网鼎杯 第四场 部分WriteUp

【

本文来自 ChaMd5安全团队，文章内容以思路为主。

如需转载，请先联系ChaMd5安全团队授权。

未经授权请勿转载。

】

Web类题目

comment

find the flag.find the flag.

解题思路

打开后需要登录，根据提示爆破得到账号密码

zhangwei

zhangwei666

http://2e8c0fad02d147a6b3f23624556a2fe49a4b7d2b64484f3c.game.ichunqiu.com//.git/

利用git拉下来源码，发现源码少了过程。在Chrome的dev tools里也看到了提示:

利用git hack读取git 的结构得到真实的源码

可以看到在留⾔的地⽅category存在⼆次注⼊才到发帖处构造payload，即可注⼊

对整个数据库查看之后发现数据库中并⽆flag，尝试读取⽂件发现可以读取

于是读取passwd发现存在www⽤户，其家⽬录为/home/www 读取⽤户的.bash_history发现了部署过程

可以看到部署过程中先cp然后删除⽂件，即原先的⽂件夹中还保留着.DS_Store 于是尝试读取/home/www/html/.DS_Store失败，百思不得其解，思索了好久想明⽩，环境 是⽤docker部署的，临时⽂件都在/tmp⾥，md这步坑死了。

于是读取/tmp/html/.DS_Store即可拿到⽂件名称。

再次读取flag⽂件即可，⼀开始还读去了个假flag。。。。。

再次读取

/var/www/html/flag_8946e1ff1ee3e40f.php

即可获取到真实flag

NoWafUpload

We no waf！

解题思路

下载得到www.zip 解压后得到⼀个so，分析后发现将原本的php进⾏zlib压缩后 开头添加了字符串的md5，然后⻓度padding 0x00 *4 加上⻓度再加上4字节00的padding，即为最终shell。

⽤如下脚本直接⽣成⼀个shell，然后上传

最后在根⽬录得到flag

blog

解题思路

打开是个wordpress，发现主⻚上赫然写着⻘⻰鼎科技，尝试github搜 qinglongdingkeji.com 搜到了⼀个仓库

在api.php⾥泄露了接⼝，所以直接爆破uid即可

Misc类题目

双色快

Download 备⽤下载(密码za3y)

https://share.weiyun.com/5evIo7h

解题思路

解压得到⼀个gif，binwalk分析发现尾部有png，拿出来是⼀个密码

gif轮播之后发现是⼀个24*24的像素点，每个像素为10*10，每个点颜⾊为00ff00或是ff00ff 先把gif分离成单帧

然后读取每个png中的对应点的信息，并按照8bit转换为ascii

然后进⾏DES解密即可

Welcome

Download 备⽤下载(密码3ujt)

https://pan.baidu.com/s/1NlgCNoaUdZayOHIBI29yVQ

解题思路

下载附件得到⼀堆分卷，合并后得到原始压缩包，然后发现需要解密 然后尝试zip爆破，跑了仨⼩时多，跑出来密码了

解压后得到flag

Crypto类题目

Number

nc 106.75.64.61 16356

解题思路

shenyue

nc 106.75.64.61 16356

解题思路

python代码，分析流程后直接操作即可getflag

shanghai

解题思路

维吉利亚密码直接解密