前言
去年做了RoarCTF線上賽題。只做出一道MISC題。去年已經把MISC題黃金6年和Web題Easy Calc總結並復現了一下。
現在才發現忘記發博客了。。尷尬。。( 其他題有時間會復現)
MISC:黃金6年
下載之後,發現是個mp4文件。用WinHex打開分析一下
很明顯這串字符有問題,好像是Base64編碼。Base64解碼
結果發現個rar壓縮包的文件頭。所以Base64解碼以16進制顯示得到
526172211a0701003392b5e50a01050600050101808000e1ede9395502033cb00004a100204bec529180030008666c61672e747874300100030f1e371f239d2cc1967c213d584b01669ac0250a01495956909352f533f976eda4c89dbbe49cec368dbd0674990a0302de1f94155f69d5011f26404f3d1e8cad8c179ac302333ebb0cdfe4e6ed4d630f606b9ddaf37fc1fedd86f45906fc8213b91fbd808bebfcb11d77565103050400
放WinHex裏,生成一個rar壓縮包。打開發現需要密碼
想到mp4視頻裏是不是還有東西。用ffmpeg提取mp4的音頻,分析無果。然後想到對視頻逐幀分析,但當時我沒想到用Pr。
這四張有二維碼,掃描得key:iwantplayctf
輸入key解壓rar壓縮包,得到flag。
Web:Easy Calc
這道題是國賽的love_math的修改版。當時我拿着love_math的wp進行復現,結果一直沒成功。現在看這道題的wp,發現要用到服務器存在http走私漏洞,用來繞waf。因爲我沒學習過http走私漏洞。所以學習一下。
參考:
協議層的攻擊——HTTP請求走私
這裏用到幾個php幾個數學函數。
我們首先要構造列目錄的payload,肯定要使用scandir函數,嘗試構造列舉根目錄下的文件。
scandir可以用base_convert函數構造,但是利用base_convert只能解決a~z的利用,因爲根目錄需要/符號,且不在a~z,所以需要hex2bin(dechex(47))這種構造方式,dechex()函數把十進制數轉換爲十六進制數。hex2bin()函數把十六進制值的字符串轉換爲 ASCII字符。
題目總結參考我之前博客:從一道題到HTTP請求走私