前言
第一次参加国赛,很荣幸进了线下分区赛,也很遗憾线下发挥失常没进决赛,不过算增长经验了,在这里立个flag,明年进决赛,写这篇文章主要是复现并且记录一下分区赛
第一天
比赛模式:CTF
名次:40
第一天的CTF题目着实泪目,WEB嘎嘎难,密码学考察了不少,但是我们队伍比较薄弱,总之就是很惨
WEB-ezinject
全场唯一有解的web题–考察SQL注入
总之就是过滤了很多函数,直接双写绕过盲注就出了
MISC-奇怪的图片
图片隐写,修复改宽高,然后压缩包明文攻击
压缩包损坏,猜测应该是linux压缩的压缩包,windows解压就会报错,拉到linux里面可以分离出来一个图片
看文件名,一眼顶针了,明文攻击
密码@2Dc^u,解压得到png文件
010打开,改宽高得到flag
MISC-base家族大杂烩
这个就是一直套娃解密,大概解密十几次就出了,属于签到题
MISC-新佛曰
00后的小明看到隔壁小王(19930511)在念经,于是他也开始朗诵了起来:
佛又曰:咩楞沙呼唵利地帝地萨唵喝娑伽室哆室耶摩沙呼度阇烁夜摩穆曳利驮阿菩他俱地参豆皤提遮啰提蒙蒙参利啰输阿尼吉埵穆羯啰嚧输墀栗楞哆他苏无利度啰阿伊唵参嚧吉羯摩埵漫漫
这个题目是爆破密钥,用那个新与佛论禅,当时现场是没写出来,看了其他师傅的前端js代码直接爆破,牛x,在这里也记录一下那个师傅的一个代码,值得学习
function decode(){
for(let keys=20000000;keys<=20241231;keys++){
document.getElementById("text-key").value = keys
decrypt();
if(document.getElementById("text-encryped").value.indexOf("flag")+1){
console.log(String(keys)+"\n"+document.getElementById("text-encryped").value)
break
}
}
}然后直接调用这个函数爆破即可得到正确密钥然后得到flag
其他
其他题目还是值得学习的,有时间复现一下其他的题目再补充,在这里先挖个坑
第二天
比赛模式:AWD
名次:8
第二天压力很大,因为第一天的太差了,不过还好吧,拿了个第八
PWN
全场坐牢~~~
WEB
纯靠WEB拿分,当时是找到了一个任意文件读取漏洞,并且全场貌似将近一半都没修复这个漏洞,基本就是利用这个漏洞炫分,最终拿到了第八,其实应该第五的,因为鼠标问题,复制flag的时候一直复制不上,导致后面好几轮漏交了很多flag
最后
综合名次19名,前十二晋级决赛,遗憾错过,明年再战
