N0rw3g1an_Wo0d 战队WriteUp

一、战队信息

战队名称：IN0rw3g1an_Wo0d 战队

战队成员：Lwrzgo、Annms_、laingxi

时间: 2024/4/1 10:00 — 2024/5/1 10:00

WP 格式：Challenge | status | working:

二、解题过程

Misc:

签到 | SOLVED |236233:

descript

descript

zzl的护理小课堂 | SOLVED |236233:

正常答题的话会这样子

descript

但是我们看源码可以发现，这是通过判断 score 是不是大于100来给出flag

descript

所以我们只需要在判断前设置个断点，直接修改变量的值就可以获取flag了

descript

get it！

descript

ez_隐写 | SOLVED |236233:

第一层是个伪加密压缩包

descript

解压之后有个13.2MB的hint.png但是打不开

descript

用PuzzleSolver修复一下

descript

得到压缩包密码：20240401

看来是隐写，继续用工具修复

descript

这时候把眼镜摘了，用400度的眼睛看和脑补

你会发现你看到了XYCTF{159-WSX-IJN-852}

descript

ZIP神之套 | SOLVED |236233:

运行显示这个

descript

像是回文，尝试生成字典，但是破解失败

descript

descript

查了下ZIP常用的加密类型，发现那个更像是掩码
descript

得到密码了

然后两个zip，一个加密一个不加密

descript

内容物差个md文件

descript

符合明文破解的祥子，使用明文破解

descript

得到文件，一眼丁真

descript

TCPL | SOLVED |236233:

010看发现是elf文件

descript

用Linux安装好库文件，然后后运行，有个flag但是不对（被摆了一道）

descript

其实是要把1换成0啦：FLAG{PLCT_An4_r0SCv_x0huann0}

game | SOLVED |Annms_:

拿到题目，一眼PAPERS,PLEASE 秒了

熊博士 | SOLVED |Annms_:

拿到题目，小纸条内有一神秘字符串，随波逐流一把，秒了

descript

真>签到| SOLVED |236233:

010秒了

descript

我的二维码为啥扫不出来？| SOLVED |236233:

根据给的加密脚本可以知道是随意地反转某行某列颜色

descript

descript

但是呢，根据常识我们可以知道二维码固定不变的是这种格式

descript

所以我们可以反推二维码反转的行列，我用画图粗鲁地改了下

descript

解码是：flag{qR_c0d3_1s_s0_fun}

美妙的歌声| SOLVED |Annms_:

附件是一个wav音频，用Audacity看之频谱图

descript

似乎是个密钥之类的，总之不是flag

使用Silenteye查看之无

那就是deepsound

descript

解密之 descript

osint1| SOLVED |Annms_:

观察图片可知重要消息：滨海新区

descript

在高德地图搜索该称，共有五个结果，最上面的是天津市滨海新区，随后尝试搜索滨海新区风力发电，但都不匹配，排除之

尝试直接识图搜索，找到一个xhs贴

descript

随后可以根据博主内容确认该滨海新区位于江苏海安

descript

拿到位置

descript

descript

osint2| SOLVED |Annms_:

descript

可知洛阳龙门站，时间是三月二十六1510时

descript

查询到该车次

随后对洛阳景点依知名度枚举得到结果为老君山

EZ_Base1024*2| SOLVED |Annms_

descript

Ez_osint| SOLVED |Annms_

descript

拿到截图，根据左上角可以得知这应该时一个时间胶囊/邮局的邮件

长长的小作文，且能直接搜索到同样的文本

那么这肯定是公开且有一定知名度的了

随后在时光邮局->公开信找到flag

descript

Web:

warm up| SOLVED |236233:

首先分析代码，意思是满足三个条件：

1.val1 变量和 val2 变量值不同但md5 判断相同

这个我们可以利用md5 弱比较漏洞来实现

让val1=240610708 val2=QNKCDZO使得md5都是0e开头

md5的值和md5内容相同

这个同理，而md5=0e215962017和md5值都是0e开头

XY和XYCTF的值相同且md5和XYCTF_550102591相同

同理让XY=0e215962017、XYCTF=0e215962017得到

给出个提示是LLeeevvveeelll222.php

descript

然后访问

descript

得到这个，这个就是利用perg_match无法处理数组的漏洞以及preg_replace的/e漏洞执行命令

我们cd / ，发现有个flag 文件，读取得到flag

descript

ezMake | SOLVED |236233:

makefile读取文件

descript

ezhttp | STUCK |236233:

f12：

descript

head似乎有点东西，但是访问失败

descript

descript

Reverse:

喵喵喵的flag碎了一地 | SOLVED | Annms_:

descript

拿到题目，出题人非常贴心的教我一步一步做逆向

descript

跟着步骤一步一步走，拿到第一第二部分 descript

打开这个函数，x一下发现func718引用到了它

descript

这里犯了个错误，无脑F5导致丢掉了一部分，查看汇编即可解出 descript

聪明的信使 | SOLVED | Annms_:

descript

descript

IDA一下即可解出

Trustme| STUCK |Annms_

拿到附件是一个apk

用jadx反编译之：

descript

从MainActivity中我们可看到Onclick函数是一个RC4加密->校验的过程

且验证的是密码

反解之：

descript

似乎拿到了密码和用户名的hint，但是不知道为什么不对

descript

The cover picture of the previous content

【CTF】WriteUp-CTBUCTF 2024

The cover picture of the next content

「补档」【CTF】WriteUp-2023-2024季MiniNK工商选拔赛

Lwrzgo

网站的管理员，似乎是个萌新🤔，CTBUer