MISC:
驗證碼:
用token登錄
輸入好驗證碼就可以得到flag
Picture:
圖片隱寫,一下就想到binwalk或者winhex打開試試
![clip_image001[5]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjczNDY3OS0xNDQwMzk5MTgzLnBuZw==.png "clip_image001[5]")
binwalk打開無果
![clip_image001[7]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjczODg4My0xNzI0NTY3MzgwLnBuZw==.png "clip_image001[7]")
將這段數據ctrl+shift+c復制出來
用下面python腳本生成zip文件。
import zlib
import binascii
import base64
id=””
r = zlib.decompress(binascii.unhexlify(id))
r = base64.b64decode(result)
fount = open(r"2.zip","wb")
fount.write(r)
fount.close()
![clip_image002[5]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0MTY0My0xODA0MzgyOTE5LmpwZw==.png "clip_image002[5]")
壓縮包提示。
根據這個“ZeroDivisionError:”搜索
![clip_image001[9]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0MjI3MC0xNTcwOTQzNDgxLnBuZw==.png "clip_image001[9]")
然就知道壓縮密碼了。
![clip_image002[7]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0MzUwNy0xMDM2OTYzMjIyLmpwZw==.png "clip_image002[7]")
打開彈出這個信息。
然后又拿出winhex看了下
![clip_image001[11]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0NDUxOC05MDkyNzg0My5wbmc=.png "clip_image001[11]")
然后輸入壓縮密碼打開
發現code文件如下
![clip_image002[9]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0NTU1NC0xMzE5MjMxNTAzLmpwZw==.png "clip_image002[9]")
Uuencode解碼即可
得到flag:
![clip_image001[13]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0NjQwMS0xNzkwNDk3MDE3LnBuZw==.png "clip_image001[13]")
RUN:
![clip_image001[15]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0NzI0NS0xMjI3MjI4LnBuZw==.png "clip_image001[15]")
根據提示,要沙箱逃逸?
然后getshell。
然后百度谷歌了遍
命令都是瞎湊的。
![clip_image002[11]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0ODI1MC0zNzE4NzY0NDYuanBn.png "clip_image002[11]")
然后發現很多庫和命令都被ban了。
逃逸這個詞,一開始我不是很理解。
然后群里管理員說是有點web
可能這些命令都被‘過濾’了吧。
然后一個個試繞過。
![clip_image002[13]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0ODg2Mi0yMDM0NTk4NzUyLmpwZw==.png "clip_image002[13]")
![clip_image002[15]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc0OTU3OS0xMzM5MDY1MzI5LmpwZw==.png "clip_image002[15]"){kind=small}
得到flag。
這里很坑的是func_globals也會被‘過濾’。
CRYPTO:
flag_in_your_hand:
下載文件解壓
得到html和js
![clip_image002[17]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc1MDM5OC0xODM1NTEyMjU0LmpwZw==.png "clip_image002[17]")
![clip_image002[19]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc1MTA4Ny0yMDI3NDE5MDgxLmpwZw==.png "clip_image002[19]")
![clip_image001[17]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc1MTY4NC0xMDYxMDUzMDQ4LnBuZw==.png "clip_image001[17]")
算出
![clip_image001[19]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc1MjQ1Ny0yNzMxOTM1MDIucG5n.png "clip_image001[19]")
然后有個很坑的地方:這題的flag不是ciscn{}規范的。導致我按了很多次get flag按鍵,然后隨便提交一個,導致被禁賽30min。
![clip_image001[21]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjc1MzMyMC0xMDc5MjI1OTY2LnBuZw==.png "clip_image001[21]")
得到flag。
Web:
easyweb:
![clip_image001[23]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjgwMTA5My0xMjkwNjA4MDg5LnBuZw==.png "clip_image001[23]")
![clip_image002[21]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjgwMjI1Ny02NDkwODQzMDMuanBn.png "clip_image002[21]")
復制這個token
![clip_image002[23]](/image/aHR0cHM6Ly9pbWFnZXMyMDE4LmNuYmxvZ3MuY29tL2Jsb2cvMTMzMDQ0Ny8yMDE4MDQvMTMzMDQ0Ny0yMDE4MDQzMDEwMjgwMzY1My0xNDAzMjU5MjczLmpwZw==.png "clip_image002[23]")
得到flag。