ssctf-Writeup.docxVIP

Web1:图片下载下来用StegSolve打开分析fileformat发现不规则数据根据提示16进制解开访问这个网页，在cookie中发现base64U0VjTDB2ZXJAMjAxNA==SEcL0ver@2014Web2查看源码有一段加密的js百度一下在脚本之家上找到一个解密html解密后是check=0,结合cookie中的check=0,将其改成1后得到key: KEY: seCL0veR1H@CKz0l4Web3右键源码中看到referer 于是将 Referer字段发送拿着自己的手机比量了半天，0代表确认好像是thekeyissecloverwelcomeyou提交正确Web4猜测和google爬虫有关，然后robots.txt进入/S$cL0ver/很明显需要带X-Forwarded-For得到key is:S2CloveRWelcomE_Y0uWeb 5看到题目的header，猜测和header头内容有关，看下头信息，发现password串将密码串MD5提交进去无任何提示，直接跳转回来了，在看密码串已经变了，看图片中的running man ，猜测是不是要速度快，写工具post提交然后抓页面。Web6开始把页面的几个功能点全部都列出来，上面的假按钮就略过，第一个index.php页面就一个输入框和验证码，果断爆破登陆密码。爆破的同时点[忘记密码],看看其他路子，进入reset.php页面，发现弹出四位验证码已发送，4位验证码而已。没多少。也同时进行验证码的爆破。Web8小伙伴做的，大概就是解压发现autorun.inf里面：你真厉害都到这了，看看这个游戏你肯定会喜欢的，但是据说这个游戏是被加了后门的，找到后门操作的文件的内容，取文件内容的16位md5值作为key！祝你好运.......然后那个游戏显示是个flash,右键发现可以再次解压，解压后出现这三个文件，IDA 1.exe发现往磁盘上写东西了，于是打开系统各中隐藏选项，发现确实写了文件好像是test.txt，把文件内容md5就是答案。WEB9之前碰到过国外的ctf有这种题思路，修改Accept-Language: en,en-us发送数据包惊现摩斯码：解出：[XIAN SECLOVER WELCOME YOU WE ARE VERY HAPPY FOR YOU ]改了下大小写，MD5提交正确Web10通过提示访问到页面输入 and 1=1 返回错误输入 a/**/nd 1=1 返回空白，但是没有进入错误信息函数，那么可以肯定是关键词过滤，那么就尝试各种绕过办法吧。尝试输入常用特殊字符判断是否过滤测试字符发现内容是被过滤为空的，并且正常显示内容。尝试利用绕过注入中间注入过程不复述Web11比较简单，上传个小图片，然后把后缀名改成Php就OVER,之前出过类似的题目Congratulation to you!!!The key is :KunSecLover2@14过关Web12搜索框的地方输入数据发现链接是：/hack_game/8f0784928387928a/search.php?word=123tongpeifu=*sqltongpei=%25/hack_game/8f0784928387928a/search.php?word=123tongpeifu=*sqltongpei=%25猜测可能是使用通配符替换，php的话有str_replace函数,这个函数之前wooyun上有个技术贴/content/2700测试了一下，好像确实存在这个其中一个注入语句/hack_game/8f0784928387928a/search.php?word=l%00 and 1=2 or ascii(substring((select column_NAME from information_schema.columns where TABLE_SCHEMA=CONCAT(CHAR(115),CHAR(113),CHAR(111-3),CHAR(95),CHAR(115),CHAR(112-11),CHAR(99),CHAR(111-3),CHAR(111),CHAR(118),CHAR(112-11),CHAR(114)) and table_name=concat(char(115),char(112-11),char(99),char(114),char(112-11),char(116)) LIMIT 1),4,1)) between 1 and (444)%23tongpeifu=0sqltongpei=不幸的时候发现注入语句中不能有 0 + 只能构造上述畸形的注入语句。然后就是苦逼的注入了，发现information_schema库存在，所以就开始了注入