St4rr's Blog

又是一次爆零的比赛。。。还是太菜了，还得多练。 Bash Game 比赛的时候本以为这是唯一一道可能做出来的题，赛后看了wp才知道，即使最开始那个字符限制给我侥幸绕过了，后面也是狠狠坐牢。。。 题目主要文件 main.go 1234567891011121314151617181920212223242526272829303132333435363738package mainimport ( "ByteCTF/lib/cmd" "github.com/gin-gonic/gin")func main() { r := gin.Default() r.POST("/update", func(c *gin.Context) { result := Update(c) c.String(200, result) }) r.GET("/", func(c *gin.Context) { c.String(200, "Welcom ...

最近打的所有比赛中，misc最简单的一次( 但是由于是两个misc手+一个re手组队，局限性可想而知。。。在这记录一下三道misc题 BrickGame image-20240908192223654 直接玩通关即可 漏洞探踪，流量解密 第一阶段 经过查看流量与在网上搜索，可以发现这是通达OA的洞。根据其原理，可以在给出的日志中搜索/ispirit/im/upload.php，找到攻击来源ip，也就是第二阶段的压缩包的密码192.168.30.234 image-20240908194622178 第二阶段 根据漏洞的原理，可以知道接下来是通过/ispirit/interface/gateway.php路径的文件上传漏洞，我们直接在流量中过滤出用到这个路径的流 image-20240908202627396 其中有一个流可以看到提示，使用的是RC4加密 image-20240908203255737 还可以从此外的两个流中看到从192.168.1.5下载了一个叫做key的文件和一个叫做raw的文件，过滤 ...

Writeup部分 Writeup点我 Additional Statement: written by X1cT34m 复现部分 个人感觉这次羊城杯的misc实在是有点需要脑洞了，做到最后真的是感到穷途末路了，根本不知道接下来应该往什么方向走。。。现在看了其他师傅的wp，感到有的地方确实挺脑洞，但还是有的地方是自己的技术不过关，要学的还有很多。 Checkin 下载下来的压缩包有个注释，是base58编码 FLag.txt中明显是某个文件的十六进制形式，cyberchef用hex转出来导入010可以看出这是个pcapng文件 image-20240828233209162 当时比赛的时候就是卡在这里了。。。结果没想到接下来的某个步骤其实正好是我最近研究过的一个东西。。。 前面的FLag.txt其实还藏着一层wbstego隐写，密码就是上面zip中的注释 image-20240828234413048 image-20240828234524260 一看就是SSLKEYLOGFILE，导入解密tls ...

由于是同一个比赛，writeup和复现就放在同一篇文章里了 Writeup部分 Writeup点我 复现部分 Blockchain thief_god 本题中使用的是智能合约安全中的重入攻击，看网上说这已经是很基础的东西了，结果我比赛时弄了大半天都没弄明白。。。该找个时间好好学学区块链了。。。 题目 1.py 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145 ...

又是被暴打的一集。。。跟上次京麒ctf一样，盯着下面这道misc看了一天，然后成功爆零。。。不想说什么了（T0T） 后来通过与从某些途径搞来的官方wp比对，发现——还是和上次京麒ctf一样，就差最后一步了。。。已经到了flag跟前，然后不会了。。。不说了，开始复现（T0T） 题目 题目给了一个叫做张小可 英语教师简历.png.exe的程序 与答案相同部分 先对这个程序进行查壳（这里改名为了1.exe） upx脱壳 image-20240819213332522 接下来的步骤正常应该是通过对1.exe逆向，来分析其进行的恶意行为。但是多捣鼓捣鼓也不难弄出来，下面就写我比赛时瞎捣鼓的做法了。 我的方法 foremost分解1.exe，得到简历图片 image-20240819214026169 发现存在lsb隐写，得到一个网址 image-20240819214347437 直接访问，下载得到一个default.a文件 image-20240819214517377 拖进010 ima ...

Wrtieup点我

有幸跟着X1cT34m的学长们京东总部打了京麒CTF的决赛，结果我盯着下面这道misc题看了一天，然后爆零了(T0T)，队伍排名也不理想，给队里的师傅们磕一个了(T0T)。。。Orz 赛后我找了出题人，询问后发现，我最最开始得到的答案三问有两问是对的（这题总共有三个问题）。。。结果后面越改越离谱，错的那问仍然一直是错的。。。我还是再沉淀沉淀吧( 下面是对这题的复现 题目给了一个流量包kerberoasting.pcapng，要求找出以下三问的答案，拼起来求md5值就是flag： 1、总共枚举到了几个kerberoastable的用户 2、攻击者得到的kerberoastable的用户的密码 3、攻击者通过kerberoasting攻击得到权限后进行了约束委派攻击，找出与服务端存在委派关系的用户名称 首先过滤一下ldap流，可以看到其中有一条查询请求查询到了4个用户 image-20240808152623844 进一步展开可以看到，这些用户都设置了SPN，因此可以判定他们就是kerberoastable的用户 image-20240808 ...

简单学点AI，防止以后CTF中遇到AI就寄。。。 本文内容多为搬运+修补，所搬运文章链接在文末 朴素感知机、神经元 感知机接收多个输入信号，输出一个信号。感知机的信号只有“流 / 不流”（1/0）两种取值。这里我们认为 0 对应“不传递信号”， 1 对应“传递信号”。最简单的感知机就是将输入进行处理得到中间结果，再将结果经过非线性函数处理输出。一般的，我们也把上述的模型称为神经元 ，又称作节点(node)或单元(unit)。 神经网络 由多个神经元可组成神经网络。每个节点可以从其他节点接收输入，或者从外部源接收输入，然后计算输出。每个输入都各自的权重（weight，即 w），用于调节该输入对输出影响的大小，节点的结构如图所示： image-20240731212540830 其中 x1, x2 作为该节点的输入，其权重分别为 w1 和 w2。同时，还有配有偏置b（bias）的输入 ，偏置的主要功能是为每一个节点提供可训练的常量值（在节点接收的正常输入以外）。 多层感知机 多层感知机（Multilayer Perceptron）缩写为 ...

听说隔壁Dozer的f4k3r师傅校队有内部训练，偷偷过去玩了一下，这里放一下我和f4k3r师傅一起写的wp（未用于提交），方便以后查阅使用 传送门一 传送门二

题目是给了一个pcapng文件，要求找出用户wangkai的明文密码（字典使用rockyou）。 打开pcapng文件，可以看到很多SMB2协议，看起来是几个用户在尝试登录账号，找到其中与wangkai有关的一条（可以用ntlmssp过滤，或者直接过滤smb2找起来也不麻烦） image-20240723101622388 接下来就是构造hash文件，先点开查看底下SMB2协议的报文 image-20240723102229716 找到其中的相关信息，拼凑成如下格式： 1username::domain:ntlmv2_response.chall:ntproofstr:不包含ntproofstr的ntlmv2_response值 命名为abc.hash（名字随意，后缀是.hash即可），得到hash文件 但是这样拼凑比较复杂，而且这里的NTLMv2 Response显示truncated，说明还得去其他地方找到剩余部分，比较麻烦。现有一自动化提取NTLMv2的工具，我们可以直接一把而梭之。 image-2024072310291619 ...