第二届上海大学生CTF线上赛部分Writeup

1、仔细( Web 100 )扫描了一下发现 HYPERLINK 12:15322/log/ 12:15322/log/ 这个目录可以访问，下access.log ，然后导入excel 分析，将所有返回值不是404 的结发现一个疑似后台的地址： HYPERLINK 12:15322/wojiushiHouTai888/denglU.php?userna 12:15322/wojiushiHouTai888/denglU.php?userna me=admin&password=af3a-6b2115c9a2c0&submit=%E7%99%BB%E5%BD%95访问之，发现flag 。Web 10

2、0 )1 ( Web 100 )用户名 admin ， 密码 8 位数， 提示系统2016 年建成。 于是猜测密码是20162016XXXX 的纯数字。用 Burp 爆破了一下，果然如此，密码20160807登录，发现flag威胁2( Web 150 )这个系统的源码网上可以找到，下载之后打开/data/user/084e0343a0486ff05530df6c705c8bb4.phpmd5 ： e10adc3949ba59abbe56e057f20f883e ，解出来123456 。使用 guest/123456 登录，在网页左下角看到flag 。物超所值(Web 150 )审查元素看下代码

3、。页面中藏着id 和 Price 两个隐藏文本框，按下shop now 按钮之后会执行这段脚本，先判断 Price 是否被篡改，再判断余额是否足够，如果都符合就把Id和 Price 两个参数提交给服务器。用 burp 直接伪造一个post 请求，提交，返回flag分析( Web 150 )进入最下面的登录页面： HYPERLINK 12:1999/administrator.php 12:1999/administrator.php右键查看源代码，用户名administrator ，密码 administrator直接登录，提示ip 不在许可范围之内，再次审查元素。Burp 拦下登录请求，加一

4、句X-Forwarded-For: 再发送，搞定。大可爱(Misc150 )拿到图片之后丢进linux 跑一遍 binwalk e， 里面藏了个zlib 压缩文件，解 压之。继续 binwalk ，里面竟然还有zlib 压缩文件，再次解压。打开504b030d ，典型的zip 压缩文件头，将其写入文件，扩展名改成zip ，解 压得到 flag跳( Web 100 )右键，test/test ，可以登录，不过很快就跳出去了。看了下token ： ad0234829205b9033196ba818f7a872b， 竟然可以md5解密，解出来test2 。猜测管理员token 是 e00cf25ad

5、42683b3df678c61f42c6bda， admin1的 md5 。改了下返回包的set-cookie ，找到 flag 。洋葱( Crypto 300)一个加密的7z 文件，一开始冥思苦想了好久，后来想到个脑洞：压缩前的txt 文件大小是6，也就是说内容长度是6，还给出了对应的CRC32。联想到彩虹表的原理，决定枚举所有可能的6 位字符串，进行爆破。借用了学校的服务器，解出来3 段字符：_CRC32， _i5_n0， t_s4f3连在一起，_CRC32_i5_n0t_s4f3 ，这就是解压密码。提示弗吉尼亚密码，但是密钥竟然有10000 条不管了，写个Python 脚 本全部跑一遍吧。用 excel 分析可能的10000 种明文，猜测其中XX X 对应的是is a，果读到最后，sopasswordisvigenerecipher funny ，解压密码vigenere cipher funny 。解压，又是个加密压缩包，还有提示。Python 写了个脚本枚举，跑了10 分钟出来了：I75-s4F3?输入密码，解压，竟然还有加密压缩包这很洋葱。查了一下这是个很有