|
|
Web
web_1(score:50)
来搞web了,先瞅瞅基础姿势 http://web.sycsec.com/a59817b3061870c0/
解法:打开网址发现是一张图片,图片上说明flag在别的地方,使用burpsuite进行抓包,在Response中即可看到flag
flag:SYC{This_1s_Http_he4der}
web_2(score:50)
来搞web了,先瞅瞅基础姿势 http://web.sycsec.com/ce9b3a20d290fbc8/
解法:打开网址,看到的是
所以是要admin用户登录,但是有没有登录框,所以就cookie方面。
用Firefox将cookie中的Cookie: whoami=guest%40geekgame; root=o;改成Cookie: whoami=admin%40geekgame; root=1;,刷新页面
flag:SYC{Welc0me_b4ck_4dm1n}
Social Engineering(score:200)
有一天我捕了一只狗师傅,嘴里叼着一张纸,纸上赫然写着:http://web.sycsec.com/36da077bd47665ae/ (解题不需要联系题目邮箱和电话号码,请不要试图联系题目的邮箱和电话号码)
解法:看到题目,社会工程学。
fun678@126.com
13904011607
我是一个有贴吧的男人!
到70sec社工库查询两个信息,都看到肖力这个名字,然后到贴吧里面搜这个肖力吧—看了帖子的日期,有个是近期的,而且还有个扣扣贴出来3077791373,加了这个扣扣为好友,看了信息确实是和比赛有关的,看了资料没见什么有用的信息,翻空间,最后在留言板哪里看到了这样一句话:听说域名的注册人联系号码就是flag诶!!!
但是不知道是哪个域名,那就查吧。查了主页的,发现注册人是叫胡浪宇邮箱:casperkid.syclover@gmail.com。然后没有什么信息了。google了一波
flag:SYC{13412341234}
sqli1(score:100)
呃,听说这个和数据库有关呢-,- http://web.sycsec.com/d03e52c272e42e7c/
解法:看题目,是注入。看源代码,发现Tip:sycid
URL:http://web.sycsec.com/d03e52c272e42e7c/?sycid=
然而,这些信息好像在手工上没什么用处,试试用sqlmap跑
sqli2(score:150)
我是萌萌哒sqli2:http://web.sycsec.com/a2274e0e500459f7/
解法:一个登陆框,应该是post注入。
试了试,是在username和password存在,
这种还是老老实实的抓包丢到sqlmap里面跑吧。
但是解不出来,应该是有限制的,抓包修改了debug的值,出现:
这时候想起来,post注入不是还有另一种,不用抓包的
另一种方法:(修改post提交,简单说就是万能密码)
payload:’ union select 1,1# 或 admin’ or ‘1’=’1
127.0.0.x(score:200)
落雨声滴答滴滴,回荡着轻声细语:http://game.sycsec.com:50080/69e57206e1bc2a23/
解法:查看源代码发现一串base64加密:
是查询127.0.0.2,但是127.0.0.1–255的结果不都一样的吗,然后就伪造IP个个尝试访问,发现每个返回滴滴的个数都不一样,所以写个脚本遍历1–255这个段,引用一航同学的代码
跑完之后我们对打印出的数据进行分析 :
首先去掉每次请求返回的重复数据
然后通览全文 , 直接发现没有被去掉的就是flag.
当然,也可以这样
flag:SYC{Shan_Dong_Ren_Xiong_Qi}
php_is_fun(score:200)
phpinfo() is disabled; http://game.sycsec.com:50084/
解法:在服务器端访问以http://127.0.0.1/开头的一个页面 ,
将页面的内容保存到服务器的web目录下的upload文件夹下,总的来说大概就是上传获取。
(过程的payload显示得莫名其妙,就删掉了)
最后看了一航同学的payload,发现是编码问题。
最后连一句话读upload下的内容
flag:SYC{3992a1e498d69161}
饶了个弯将一句话才写进去
撸啊撸(score:300)
喜欢玩LOL么 http://lol.sycsec.com
解法:貌似也是有注入的,在Referer,但是前面已经两道注入,但是又发现有个download.php,尝试下download.php可以下载源码,然后下载display.php,在里面发现config.inc.php,下载下来,
数据库的链接所需数据。
在api.php中发现执行Sql查询的语句
既然是程序和用户交互的地方,因为这种地方在参数传递的时候没有对参数的类型和正确性进行判断,那就会留给我们利用的余地。
我们再看看这个:
根据运算优先级知道,$check 这个变量的值就只取决于 $img_num.所以只要满足$img_num,就相当于$check也满足了。而剩下的$img_first就可以用来构造我们所需要的语句了。
构造:
之前看了代码知道id,path这两个是显示图片的参数。到了这里就卡住了,这时候一航同学又一次的站了出来(找一个有写权限的目录)。既然可以用联合查询语句,mysql就用into outfile那就尝试下写个shell,因为是linux系统,测试默认地址。
根目录写入不成功。在浏览网站的时候,我们知道有个images目录,那就尝试这个目录
能访问成功。写一句话。在根目录下找到Flag123asdzpoiwqsd.php,下载一波
皓宝宝的留言板(score:150)
http://web.sycsec.com/42e1f42bcf3c0cfc/ 听说有很多妹子在这里写下她们对皓宝宝的爱慕之情 学习资料:https://github.com/l3m0n/XSS-Filter-Evasion-Cheat-Sheet-CN
解法:看了题目,就知道是XSS了。我们就直接用给的资料里面的参数进行测试。直接用xss平台。偷了一波cookie
flag:SYC{oo_y0u_kn0W_xss}
人生苦短(score:150)
http://web.sycsec.com/40a9ddba689f8200/
解法:打开网站,将方程32+64+py=10(次),py=?解出来提交py,得到Now You See Me,查看源码,发现狗师傅不想理你,并向你丢了一坨神秘代码
看到等号,首先想到base64,但是发现都是大写,没有小写,考虑到是base32解出来发现是base64,再解发现是base32这样交替循环着
flag;SYC{I_Love_You}
狗师傅的计算器(score:200)
狗师傅说fuck my brain:)。http://game.sycsec.com:50085/
解法:文件包含….打开页面,发现是
在看到robots.txt后,发现是brain fuck,下载个brainfuck.exe进行转码(将代码复制下来保存在brainfuck.exe同目录下,并命名为test.b),结果是welcome.php。当然,也可以用Python来解析
执行python brainfuck.py xxx.bf
在看robots.txt的时候发现有个包含
觉得这道题是文件包含。看了robots.txt知道,在result.php里面有一个get请求,请求头是syc,有戏。
包含的其实是syc.php,只不过在末尾会默认添加php,所以写个syc就可以了。
得到一串base加密密文,拿去解密即可;
flag:SYC{php_iS_Fun}
Only number never lies to you(score:250)
http://game.sycsec.com:50082/ Only number never lies to you. Tip:dir
解法:进入界面之后Only number never lies to you 151029103521**,仔细看那一串数据,发现将5改为6,就是我现在访问的时间(只有数字不会说谎),题目提示dir—–>列目录。那目录名应该就是由数字组成的。所以应该是—->访问时间+两位数字
上传(1)(score:100)
解法:试了几个上传的后缀名,上传phtml成功出flag。
flag:SYC{Ohno_y0u_f0und_me}
上传(2)(score:100)
http://game.sycsec.com:50081/接上一个题目,还有flag哦!
解法:上一道题上成功后,得到上传的地址。因为是上传了一句话,所以就直接用菜刀直接连,但是连接过去提示了所上传phtml中的内容,可能大概的过滤掉了某些参数。尝试了几个
连接即可。
flag:SYC{bRa1Nf4Ck}
思考:上传2的shell和php_is_fun的shell所在的服务器是一样的,但是为什么会有不一样的权限。
为什么同一台服务器的shell权限不一样,然后就去问了客服小哥。小哥说只有一台服务器,但是题目是用docker搭建的。
你是人间四月天(score:150)
岁月不堪数 故人不知处 最是人间留不住 http://game.sycsec.com:50080/9392d16bb9fbda00/
解法:打开页面。发现两个选项都是no。
qq%e6%88%aa%e5%9b%be20161025004524
改成yes出现
想到的是伪造,然后尝试了
Referer:来源伪造—>失败
X-Forwarded-For:ip伪造—>失败
Host:指定访问的http服务器的域名/IP 地址和端口号—>成功
出现flag:SYC{Where_can_i_find_yuo_girl}
Misc
签到题(score:10)
SYC{We1c0m3_To_G33k_2O!6}
xiao彩蛋(√已完成)
听说关注微博关注后私信有彩蛋
解法:刚开始我是关注了:微博关注,果然是想太多,然后关注三叶草小组的微博之后私信发送flag就可以得到
闪的好快(score:150)
http://down.sycsec.com/misc/masterGO.7z 这是二维码吗?嗯。。。是二维码了,我靠,闪的好快。。。
解法:是一个gif动态二维码图,用GIF Movie Gear将图片打开,以此扫描即可
flag:SYC{F1aSh_so_f4sT}
Come_game(score:50)
听说游戏通关就有flag https://pan.baidu.com/s/1dE1zzWH
解法:.小基友硬玩过关得到flag,另一种解法:打开游戏,在目录下会生成一个save的文件。用Winhex01 32改成01 35,原理就是:第一关是32,过一关就+1,一共3关,所以改成35后重新进入游戏就可以通关了。
flag:SYC{6E23F259D98DF153}
###snow(score:50)
NO KEY NO FLAG http://down.sycsec.com/misc/snow.html
解法:源代码中key:syclover2016,抓包看看。
但是发现一个奇怪的地方,就是用Firefox+burpsuite抓不到包,而用chrome+burpsuite是可以的。这时候看了官方给的提示,知道是隐写题,使用snow加密的
解密命令:
这里最坑的就是,用转存的页面是解不出来的,要查看源代码,复制出来的页面才能解。
旋转跳跃(score:100)
熟悉的声音中貌似又隐藏着啥,key:syclovergeek 链接: https://pan.baidu.com/s/1hsdncKs 密码: xu5b
解法:MP3的隐写题,看到是有key的。想到了MP3Stego。
凯撒部长的奖励(√已完成)
就在8月,超师傅出色地完成了上级的特遣任务,凯撒部长准备给超师傅一份特殊的奖励,兴高采烈的超师傅却只收到一长串莫名的密文,超师傅看到英语字串便满脸黑线,帮他拿到这份价值不菲的奖励吧。 密文:
解法:丢去凯撒解密就可以了
MD5cracker(score:50)
01540f319ff0cf88928c83de23l27fbb 狗师傅说flag是解出MD5后加上SYC{}哦!
解法:因为仔细一看,发现了l,就改成了1,就直接解出来了
flag:SYC{clay}
PEN_AND_APPLE(分数:150)(√已完成)
狗师傅平日里比较害羞,但是又想追女神,于是他隐藏了一段信息在这段自拍中,这句话是他最想对女神说的话:) 你能找到信息,并帮助狗师傅表白成功么:) 视屏在这儿:)https://pan.baidu.com/s/1slu5Vwp
解法:下载下来发现是ppap,最近很火的。这道题还是等到了官方给出提示之后才做的。提示:该题目与Windows下的type命令有关 , 而且文件为rar格式压缩也印证了这一点 , 因此想到可能是NTFS流文件 , 直接使用工具(NTFS Stream Info)进行提取 , 注意在解压压缩包的时候要使用winrar , 因为只有winrar才支持保留ntfs流文件 , 解压后使用工具进行扫描提取 , 得到一张图片 , 图片中的内容即为flag
藏着小秘密的流量包(分数:200)
http://pan.baidu.com/s/1cwwdVC有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
解法:因为文件太大,所以怀疑。参照http://blog.sina.com.cn/s/blog_ab9229c10102wp0n.html
flag:SYC{this_is_bluetooth
Linux
1、linux_1(score:150)
这是一个docker镜像文件,答案就隐藏在深处的一个文件中,你能找到它吗?链接: https://pan.baidu.com/s/1hsjYDqk 密码: a1ux
2、linux-2(score:150)
接着找呀,还有一个flag文件
3、继续继续,听说有一个用户的密码是syc和一个生日组合的(年月日格式),请帮忙找回它,最后flag为:SYC{用户密码}
解法:由于这三道都是同个docker镜像文件,所以统一写,如果没接触过docker
就去这里看看它的基本命令。
首先将tar文件拷贝到另外的一个docker daemon上,就可以直接通过docker load来加载镜像,之后直接 sudo docker load -i geek_linux.tar这样就可以将geek_linux.tar文件中所包含的镜像导入,加载成image的形式,之后再docker image -a就可以发现.然后就每个文件都看一下。
1.发现在/usr/local/etc/发现了geek文件夹,ls无果,有可能是隐藏的文件,用find -name “.*”,发现有个.flag打开就有flag。
2.在翻目录的时候在/root/下发现了F1Ag2.swp,这个是vim异常退出而产生的文件,vim -r F1Ag2.swp恢复,然后打开得到flag。
3.因为是用户密码,而用户密码凭据在shadow文件中,所以我们将shadow文件复制下来,用john进行破解,在弄的时候,手上的Ubuntu抽风了。
生成字典:
由于开始我没有考虑单数的问题,所以。。。。参考了一航同学的才想起来
flag1:SYC{L1Nux_1s_Fun_F0r_uS}
flag2:SYC{40ac6ed53f18a051}
flag3:SYC{syc19770308}
Program
compress300(score:250)
是master go就解压300层 http://down.sycsec.com/programme/300
解法:利用Python中的tarfile,zipfile
刚开始不知道是几个格式。
flag:SYC{c0Mp4esS_666_3o_O}
单身二十年,手速一定快(score:200)
http://web.sycsec.com/0b3a7c6ca7f1f2e6/ 狗师傅说这道题要跑跑脚本呢:) 跑出后找qq:3245037532 推荐一下python学习链接啦:)http://pan.baidu.com/s/1hsdTlgo
解法:Isron同学的脚本借鉴
flag:SYC{web_is_fun}