防災科技學院GKCTF2020_misc wp

---

0x01 簽到

• 比賽直播間地址：https://live.bilibili.com/772947
• 屏幕上有flag；

---

0x02 問卷調查

• 填寫對這次比賽的問卷調查，就可以得到flag。
  flag{I_W4nt_t0_Fu4k_GKCTF}
  

---

0x03 Pokémon

• 一個.gba格式的文件，下載Visual Boy Advance打開；
  是一個叫 口袋怪獸綠寶石的遊戲。
  沒辦法，開始玩吧。
  
• 打到103街道的地方，草叢就是flag的字符，哈哈，這個還真有趣。flag{PokEmon_14_CutE}
  

---

0x04 code obfuscation

• 下載附件如下：
  
  手動復原
  
• 生成結果，掃描：
  
• 掃描結果爲base(gkctf)，沒有明顯的信息，所以繼續從題目圖片提取信息，這裏使用stegsolve，發現另一個數據塊，其中52 61 72 21是rar文件的開頭。
  stegsolve下載地址
  
• 可以把文件提取，或者直接將原png文件後綴改爲rar,得到需要密碼的一個壓縮文件，將之前得到的gkctf通過base16、base32、base64、base58分別加密，最後base58得到：CfjxaPF成功解壓。
• 得到一段js代碼：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('15 n 14 a b c d e f g h i j k l m n o p q r s t u v w x y z 10 11 17="n"12 15 n 14 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 10 11 17="n"12 13=0 15 n 14 a b c d e f g h i j 10 11 16="n"13=$((13+1))12 1g("1f=\' \';1e=\'"\';16=\'#\';1j=\'(\';1i=\')\';1h=\'.\';1a=\';\';19=\'<\';18=\'>\';1d=\'1c\';1b=\'{\';1k=\'}\';1t=\'0\';1u=\'1\';1s=\'2\';1r=\'3\';1n=\'4\';1m=\'5\';1l=\'6\';1q=\'7\';1p=\'8\';1o=\'9\';")',62,93,'||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||do|eval|done|num|in|for|Bn|An|Ce|Cc|Cb|Cn|_|Cl|Bm|Bk|alert|By|Bt|Bs|Cp|Dg|Df|De|Dj|Di|Dh|Dd|Dc|Da|Db'.split('|'),0,{}))

• 和一張圖片：
  
• 對js代碼進行反混淆，然後美化格式，得到如下代碼：
  js反混淆地址

for n in a b c d e f g h i j k l m n o p q r s t u v w x y z do eval An = "n"
done
for n in A B C D E F G H I J K L M N O P Q R S T U V W X Y Z do eval An = "n"
done num = 0
for n in a b c d e f g h i j do eval Bn = "n"
num = $((num + 1))
done alert("Bk=' ';Bm='"';Bn='#';Bs='(';Bt=')';By='.';Cb='';Cc='<';Ce='>';Cl='_';Cn='{';Cp='}';Da='0';Db='1';Dc='2';Dd='3';De='4';Df='5';Dg='6';Dh='7';Di='8';Dj='9';")

• 代碼意思就是提供了一種映射關係，對於Bn，Cn，Dn已給出映射，對於An=“n”的關係。所以將上面圖片中那段字符進行替換。
  給出腳本：

import string
s = "$Bn$Ai$An$Ac$Al$Au$Ad$Ae$Bk$Cc$As$At$Ad$Ai$Ao$By$Ah$Ce$Ai$An$At$Bk$Am$Aa$Ai$An$Bs$Bt$Cn$Ap$Ar$Ai$An$At$Bs$Bm$Aw$Dd$Al$Ac$Da$Am$Ae$Cl$De$Ao$Cl$Dj$Ak$Ac$At$Df$Bm$Bt$Cb$Ar$Ae$At$Au$Ar$An$Bk$Da$Cb$Cp"
ll = s.split('$')
list1 = ['Bk','Bm','Bn','Bs','Bt','By','Cb','Cc','Ce','Cl','Cn','Cp',
'Da','Db','Dc','Dd','De','Df','Dg','Dh','Di','Dj']
list2 = [' ','"','#','(',')','.','','<','>','_','{','}','0','1','2','3','4','5','6','7','8','9']
list3 = []
list4 = []
s = string.ascii_lowercase
for i in s:
	list3.append('A%s'%i)
	list4.append(i)
#print(list3,'\n',list4)

t = ''
for i in range(0,len(ll)):
	for j in range(0,len(list1)):
		if ll[i]==list1[j]:
			t += list2[j]
	for k in range(0,len(list3)):
		if ll[i]==list3[k]:
			t +=list4[k]
print(t)

得到：

#include <stdio.h>int main(){print("w3lc0me_4o_9kct5")return 0}

所以：flag{w3lc0me_4o_9kct5};

---

0x05 Harley Quinn

hint:電話音&九宮格
hint: FreeFileCamouflage，下載的文件可能顯示亂碼

附件

• 裏面是一個jpeg格式圖片和一個wav格式的音頻。
• 對音頻收聽後最後有一段“撥號”的聲音。使用audacity將最後的音頻截出來，然後放在dtmf2num.exe分析，得到相應的音頻信息：#222833344477773338866#;
  
• 此時再看提示：FreeFileCamouflage，是一個圖片隱藏文件的軟件。
  
• 需要輸入密碼，這時，從音頻得到的字符串輸進去沒有用，需要用到手機鍵盤密碼；
  
• 得到密碼爲：ctfisfun;
• 最後分離出flag.txt文件。
• 拿到flag：flag{Pudd1n!!_y0u_F1nd_m3!}
  

---

0x06 Sail a boat down the river

附件爲一個視頻和一個壓縮包

hint1: 閃爍的光芒
hint2: 是一行不是一列
hint3: 加密方式很常見

• 打開視頻，其間有一楨閃出一個二維碼。
  
• 掃描後是一個百度網盤鏈接，但是沒有提取碼。
• 藉助hint1，回看發現了“閃爍的光芒”，就是視頻中間那個攝像頭。燈亮分爲兩種：1楨和3楨。想到摩爾電碼,得到如下：

-.-- .-- ---.. --.  ==>  yw8g

• 輸入提取碼，成功得到文件shudu.txt：
  
• 密文：efb851bdc71d72b9ff668bddd30fd6bd
• 數獨？
• 密匙只用填寫填入的數字，從左到右從上到下密鑰就是52693795149137,嘗試用ASE加密。
  
• 壓縮包密碼GG0kc.tf，解壓出來得到一個.ovex文件，用五線譜打譜軟件Overture打開即可拿到flag：flag{gkctf_is_fun}
  

參考：
https://hujiekang.top/2020/05/24/GKCTF-WriteUp/
https://blog.csdn.net/hiahiachang/article/details/106317765