文章目录
本届HSC1th 2022是由社会战队红客突击队(Honker Security Commando)举办。
本次比赛将采用在线网络安全夺旗挑战赛的形式,涵盖web,crypto,misc,re等主流方向,并面向全球开放。比赛三甲可获突击队周边礼品。
前20有纸质证书,每次感觉再解一道题就进前20了,结果等我做出来一看排名基本没变,甚至还掉了。。。大佬们太强了。
结果最后居然被我候补末班上车,刚好前20。在此记录一下个人解题过程,做的都是简单题,还有好多是歪门邪道解出来的,还是太菜了。。。
Web
CLICK
查看JS代码,有一串字符串,解码Base64即可。


Web-sign in
根据提示访问robots.txt
访问页面发现右键被禁用,使用view查看源代码



EXEC

分析:
EXEC函数直接执行系统命令,无回显,某些命令被过滤
被过滤的关键字使用双写绕过
空格被过滤使用$IFS绕过
将命令执行结果使用重定向写入文件
PAYLOAD如下:


MISC
Sign-in

DORAEMON
爆破得到压缩包密码
根据提示修改图片高度,发现二维码
二维码补全定位块
扫描

本文记录了作者参加HSC1th2022网络安全夺旗挑战赛的解题过程,涉及Web、Crypto、Misc、Re等多个领域的题目。作者通过分析JS代码、利用robots.txt、系统命令执行、文件头识别、隐写术、栅栏密码、RSA加密等技术解题,展现了丰富的网络安全技能。文章还分享了部分题目解题的关键步骤,如Base64解码、Wireshark流量分析、PDF隐写等。
1974

被折叠的 条评论
为什么被折叠?



