[TOC]

web

easy_php

考点:文件上传绕过,截断,源码审计

打开网站后,可以下载源码,先下载源码,然后再扫一下网站目录

image-20250119181445364

配合源码审计,审计过程省略。其中在文件上传的目录下已经有文件了,再结合提示可以知道,不用再自己上传文件。

image-20250119181544673

image-20250119181621889

那么就需要触发文件,看这里代码

image-20250119181707567

image-20250119181802190

可以知道在/file.php页面中可以进行url的get传参,然后会将参数值过滤后进行高亮,触发反序列化链。

但是这里的过滤中,是f1ag而不是flag,所以其实没有过滤flag关键词。

因此结合源码,直接构造payload:

1
?file=/flag

image-20250119182045246

1
flag{a16dcb7549915546893a27a6d7927615}

easy_code

考点:利用PHP特性绕过,filter伪协议

访问/robots.txt 可以看到有 gogogo.php

ctfer 参数有三个检测,只需要用科学计数法,PHP 会自动四舍五入

1
ctfer=6.66999999999999999999999999999999999999999e2

Hackbar 里设置 cookie 为 pass=admin

2024春秋杯冬季赛三日Writeup汇总(https://gitee.com/star3119391396/cloudimage/raw/master/img/6-1737303857.png)

Include 那里使用 php://filter 配合 convert.iconv 修改字符集使用

1
ile=php://filter/convert.iconv.utf-8.utf-16le/resource=read.php

misc

音频的秘密

考点:知道部分明文破解压缩包

下载附件解压,是一个wav文件,根据提示知道,是deepsound加密,且密码为弱口令。

用deepsound解密,弱口令密码一个一个试,最后密码为123,得到一个flag.zip

image-20250120222149903

提取出来,发现需要密码,压缩包内是一张图片。

用各种工具爆破,发现长时间都没爆破出来,最后赛后复现,看别人wp才知道,明文加密除了使用完整明文文件外,也有一种使用一部分明文文件的爆破方式。

image-20250120225951271

得到一张png图片,在rgb处发现flag

image-20250120230117284

flag{Y1_Shun_jian_Fa_ZE_Dian_Fu}

Infinity

考点:套娃压缩包,解码

下载压缩包解压,里面是张png图片,放进010editor查看,发现有嵌套文件。

进行文件分离,得到一个压缩包。

压缩包里有zip,tar,7z三种,且压缩包名字感觉像是某种编码。

写脚本直接解压并记下文件名。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
import zipfile
import tarfile
import py7zr
import os

path = "C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\新建文件夹 (2)\\foremost_output\\zip\\"
count = []
txt = open("C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\新建文件夹 (2)\\foremost_output\\count.txt", "w")
while True:
    contents = os.listdir("C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\新建文件夹 (2)\\foremost_output\\zip")
    for i in contents:
        if i not in count:
            file_path = path + i
            txt.write(i + "\n")
            file_extension = i.split('.')[-1]
            if file_extension == 'zip':
                with zipfile.ZipFile(file_path, 'r') as zip_ref:
                    zip_ref.extractall(r"C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\新建文件夹 (2)\\foremost_output\\zip")
                file_path = path + i
                count.append(i)
            elif file_extension == 'tar':
                with tarfile.open(file_path, 'r') as tar_ref:
                    tar_ref.extractall(r"C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\新建文件夹 (2)\\foremost_output\\zip")
                file_path = path + i
                count.append(i)
            elif file_extension == '7z':
                with py7zr.SevenZipFile(file_path, 'r') as seven_ref:
                    seven_ref.extractall(r"C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\新建文件夹 (2)\\foremost_output\\zip")
                file_path = path + i
                count.append(i)
            else:
                print("File extension not supported")
                break

image-20250122143943094

解压后得到一个SeCr3t.txt,文件内容是Inf1nityIsS0CoOL。

用脚本对这些字符串进行处理,发现在逆序的时候能根据提示进行解码。即代码中的第二个print。

1
2
3
4
5
6
7
8
data = open("C:\\Users\\Lucky\\Desktop\\春秋杯\\misc\\Infinity\\flag.txt", "r").read()
#文本之中每行有一个字符串
data = data.split("\n")

print("".join(data))  #将每行字符串顺序连接起来
print("".join(reversed(data)))  #将每行字符串逆序连接起来
print("".join([d[::-1] for d in data]))  #将每行字符串反转后顺序连接起来
print("".join([d[::-1] for d in reversed(data)])) #将每行字符串反转后再逆序连接起来

根据提示知道,是BASE58-Ripple+SM4-ECB,sm4中的key改为上述文件内容,得到一张条形码

image-20250122144403181

由于下载下来的图片是很暗的,很难直接识别,所以要先加白底。简便方法就i是直接预览加截图保存,然后扫描截图。

image-20250122144536029

image-20250122144840998

flag{a72dd260-f64d-4116-ab50-b26b40d69883}