赛
一共打三天,环境看起来还是比较真,怀疑是真的拿之前hvv的真实场景搭的,就是环境经常连不上去,非常的难绷。 Day1 有个题是一个通达OA,版本比较老,好像是11.4,试了一下是弱密码,账号admin密码为空就登录进去了,后台洞打的通达OA v11.8 update.php 后台文件包含命令执行漏洞。内网里只有一台weblogic,用通达oa那台机…
一些赛题
京麟CTF-SigninDCT 两个附件,一个是hint_for_flag.txt,另一个是一个secret.jpg。hint_for_flag.txt就是一个base64 base32套娃编码的文本,奈何确实太大了,工具加载不了,只能自己写脚本 import base64 def base32_or_base64_decode(encoded_s…
NewstarCTF
WEB 泄漏的秘密 /robots.txt /www.zip Begin of Upload bp抓包改文件名上传 ErrorFlask 本来以为是算pin码,没想到报错直接泄露flag了 Begin of HTTP POST /?ctf=1 HTTP/1.1 Host: 127.0.0.1 X-Forwarded-For: 127.0.0.1 X…
第二届陇剑杯半决赛&&决赛 数据分析
这次和好兄弟组队了一只叫做Root的队伍打陇剑杯,最终半决赛逐日组第三、总榜第八晋级决赛,在决赛逐日组第四、总榜第八获得三等奖,应该是获一、二、三等奖里唯二由在校学生组成的战队(另一只是信工大)。不过写wp的时候比赛问了哪些题都忘的差不多了,测,所以只写了我记得到的。 半决赛 我们队应该是场上为数不多ak了的队伍,最后两个多小时全队直接开始植物大战…
*CTF 2023
这比赛我全程摸鱼,唉,web就一道,misc全是什么深度学习、ai啥的,整不来。 WEB jwt2struts 查看注释有提示,访问http://140.210.223.216:55557/JWT_key.php <?php highlight_file(__FILE__); include "./secret_key.php"; inclu…
巅峰极客 MISC
crypto 数学但高中 https://www.desmos.com/calculator?lang=zh-CN 一个一个画图,最后各个函数图像拼起来就是flag Simple_encryption zima哥哥博客启动! import gmpy2 from sympy import * from Crypto.Util.number impor…
SCTF 2023 MISC
前言 全程参与的一届分站赛,感觉这次大哥们都有事,没多少人来看题。本来准备周末复习的,结果和学弟一起完完整整做了两天题,高兴的是这次拿了个misc一血,最后差一点点就把misc ak了。 checkin[solved] win11解压了010就行了 Genshin Impact[solved] 流量包tcp第六流 末尾给出了提示和一个bv号 还有一…
CISCN西南复赛AWDPlus Web
前言 可惜,这一次还是没能赢下所有😔😔😔,只打了二十多名,连二等奖都没有,不知道我还有没有下一届国赛了。 赛制 说实话这个赛制还是比之前想象的好一点的,虽然是线下断网的,但每个题都会给你源码,相当于白盒。首先,主办方会给你一个ftp让你连到服务器上,你可以传一个update.tar.gz,里面应当包含一个文件,还有一个update.sh,然后这个u…
CISCN初赛 by NotEnoughEffort
第一天全国十四名,力压三叶草拿了西南第一,第二天就被酒吧舞爷爷和三叶草爷爷干爆了,最后西南第六,重庆第一,还行(第二天的misc和crypto太抽象了,直接给我干碎了)。 Web unzip <?php error_reporting(0); highlight_file(__FILE__); $finfo = finfo_open(FILE…