unctf2020部分题解
原创
#unctf2020部分题解
⭐unctf2020
⭐misc
1、baba_is_you
<img src="https://img-blog.csdnimg.cn/img\_convert/8547368f4537fbf56d66e58f9be38745.png" alt="">
题目告诉我们,了解png文件格式。
下载得到一张png格式的图片。
用010editor打开查看,发现最后含有一个B站网址
<pre><code>https://www.bilibili.com/video/BV1y44111737
</code></pre>
访问,查看评论区得到flag
flag:
unctf{let's\_study\_pwn}2、阴阳人编码
<img src="https://img-blog.csdnimg.cn/img\_convert/582303b9263161738a2a3a1318115420.png" alt="">
下载得到一个pdf,里面文字全是 (阴阳怪气)。仔细查看,阴阳怪气也就分为三种:
就这. 不会吧! 就这¿
结合题目中给出的编码,很容易想到 Ook! 编码
于是,将 就这. 替换为 .
不会吧! 替换为 !
就这¿ 替换为 ?
得到如下:
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook.Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook! Ook!
Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook?
Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook!
Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook!Ook! Ook! Ook!
Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook.
Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook!
Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook?
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook!
Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook?
Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook!Ook! Ook!
Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook.
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook.Ook. Ook.
Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook!Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.Ook.
Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook.Ook.
Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook.Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook.
Ook?Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook.
Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook.
Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook.
Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook?
Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook. Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.Ook.
Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook.Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook.
Ook. Ook. Ook. Ook! Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook.Ook.
Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook!
Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook.Ook?
Ook! Ook! Ook! Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook?
Ook! Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook.
Ook? Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.Ook.
Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook!
Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook.
Ook?
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook! Ook. Ook? Ook.将他复制到揭秘网址进行解密 :
https://www.splitbrain.org/services/ook
得到
<img src="https://img-blog.csdnimg.cn/img\_convert/cc72754548ef40ddf93b571d845268bb.png" alt="">
flag{9\_zhe\_Jiu\_zhe\_8\_hui\_8}3、 爷的历险记
<img src="https://img-blog.csdnimg.cn/img\_convert/11ae250413b443e38cbe33bcb48cb24c.png" alt="">
这个附件有点大啊,下载得到一个游戏,(杀死耗子得经验做任务的“窒息”游戏)
解压一看
<img src="https://img-blog.csdnimg.cn/img\_convert/c2c51a77305746d79d6bb42cb64a702c.png" alt="">
发现 www 的文件夹,直接点进去看,(众所周知,主要的资源全在这个文件夹里头)
<img src="https://img-blog.csdnimg.cn/img\_convert/20d0585bdd85bfc6746e5814d809f948.png" alt="">
index.html 根网页,点进去 出一个error 很真实,环境没搭建怎么出东西
<img src="https://img-blog.csdnimg.cn/img\_convert/dce454ec72add5afa773c11cf3f365f8.png" alt="">
但这里提示我们 这个 data文件夹很重要
点击进入,发现一堆json文件,一开始 一系列的map00x.json 引人注意,点进去查看,好像是每一关的任务,但是flag均没有出现。后来,终于在 Items.json 这个文件里面找到 flag 包括之前的fake flag也在里面。
<img src="https://img-blog.csdnimg.cn/img\_convert/fb61f57c952293ec06e89e89d5a7ce53.png" alt="">
UNCTF{WelC0me\_70\_UNCTF2oZ0~}4、YLB’s CAPTCHA - 签到题
<img src="https://img-blog.csdnimg.cn/img\_convert/f148efa72357b29e1a92d8b3c4bff632.png" alt="">
进入一个网页,ctrl+u查看网页源码
<body>
<div class="quote" id="neat">总决赛 彳亍 YLB 验证码 服务器宕机 CISCN 知乎 RNM,退钱 有码无🐴 宕机的平台 2020 WIFI 出题 AWD 业界毒瘤 洋垃圾 阴间平台 CTF春晚 phpstudy 选手主办方一起AWD 靶机重置 Misc选手狂喜 国际大厂 断网 Oo0ilLlWwKkSsOoPpCcZz 平台特色 不想打可以不打 PATCH 烂 选手AD 易霖博 鼓掌 Python签到Pwn题 Docker下发机制 规则反复横跳 BuildBreakFix OCR 平台被攻击 AP隔离 运维是新人 义务承办比赛 提高业界知名度 40道题目,就4题能用的 鼓励PY 野鸡比赛 只开MYSQL的WEB题 ylb倒闭了吗 买设备提分数 最重要的比赛,最垃圾的平台 交不上去的flag YLBNB 狂欢的知乎 请不要再给ylb压力了 三个半小时的解题赛 临时改赛制 祝早日倒闭 易霖博牛逼 全场等待修平台 选手Attack主办方Defense 免费的快乐水</div>
<form action="./index.php" method="post">
<img src="image\_captcha.php" onclick="this.src='image\_captcha.php?'+new Date().getTime();"><br/>
<input type="text" name="captcha" placeholder="Entry the CAPTCHA" style="text-align: center;background-color: #53656f;"><br/>
<input type="submit" value="Submit" class="button">
</form>
<script src="./title.js"></script>
</body>注意到最下面还有一句:
<p>Get 10 points to get flag<br>Your point: </p>也就是说最直观的方法,就是读取验证码得到十分,获取flag。
于是,介于 验证码比较难认,将其图片保存,用stegesolve 换个通道进行查看。
【注意】大小写要区分!!!
【一步错全盘皆输】 得到
UNCTF{7ed2cc4f-184b-43ec-bc21-bc100dbdf9f6}5、躲猫猫
<img src="https://img-blog.csdnimg.cn/img\_convert/89bb4c29602c78eeba615d614e464b11.png" alt="">
下载得到一个excel。 用010editor查看 504B0304 修改后缀名 zip 发现基本上都是 xml 文件。放在 idea中进行查看,
最后在 sharedDtrings.xml 发现怪异之处。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main" count="2" uniqueCount="2"><si><t>dW5jdGYlN0I3MzgzYjY3ZGU5MTA2YTZmMTBmZGJlNGU4ZWJjNjRjZSU3RA==</t><phoneticPr fontId="1" type="noConversion"/></si><si><t>你居然把猫猫移开了,但是你也找不到flag</t><phoneticPr fontId="1" type="noConversion"/></si></sst>注意到一串base64加密的字符串。
dW5jdGYlN0I3MzgzYjY3ZGU5MTA2YTZmMTBmZGJlNGU4ZWJjNjRjZSU3RA==解密得到
flag
unctf{7383b67de9106a6f10fdbe4e8ebc64ce}6、网络深处1
<img src="https://img-blog.csdnimg.cn/img\_convert/2903624ec93d2c3c655df1f48260131b.png" alt="">
下载附件,得到一段拨号音音频,一个txt情景步骤导入,和一个有密码的压缩包。
在txt里面有一串数字,估计是最终flag的来源之处。
636806841748368750477720528895492611039728818913495104112781919263174040060359776171712496606031373211949881779178924464798852002228370294736546700438210687486178492208471812570216381077341015321904079977773352308159585335376746026882907466893864815887274158732965185737372992697108862362061582646638841733361046086053127284900532658885220569350253383469047741742686730128763680253048883638446528421760929131783980278391556912893405214464624884824555647881352300550360161429758833657243131238478311219915449171358359616665570429230738621272988581871txt中已经很清楚的告诉我们,必须要解开压缩包,才能搞清楚这串数字的含义。
而压缩包密码就是电话号码,也就是蕴含在波号音中。
靠人耳辨别是什么号码,(对我来说)简直白日做梦。
直接上工具 : dtmf2num.exe
附上下载地址
下载好后,对此执行命令:
dtmf2num.exe 拨号音.wav直接出来了:
DTMF2NUM 0.1.1
by Luigi Auriemma
e-mail: aluigi@autistici.org
web: aluigi.org
- open 拨号音.wav
wave size 35200
format tag 1
channels: 1
samples/sec: 8000
avg/bytes/sec: 16000
block align: 2
bits: 16
samples: 17600
bias adjust: -3
volume peaks: -29471 29471
normalize: 3296
- MF numbers: 74
- DTMF numbers: 15975384265得到 压缩包密码为: 15975384265 解压后,又得到一段音频和一个txt。
通过txt,我们知道,在音频中蕴含着一个极大的线索,用于破解那串数字。
用 audacity 音频文件打开 ,查看波形,没发现啥。
于是切到 频谱图,发现一个关键词 tupper
<img src="https://img-blog.csdnimg.cn/img\_convert/98fce41738d9eb214b210cf193fd4b68.png" alt="">
一开始还不知道是啥意思,于是直接百度 tupper 经过多番搜索,终于 找到了 Tupper自我指涉公式造图
于是 上脚本:(其实)那串神秘数字就是 k
"""
Copyright (c) 2012, 2013 The PyPedia Project, http://www.pypedia.com
<br>All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
# Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
# Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR
ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND
ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
http://www.opensource.org/licenses/BSD-2-Clause
"""
\_\_pypdoc\_\_ = """
Method: Tupper\_self\_referential\_formula
Link: http://www.pypedia.com/index.php/Tupper\_self\_referential\_formula
Retrieve date: Tue, 11 Mar 2014 03:15:49 +0200
Plots the [http://en.wikipedia.org/wiki/Tupper's\_self-referential\_formula Tupper's\_self-referential\_formula]:
: <math>{1\over 2} < \left\lfloor \mathrm{mod}\left(\left\lfloor {y \over 17} \right\rfloor 2^{-17 \lfloor x \rfloor - \mathrm{mod}(\lfloor y\rfloor, 17)},2\right)\right\rfloor</math>
The plot is the very same formula that generates the plot.
[[Category:Validated]]
[[Category:Algorithms]]
[[Category:Math]]
[[Category:Inequalities]]
"""
def Tupper\_self\_referential\_formula():
k = 636806841748368750477720528895492611039728818913495104112781919263174040060359776171712496606031373211949881779178924464798852002228370294736546700438210687486178492208471812570216381077341015321904079977773352308159585335376746026882907466893864815887274158732965185737372992697108862362061582646638841733361046086053127284900532658885220569350253383469047741742686730128763680253048883638446528421760929131783980278391556912893405214464624884824555647881352300550360161429758833657243131238478311219915449171358359616665570429230738621272988581871
# love yiran
def f(x, y):
d = ((-17 \* x) - (y % 17))
e = reduce(lambda x, y: x \* y, [2 for x in range(-d)]) if d else 1
f = ((y / 17) / e)
g = f % 2
return 0.5 < g
for y in range(k + 16, k - 1, -1):
line = ""
for x in range(0, 107):
if f(x, y):
line += "@"
else:
line += " "
print(line)
# Method name =Tupper\_self\_referential\_formula()
if \_\_name\_\_ == '\_\_main\_\_':
# print \_\_pypdoc\_\_
returned = Tupper\_self\_referential\_formula()
if returned:
print(str(returned))执行命令。
<img src="https://img-blog.csdnimg.cn/img\_convert/478f42de3c7eca30dfa2856309574954.png" alt="">
远处观看 效果更佳哦!!
<img src="https://img-blog.csdnimg.cn/img\_convert/8b26999f517e23186ca7319f4dc64a1e.png" alt="">
得到flag
flag{Y29pbA==}7、被删除的flag
<img src="https://img-blog.csdnimg.cn/img\_convert/8a359dbca06a0feac29c6b1230f78485.png" alt="">
下载附件,得到一个 flag 文件。
未知格式,直接用010editor打开,ctrl+f 一搜 unctf , flag就出了。
unctf{congratulations!}8、你能破解我的密码吗
<img src="https://img-blog.csdnimg.cn/img\_convert/8ff3e5fa5ec5364caddfc7cd38ace258.png" alt="">
附件下载得到一个 shadow 文件。
root:!:18556:0:99999:7:::
daemon:\*:18474:0:99999:7:::
bin:\*:18474:0:99999:7:::
sys:\*:18474:0:99999:7:::
sync:\*:18474:0:99999:7:::
games:\*:18474:0:99999:7:::
man:\*:18474:0:99999:7:::
lp:\*:18474:0:99999:7:::
mail:\*:18474:0:99999:7:::
news:\*:18474:0:99999:7:::
uucp:\*:18474:0:99999:7:::
proxy:\*:18474:0:99999:7:::
www-data:\*:18474:0:99999:7:::
backup:\*:18474:0:99999:7:::
list:\*:18474:0:99999:7:::
irc:\*:18474:0:99999:7:::
gnats:\*:18474:0:99999:7:::
nobody:\*:18474:0:99999:7:::
systemd-network:\*:18474:0:99999:7:::
systemd-resolve:\*:18474:0:99999:7:::
systemd-timesync:\*:18474:0:99999:7:::
messagebus:\*:18474:0:99999:7:::
syslog:\*:18474:0:99999:7:::
\_apt:\*:18474:0:99999:7:::
tss:\*:18474:0:99999:7:::
uuidd:\*:18474:0:99999:7:::
tcpdump:\*:18474:0:99999:7:::
avahi-autoipd:\*:18474:0:99999:7:::
usbmux:\*:18474:0:99999:7:::
rtkit:\*:18474:0:99999:7:::
dnsmasq:\*:18474:0:99999:7:::
cups-pk-helper:\*:18474:0:99999:7:::
speech-dispatcher:!:18474:0:99999:7:::
avahi:\*:18474:0:99999:7:::
kernoops:\*:18474:0:99999:7:::
saned:\*:18474:0:99999:7:::
nm-openvpn:\*:18474:0:99999:7:::
hplip:\*:18474:0:99999:7:::
whoopsie:\*:18474:0:99999:7:::
colord:\*:18474:0:99999:7:::
geoclue:\*:18474:0:99999:7:::
pulse:\*:18474:0:99999:7:::
gnome-initial-setup:\*:18474:0:99999:7:::
gdm:\*:18474:0:99999:7:::
guguguguji:$1$AH$xtjky.3kppbU27tR0SDJT.:18556:0:99999:7:::
systemd-coredump:!!:18556::::::shadow文件 是linux系统中记载root密码的保密性文件,可以用 john 来破解。
下载地址: http://www.openwall.com/john/
解压后,进入 run 目录。并把 执行命令
john --show shadow<img src="https://img-blog.csdnimg.cn/img\_convert/217c8ab3aa0d43ae262e672faed0335b.png" alt="">
得到 密码 123456
得到flag
unctf{e10adc3949ba59abbe56e057f20f883e}9、mouse_click
<img src="https://img-blog.csdnimg.cn/img\_convert/9f8d7bf1d6fba312c3fe0a3f45471cea.png" alt="">
下载附件,拿到 mouse\_click.pcapng 很显然,USB流量分析。
<img src="https://img-blog.csdnimg.cn/img\_convert/111c7b9095ab1c774336f42558bbe51a.png" alt="">
USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。
第一个字节代表按键:
如 0x00时,代表没有按键、0x01时,代表左键,0x02时,代表当前按键为右键。
第二个字节代表鼠标水平偏移量:
值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。
第三个字节与第二字节类似,代表垂直上下移动的偏移。
1、将mouse\_click.pcapng 中的 Leftover Capture Data域 数据导出
tshark -r mouse\_click.pcapng -T fields -e usb.capdata > data.txt
tshark -r mouse\_click.pcapng -T fields -e usb.capdata | sed '/^\s\*$/d' > data.txt #提取并去除空行得到 如下图 data.txt 文件
<img src="https://img-blog.csdnimg.cn/img\_convert/ebf404c9143914c36fe8281baf19df14.png" alt="">
2、规范冒号格式
一般提取会有冒号 格式为 xx:xx:xx:xx
于是 运行脚本 maohao.py
f=open('data.txt','r')
fi=open('out.txt','w')
while 1:
a=f.readline().strip()
if a:
if len(a)==8: # 鼠标流量的话len改为8,键盘为16
out=''
for i in range(0,len(a),2):
if i+2 != len(a):
out+=a[i]+a[i+1]+":"
else:
out+=a[i]+a[i+1]
fi.write(out)
fi.write('\n')
else:
break
fi.close()python maohao.py3、鼠标流量转换为坐标
再将所得到的鼠标流量转换为xy坐标,运行 脚本 mouse.py 如下
nums = []
keys = open('out.txt','r')
f = open('xy.txt','w')
posx = 0
posy = 0
for line in keys:
if len(line) != 12 :
continue
x = int(line[3:5],16)
y = int(line[6:8],16)
if x > 127 :
x -= 256
if y > 127 :
y -= 256
posx += x
posy += y
btn\_flag = int(line[0:2],16) # 1 for left , 2 for right , 0 for nothing
if btn\_flag == 1 :
f.write(str(posx))
f.write(' ')
f.write(str(posy))
f.write('\n')
f.close()python mouse.py得到:
<img src="https://img-blog.csdnimg.cn/img\_convert/5816a41203089a328d5c2d4a5cf8078a.png" alt="">
4、gnuplot绘制图像
运行 gnuplot.exe 将图像绘制出来
gnuplot> plot "xy.txt"
gnuplot>最后得到:
<img src="https://img-blog.csdnimg.cn/img\_convert/268319d24ba1d4753886f41f8675a65b.png" alt="">
很显然,图像反了。对其垂直翻转一下,flag就出了
<img src="https://img-blog.csdnimg.cn/img\_convert/f00f2d5ea64a4e63452b3e44bd0e7737.png" alt="">
unctf{U5BC@P}10、撕坏的二维码
<img src="https://img-blog.csdnimg.cn/img\_convert/0523299abf404b5aa73c5a1194061f26.png" alt="">
下载得到一张二维码,只不过不全。
<img src="https://img-blog.csdnimg.cn/img\_convert/1ecabf05dd233dc257439b9edf3efc7f.png" alt="">
众所周知,一张二维码有三个定位符,补全右上角那个,即可出flag
<img src="https://img-blog.csdnimg.cn/img\_convert/6e1014d3bb36df13f491fdbfb0f12560.png" alt="">
且记,扫的时候,将二维码大小稍微调小一点。
unctf{QR@2yB0x}11、倒影
<img src="https://img-blog.csdnimg.cn/img\_convert/24878f5ce6bf1dabd92e6502b484b1ee.png" alt="">
下载附件得到一个 倒影.exe 用010editor打开,发现 FF D8 FF E0 的文件头,显然这是一张 jpg。
往后拉,发现 最后有一串base64编码字符串。
MDAwMDAwMDAwMEI0MDAwMDAwQTUwMDEwMDAxMDAwMDAwMDAwNjA1MEI0MDUxMDZENkE5RUEyNEU1NzY3MTA2RDdBRDU4QUMyMjk0MDEwNkQ3QUQ1OEFDMjI5NDAwMDgxMDAxMDAwMDAwMDAwMDAwMjAwQTA0Nzg3NDdFMjc2MTZDNjY2MDAwMDAwMDAwMDAwMDAwMjAwMDAwMDAwMDAwMDAwNDIwMDgwMDAwMDAwOTEwMDAwMDA1Mjk3RDQ1MzVFMTU1NUU1QzkwMDAwODAxMDAwQTAwMEYzMjAxMEI0MDVCNEVDQzdFOTg4OUVERjFCQTMwQzZGRjcxODM2RUJDRkU5QTczNUVGRDZFNTAxQ0UxNDEwOTUwNTgyNzc2NEI2OURDMzdDNkUyRTQ3ODc0N0UyNzYxNkM2NjYwMDAwMDA4MDAwMDAwMDkxMDAwMDAwNTI5N0Q0NTM1RTE1NTVFNUM5MDAwMDgwMTAwMEEwNDAzMEI0MDU=得到一串 十六进制字符串
0000000000B4000000A500100010000000006050B405106D6A9EA24E5767106D7AD58AC22940106D7AD58AC229400081001000000000000200A0478747E27616C666000000000000000200000000000000420080000000910000005297D4535E1555E5C90000801000A000F32010B405B4ECC7E9889EDF1BA30C6FF71836EBCFE9A735EFD6E501CE14109505827764B69DC37C6E2E478747E27616C66600000080000000910000005297D4535E1555E5C90000801000A04030B405shift+v 复制进010editor。
<img src="https://img-blog.csdnimg.cn/img\_convert/3293798761c6b9efc694b2a6e0bbc40e.png" alt="">
注意: 40 30 B4 05 反一下 就是 50 4B 03 04 说明,要把得到的十六进制字符串倒序 ==》 倒影的真正含义。
附java脚本 :
public class Main {<!-- -->
public static void main(String[] args) {<!-- -->
Scanner in = new Scanner(System.in);
String s = in.nextLine();
String str[] = s.split("");
for(int i=str.length-1;i>=0;--i) {<!-- -->
System.out.print(str[i]);
}
}
}得到:
504B03040A00010800009C5E5551E5354D79250000001900000008000000666C61672E747874E2E6C73CD96B46772850590141EC105E6DFE537A9EFCBE63817FF6C03AB1FDE9889E7CCE4B504B01023F000A00010800009C5E5551E5354D792500000019000000080024000000000000002000000000000000666C61672E7478740A002000000000000100180004922CA85DA7D60104922CA85DA7D6017675E42AE9A6D601504B050600000000010001005A0000004B0000000000修改后缀名 zip。 得到一个加密的压缩包。
但没有其他提示,直接暴力破解一下
<img src="https://img-blog.csdnimg.cn/img\_convert/b337099ea84a4b5888bc48a8d901f09a.png" alt="">
得到 密码: 658745
解压得到flag
UNCTF{Th13\_Is\_@\_F1@G}12、EZ_IMAGE
<img src="https://img-blog.csdnimg.cn/img\_convert/f6dc55f5d3b28318a9668571bb7ccef7.png" alt="">
下载得到 225张杂乱无章的jpg图。解法很简单,就是将这图拼起来即可。
1、 montage 命令
使用该命令,实现多张图合并成为一张图。
(kali Linux)安装命令:
<pre><code class="prism language-cmd">apt-get install graphicsmagick-imagemagick-compat
</code></pre>
进入解压后的文件夹目录下,执行命令
montage \*.jpg -tile 15x15 -geometry +0+0 1.jpg得到:
<img src="https://img-blog.csdnimg.cn/img\_convert/1e32f2050afc07272161e3f4ace7d9b4.png" alt="">
2、 gaps命令自动拼图
git clone https://github.com/nemanja-m/gaps.git
cd gaps先用 pip3安装好以下库:
pip3 install numpy
pip3 install opencv-python
pip3 install matplotlib
pip3 install pytest
pip3 install pillow安装完成后,打开 requirements.txt 修改里面库对应的版本。
<img src="https://img-blog.csdnimg.cn/img\_convert/24594608dde0924b397be9f8542359e8.png" alt="">
此为版本号 , 比如我是:
numpy==1.18.4
opencv-python==4.4.0.46
matplotlib==3.2.2
pytest==4.6.11
pillow==6.2.1再执行以下命令。
pip3 install -r requirements.txt
sudo apt-get install python-tk
pip3 install -e .安装完成后,将之前合成的1.jpg 拖到 gaps-master 该目录下, 执行以下命令:
gaps --image=1.jpg --population=500 --size=60 --save<img src="https://img-blog.csdnimg.cn/img\_convert/a1d2e54cb3096ba92069e3e01b8db999.png" alt="">
【注意】一定要控制 pieces等于图的总张数
最后得到
<img src="https://img-blog.csdnimg.cn/img\_convert/09d0e252ab031f20f2a5de91b345eeec.png" alt="">
flag即为:
UNCTF{EZ\_MISC\_AND\_HACK\_FUN}⭐Crypto
1、easy_rsa
<img src="https://img-blog.csdnimg.cn/img\_convert/bc91cf5a4a10c3e83574b777cd534a7e.png" alt="">
下载得到 rsa 加密脚本,比较简单:
from Crypto.Util import numbe
import gmpy2
from Crypto.Util.number import bytes\_to\_long
p = number.getPrime(1024)
q = number.getPrime(1024)
if p > q:
a = p + q
b = p - q
print(a,b)
n = p \* q
e = 65537
phi = (p-1)\*(q-1)
d = gmpy2.invert(e,phi)
m = bytes\_to\_long(b'msg')
c = pow(m,e,n)
print(c)
#320398687477638913975700270017132483556404036982302018853617987417039612400517057680951629863477438570118640104253432645524830693378758322853028869260935243017328300431595830632269573784699659244044435107219440036761727692796855905230231825712343296737928172132556195116760954509270255049816362648350162111168
#9554090001619033187321857749048244231377711861081522054479773151962371959336936136696051589639469653074758469644089407114039221055688732553830385923962675507737607608026140516898146670548916033772462331195442816239006651495200436855982426532874304542570230333184081122225359441162386921519665128773491795370
#22886015855857570934458119207589468036427819233100165358753348672429768179802313173980683835839060302192974676103009829680448391991795003347995943925826913190907148491842575401236879172753322166199945839038316446615621136778270903537132526524507377773094660056144412196579940619996180527179824934152320202452981537526759225006396924528945160807152512753988038894126566572241510883486584129614281936540861801302684550521904620303946721322791533756703992307396221043157633995229923356308284045440648542300161500649145193884889980827640680145641832152753769606803521928095124230843021310132841509181297101645567863161780很容易得到 p q 且已知 n e 直接上脚本 跑即可:
import libnum
from Crypto.Util.number import long\_to\_bytes
a = 320398687477638913975700270017132483556404036982302018853617987417039612400517057680951629863477438570118640104253432645524830693378758322853028869260935243017328300431595830632269573784699659244044435107219440036761727692796855905230231825712343296737928172132556195116760954509270255049816362648350162111168
b = 9554090001619033187321857749048244231377711861081522054479773151962371959336936136696051589639469653074758469644089407114039221055688732553830385923962675507737607608026140516898146670548916033772462331195442816239006651495200436855982426532874304542570230333184081122225359441162386921519665128773491795370
c = 22886015855857570934458119207589468036427819233100165358753348672429768179802313173980683835839060302192974676103009829680448391991795003347995943925826913190907148491842575401236879172753322166199945839038316446615621136778270903537132526524507377773094660056144412196579940619996180527179824934152320202452981537526759225006396924528945160807152512753988038894126566572241510883486584129614281936540861801302684550521904620303946721322791533756703992307396221043157633995229923356308284045440648542300161500649145193884889980827640680145641832152753769606803521928095124230843021310132841509181297101645567863161780
# a = p + q
# b = p - q
p = (a+b) // 2
q = (a-b) // 2
n = q \* p
e = 65537
d = libnum.invmod(e, (p - 1) \* (q - 1))
m = pow(c, d, n) # m 的十进制形式
string = long\_to\_bytes(m) # m明文
print(string) # 结果为 b‘ m ’ 的形式
#print(libnum.n2s(m)) #(n2s将数值转化为字符串)得到
b'UNCTF{welcome\_to\_rsa}'2、简单的RSA
<img src="https://img-blog.csdnimg.cn/img\_convert/8047f0e373790efd79ec493d7a4e497d.png" alt="">
下载得到一个txt
e= 18437613570247445737704630776150775735509244525633303532921813122997549954741828855898842356900537746647414676272022397989161180996467240795661928117273837666615415153571959258847829528131519423486261757569454011940318849589730152031528323576997801788206457548531802663834418381061551227544937412734776581781
n= 147282573611984580384965727976839351356009465616053475428039851794553880833177877211323318130843267847303264730088424552657129314295117614222630326581943132950689147833674506592824134135054877394753008169629583742916853056999371985307138775298080986801742942833212727949277517691311315098722536282119888605701
c= 140896698267670480175739817539898638657099087197096836734243016824204113452987617610944986742919793506024892638851339015015706164412994514598564989374037762836439262224649359411190187875207060663509777017529293145434535056275850555331099130633232844054767057175076598741233988533181035871238444008366306956934显然,这e 非常大。马上想到是 rsa wiener-attack 。于是 修改脚本如下:
import RSAwienerHacke
e= 18437613570247445737704630776150775735509244525633303532921813122997549954741828855898842356900537746647414676272022397989161180996467240795661928117273837666615415153571959258847829528131519423486261757569454011940318849589730152031528323576997801788206457548531802663834418381061551227544937412734776581781
n= 147282573611984580384965727976839351356009465616053475428039851794553880833177877211323318130843267847303264730088424552657129314295117614222630326581943132950689147833674506592824134135054877394753008169629583742916853056999371985307138775298080986801742942833212727949277517691311315098722536282119888605701
d = RSAwienerHacker.hack\_RSA(e,n)
if d:
print(d)<img src="https://img-blog.csdnimg.cn/img\_convert/39e87d363e494a68ccbb8ecff303688f.png" alt="">
得到 d :
74651354506339782898861455541319178061583554604980363549301373281141419821253有 c、e、d、n 接下来,有手就行,直接上脚本!
from Crypto.Util.number import long\_to\_bytes
e= 18437613570247445737704630776150775735509244525633303532921813122997549954741828855898842356900537746647414676272022397989161180996467240795661928117273837666615415153571959258847829528131519423486261757569454011940318849589730152031528323576997801788206457548531802663834418381061551227544937412734776581781
n= 147282573611984580384965727976839351356009465616053475428039851794553880833177877211323318130843267847303264730088424552657129314295117614222630326581943132950689147833674506592824134135054877394753008169629583742916853056999371985307138775298080986801742942833212727949277517691311315098722536282119888605701
c= 140896698267670480175739817539898638657099087197096836734243016824204113452987617610944986742919793506024892638851339015015706164412994514598564989374037762836439262224649359411190187875207060663509777017529293145434535056275850555331099130633232844054767057175076598741233988533181035871238444008366306956934
d = 74651354506339782898861455541319178061583554604980363549301373281141419821253
m = pow(c, d, n) # m 的十进制形式
string = long\_to\_bytes(m) # m明文
print(string) # 结果为 b‘ m ’ 的形式得到flag:
b'unctf{wi3n3r\_Att@ck}'3、鞍山大法官开庭之缺的营养这一块怎么补
<img src="https://img-blog.csdnimg.cn/img\_convert/3cbf51bf453939649c80f3dc075b086a.png" alt="">
显然题干给出的是一种未知编码的字符串
ottttootoootooooottoootooottotootttootooottotttooootttototoottooootoooottotoottottooooooooottotootto先来看一下,里面就涉及两种字母,很容易让人想到 二进制 ,尝试转字符串,失败。
还有一种编码,培根密码,也是涉及2个字符。尝试
先将 o 替换为A , t替换为B。
ABBBBAABAAABAAAAABBAAABAAABBABAABBBAABAAABBABBBAAAABBBABABAABBAAAABAAAABBABAABBABBAAAAAAAAABBABAABBA<img src="https://img-blog.csdnimg.cn/img\_convert/6e0074a73d8a8974d3f9203e05272a3d.png" alt="">
得到flag
unctf{PEIGENHENYOUYINGYANG}⭐Reverse
1、re_checkin
<img src="https://img-blog.csdnimg.cn/img\_convert/95f1aa8869a78140b31cd9552a782918.png" alt="">
先考虑有没有壳。用PEID一查 无。 安心拖入 IDA
先 shift+f12 查看字符串。
发现 success 敏感词,进行追踪,来到函数sub_401550() 按F5
<pre><code class="prism language-c">\_\_int64 sub\_401550()
{<!-- -->
char Str1; // sp+20h@1
sub_40B300();
puts("Welcome!Please Input:");
sub_419C00("%1000s", &Str1);
if ( !strcmp(&Str1, &Str2) )
puts("success!");
else
puts("fail!");
system("pause");
return 0i64;
}
</code></pre>
很快发现, strcmp 是 Str1与Str2 对比 ,因为Str1输入,于是追踪Str2
<img src="https://img-blog.csdnimg.cn/img\_convert/0cbb5b8f6c692b9a9d1e692c54656e2f.png" alt="">
发现 在 sub_4015DC 函数,进行查看
<pre><code class="prism language-c">void sub\_4015DC()
{<!-- -->
Str2 = 117;
byte_42F041 = 110;
byte_42F042 = 99;
byte_42F043 = 116;
byte_42F044 = 102;
byte_42F045 = 123;
byte_42F046 = 87;
byte_42F047 = 101;
byte_42F048 = 108;
byte_42F049 = 99;
byte_42F04A = 111;
byte_42F04B = 109;
byte_42F04C = 101;
byte_42F04D = 84;
byte_42F04E = 111;
byte_42F04F = 85;
byte_42F050 = 78;
byte_42F051 = 67;
byte_42F052 = 84;
byte_42F053 = 70;
byte_42F054 = 125;
byte_42F055 = 0;
}
</code></pre>
很显然 ASCII码 转换得到 :
得到
unctf{WelcomeToUNCTF} 2、babypy
<img src="https://img-blog.csdnimg.cn/img\_convert/2baf343304ef832b9288f6b4d360f45f.png" alt="">
得到了一个 .exe 和一个txt
txt如下:
313131303130313031313031313130303131303030313130313131303130303031313030313130303131313130313130313031303130303031313031303030303130303030303030313131303130303031303131313131303131303130303130313131303031313031303131313131303131313030313030313130303130313031313030303031303031313030303130303131303030313031313131303031303130313131313130313130303031313030313130303030303031313030303030303131303030313031313131313031首先对 babypy.exe 进行壳检查,发现 无壳。
这个时候,我们需要对exe进行反编译为python源码。
利用 pyinstxtractor.py 来进行反编译。
执行命令:
python pyinstxtractor.py babypy.exe<img src="https://img-blog.csdnimg.cn/img\_convert/e5d0aa978ab64a1840185c737a512680.png" alt="">
注意到 babypy 重点源文件,但是由于反编译不是十全十美的,他丧失了文件头,因此没有后缀 .pyc 于是,打开一个本身的pyc,查看文件头
42 0D 0D 0A 00 00 00 00
于是给他补上:
42 0D 0D 0A 00 00 00 00 70 79 69 30 10 01 00 00<img src="https://img-blog.csdnimg.cn/img\_convert/5d7f7f7c8427ba81fa4bafbb0f6bb6a3.png" alt="">
并修改后缀名 .pyc 再进行反编译 生成py文件
#!/usr/bin/env python
# visit http://tool.lu/pyc/ for more information
import os
import libnum
import binascii
flag = 'unctf{\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*}'
# WARNING: Decompyle incomplete看到这里,跟自己之前想的很有出入,本来以为会出全部脚本,于是思路断了。
其实是忘记了,出题方给的重要讯息!那个 tip.txt
于是,解题脚本如下:
import libnum
m = 0x313131303130313031313031313130303131303030313130313131303130303031313030313130303131313130313130313031303130303031313031303030303130303030303030313131303130303031303131313131303131303130303130313131303031313031303131313131303131313030313030313130303130313031313030303031303031313030303130303131303030313031313131303031303130313131313130313130303031313030313130303030303031313030303030303131303030313031313131313031
str = libnum.n2s(m)
print(libnum.b2s(str))跑出 flag:
unctf{Th@t\_is\_rea11y\_c001}3、反编译
<img src="https://img-blog.csdnimg.cn/img\_convert/8f26db91128fcb1065a8fe24d43acf83.png" alt="">
下载得到一个 run.exe 加之题目“反编译” ,与上题一样的思路。
利用 pyinstxtractor.py 来进行反编译。
执行命令:
python pyinstxtractor.py run.exe给run补上,并修改后缀名
42 0D 0D 0A 00 00 00 00 70 79 69 30 10 01 00 00再进行反编译 生成py文件
得到:
#!/usr/bin/env python
# visit http://tool.lu/pyc/ for more information
str2 = 'UMAQBvogWLDTWgX"""k'
flag = ''
for i in range(len(str2)):
flag += chr(ord(str2[i]) + i)
print(flag)直接跑出flag
UNCTF{un\_UN\_ctf123}⭐pwn
1、YLBNB
<img src="https://img-blog.csdnimg.cn/img\_convert/01d69c70c0714dd5ff5c31c40927fd51.png" alt="">
直接nc一把
nc 45.158.33.12 8000<img src="https://img-blog.csdnimg.cn/img\_convert/5b8053d561dd15ca6629c522ffe87d08.png" alt="">
于是直接上 exp (最简单的那种)
from pwn import \*
p = remote('45.158.33.12', 8000)
payload = ''
p.sendline(payload)
p.interactive()<img src="https://img-blog.csdnimg.cn/img\_convert/ce2994f36a2e6674c8235cfba5b00ac5.png" alt="">
得到flag
UNCTF{Gu@rd\_Th3\_Bes7\_YLB}下次一定!!
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
