開學第四周刷題總結

Crypto

萌萌噠的豬八戒
題目：萌萌噠的八戒原來曾經是豬村的村長，從遠古時期，豬村就有一種神祕的程式碼。請從附件中找出程式碼，看看萌萌噠的豬八戒到底想說啥 注意：得到的 flag 請包上 flag{} 提交
接下來我們下載附件
剛開始不知道下面的那些符號是什麼意思，就想著先丟到winhex中看一下有沒有什麼發現，結果沒有什麼發現，然後我們就研究一下這下面的一串字元吧，上網查了一下才知道這個是豬圈密碼對照著這個表我們就能解出來裡面的flag了

Misc

wireshark
開啟題目壓縮包之後，我的介面直接跳轉到wireshark介面

看到它的檔名"登入",我們可以想到HTTP POST請求，用wireshark開啟這個pcap封包後，在搜尋方塊輸入http.request.method==「POST」，然後搜尋
我們按照圖片上的查詢找到password然後就找到我們的flag了

Web

webshell
開啟連結我們看到
然後我們想到蟻劍，中國蟻劍是一款開源的跨平臺網站管理工具，它主要面向於合法授權的滲透測試安全人員以及進行常規操作的網站管理員。通俗的講：中國蟻劍是 一 款比菜刀還牛的shell控制端軟體
我們首先輸入url網址，然後那個密碼應該就是上面的shell
然後我們開啟後面的網址，得到
開啟flag.txt，我們就可以看到flag了
get_post
首先我們開啟連結http://220.249.52.133:30232/，然後看到提示
根據提示我們get方式提交一個a=1的變數
然後又看到以post方式提交，所以我們就用到火狐瀏覽器了，我們把剛才的網址輸入進去
然後再用post方式隨便提交一個名為b，值為2的變數然後flag就有了
simple_php
首先我們開啟題目連結http://220.249.52.133:39537/，然後得到一串程式碼
我們觀察一下程式碼的含義，這個程式碼應該分為兩部分，就是以GET方式獲得兩個引數a和b，如果a和b滿足一定條件，則列印flag1和flag2，猜測將flag1和flag2拼接就能夠得到完整flag，a的那部分比較簡單a=0e1就可以，get的b不能是數位，但又必須大於1234，這裡可以用b=12345a繞過綜合一下a和b，得到url為?a=0e10&b=12345a，我們輸入到網址上flag就出來了