红客突击队HSC-1th CTF大赛个人Writeup

本文记录了作者参加HSC1th2022网络安全夺旗挑战赛的解题过程,涉及Web、Crypto、Misc、Re等多个领域的题目。作者通过分析JS代码、利用robots.txt、系统命令执行、文件头识别、隐写术、栅栏密码、RSA加密等技术解题,展现了丰富的网络安全技能。文章还分享了部分题目解题的关键步骤,如Base64解码、Wireshark流量分析、PDF隐写等。


本届HSC1th 2022是由社会战队红客突击队(Honker Security Commando)举办。
本次比赛将采用在线网络安全夺旗挑战赛的形式,涵盖web,crypto,misc,re等主流方向,并面向全球开放。比赛三甲可获突击队周边礼品。
前20有纸质证书,每次感觉再解一道题就进前20了,结果等我做出来一看排名基本没变,甚至还掉了。。。大佬们太强了。
结果最后居然被我候补末班上车,刚好前20。在此记录一下个人解题过程,做的都是简单题,还有好多是歪门邪道解出来的,还是太菜了。。。

Web

CLICK

查看JS代码,有一串字符串,解码Base64即可。

在这里插入图片描述在这里插入图片描述

Web-sign in

根据提示访问robots.txt
访问页面发现右键被禁用,使用view查看源代码
在这里插入图片描述在这里插入图片描述在这里插入图片描述

EXEC

在这里插入图片描述

分析:
EXEC函数直接执行系统命令,无回显,某些命令被过滤
被过滤的关键字使用双写绕过
空格被过滤使用$IFS绕过
将命令执行结果使用重定向写入文件
PAYLOAD如下:

在这里插入图片描述在这里插入图片描述

MISC

Sign-in

在这里插入图片描述

DORAEMON

爆破得到压缩包密码
根据提示修改图片高度,发现二维码
二维码补全定位块
扫描

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2ha0yuk7on.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值