hackergame 2019
簽到題
首先打開網頁看到叫我提交token,發現提交button是不可用的,所以查看前端代碼,修改button模塊的屬性把disable改爲able然後輸入token即可得到flag: flag{Welcome_to_Hackergame_2019_ef71c55f9a}
白與夜
打開網頁得到一段對話和圖片,根據提示flag就在圖片裏,所以就是圖片隱寫題目,把圖片保存到本地,結合“人家明明是白貓”使用stegsolve打開,通過通道分離,得到一個flag:flag{4_B14CK_C4T}
信息安全2077
打開後居然是一個倒計時,題目很明確要我去讀flag.txt文件,我一開始想要直接訪問flag.txt可惜沒有成功,所以我用burpsuit抓了個包,發現有個定義時間的文件頭,既然時間沒到就把它改到了吧,我直接對文件頭進行更改,把2019年改爲了2077年,重發,得到了flag:flag{Welc0me_to_competit1on_in_2077}
宇宙終極問題
問題是x3+y2+z^3=42
所以我們需要構造一個合理的x、y、z
實在是構造不了,所以Google了一下
三立方數之和的維基百科裏有這樣的內容
輸入x、y、z的值,得到flag:
x:-80538738812075974
y:80435758145817515
z:12602123297335631
flag{W0W_you_kn0w_the_Answer_t0_l1f3_Un1v3r5e_&_Everyth1ng_e4209f4543}
接下來有好多未知數了,random prime(2^256)生成2-256之間的僞隨機數。後面我就真的不會了。。。。。
網頁讀取器
打開網站根據提示,我嘗試了一下輸入url,他告知我不在白名單,果然是開不了,下載他的源碼文件查看。
發現白名單和一些要求:
例如:http://開頭,主機名必須爲example.com or www.example.com
接着往下看
![[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ueEBlXGd-1582644025890)(C:\Users\lilon\AppData\Roaming\Typora\typora-user-images\1571323158262.png)]](https://pic1.xuehuaimg.com/proxy/csdn/https://img-blog.csdnimg.cn/20200225232644634.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzI2MTM5MDQ1,size_16,color_FFFFFF,t_70)
我們得知他會在最後一位不是/和最後一位不是:時,把@後的內容當作hostname,加上我們知道了whitelist是"example.com"和 "www.example.com"
所以我們可以構造一個@example.com的payload
加上題目上有有提示我們答案在http://web/flag裏所以構造
http://web/[email protected]
提交後主機名沒有問題,狀態404
所以註釋後文既http://web/flag#@example.com
提交得到flag: flag{UrL_1S_n0t_SO_easy}
Happy LUG
這題讓我實在是摸不着頭腦
正則驗證器
下載源文件,進行代碼分析,見我做的註釋:
接下來有一個re.compile()函數,將一個字符串編譯成 pattern object,用於匹配或搜索。
用r的規則去s中做匹配,成功就輸出匹配成功(英語),失敗就是匹配失敗了
還有是使用signal.signal()函數來預設(register)信號處理函數,
只要SIGALRM信號出現,就執行flag函數
看到signal.alarm(30)應該是要我構造一個需要執行很多次,非常耗費時間的payload。
RegEx: (a+)+p
-womGgjr1-1582644025893)]
看到signal.alarm(30)應該是要我構造一個需要執行很多次,非常耗費時間的payload。
RegEx: (a+)+p
String:aaaaaaaaaaaaaaaaaaaaaaax