6.1 校赛

Misc

贝斯兔子

先base58解密,在rot47解密

1717231546857-f6e2297b-b078-4935-bcc1-124e097b6e98.png

1717231519300-fefdd91f-1ff0-4f3f-8628-1bbf458b80a7.png

社工

1717242534276-d786a98c-d555-4b05-abf1-ae0449cb6c17.png

1717242549333-279b5577-cd03-44d8-8a3b-5de3a02e5b25.png1717242548609-3a05b653-10e9-4e27-91f8-0abf951c6121.jpeg1717242553396-a12e9819-cb1c-4e16-a68b-1ad37102d29f.png

Web

signin

1717211280990-a682b70c-f0ef-423d-9452-e1d523fd627b.png

检查网页源代码就行

Ezphp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php 
    highlight_file(__FILE__);
    error_log(0);
    include('flag.php');
    if(isset($_GET['num'])){
        $num = $_GET['num'];
        if(!preg_match('/0/', $num)){
            if($num==="4476"){
                die("no no no!");
            }
            if(intval($num,0)===4476){
                echo $flag;
            }
        }
    }
?>

因为 intval 在处理以 0x 开头的字符串时会将其解释为十六进制数,所以可以通过传递 0x117c(十六进制的 4476)来绕过 $num===”4476” 的检查,同时使 intval($num, 0)===4476 成立,从而输出 $flag。

1717211988557-76dbdf02-6fe4-41b3-bf26-612eda5cc8a0.png

可以通过构造 URL http://10.21.16.70:8903//?num=0x117c 来利用这个漏洞,绕过类型和内容的检查,并获取 $flag 变量的内容。

但是本题目会筛选数字字符串的‘0’,而0x包含所以采用另外的方法

1717219211635-446df797-cde5-4357-a0ec-281cffdc817c.png

当某个数字被过滤时,可以给它增加小数位来绕过

Re

安卓签到

放入jad,找到main函数,发现是个base64加密,进行解密后得到flag

1717208249780-a221f12f-a353-4f61-8835-ab4416280f0a.png

maze

先查壳

1717235014932-8a164892-1997-4a0c-b3e3-7dc30eb6510b.png

放入ida32反编译

查看字符串,发现两串可疑的迷宫数据

1717235184343-b27c9e40-9b65-4e1c-bcf3-9ae09a0d8044.png

shift e导出字符串,然后手搓形成迷宫(不会py脚本)

1717235158503-51eb5980-4d75-48a8-988d-8f9e509587c3.png

然后MD5解密即可,两个都试一下

1717235145716-37c597e3-4a9d-4645-a7ec-113937b41c17.png

pyd

1717388134157-16040417-844d-4b7a-b980-5a4e574551e8.png

放入ida打开pyd,找到被变过的表

1717388156986-804ce4dd-d090-4b47-a527-d9be9cb6fdd4.png

1717388225516-e536cae2-0388-4910-b7bb-465eb3c2f410.png

更新: 2024-12-24 15:57:01
原文: https://www.yuque.com/chaye-apqbl/vsc85q/zfgrgm9k0w5pkmrb

http://example.com/2026/01/19/WP/2024/6.1校赛/
Author
chaye
Posted on
January 19, 2026
Licensed under