本文文章来源：

文章作者: Harvey

文章链接: https://harvey.plus/2021/05/16/2021CISCN/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Mssn Harvey！

第一卷-Web

easy_source

来源于：https://r0yanx.com/2020/10/28/fslh-writeup/

php反射，使用ReflectionMethod内置类的getDocComment方法 , 然后爆破一下rb的值得知函数名q，进而得到flag：CISCN{1yVxf-Nt5Gc-ITZhp-6rqwI-2sE6S-}

payload：

easy_sql

报错注入 + 无列名注入

卷不动了~

第一卷-Misc

tiny_traffic

首先在流量包中提取出test与secret两个br文件

接着我们找到脚本解码得到对应的proto3文件test1、secret1

附上下载地址：https://pan.baidu.com/s/1acusuaH05vnw4Mczjj1qSQ（提取码：ddql）

最后在用protoc解密，整理得到flag：CISCN{e66a22e23457889b0fb1146d172a38dc}

附上安装protoc命令（Linux-kali）

running_pixel

首先分解gif（得分解为png或者bmp的，要是jpg最后整出来可能会导致像素信息损失）

接着把每一帧的rgb是233 233 233的像素放到一张图上，跑下脚本得到画好的382张图

关键就在于通过对比每十帧里的相同的图片，进而找到（233，233，233）这个点

最后解出来了出题人还要恶心你一下，一帧一帧按顺序去看就能得到flag：CISCN{12504d0f-9de1-4b00-87a5-a5fdd0986a00}（PS：382张图，字还特小）

放个flag的gif演示图

附上脚本

第一卷-Reverse

glass

反编译发现在so层加密，解包打开IDA，分析函数得知是rc4加密，跑下脚本得到flag：CISCN{6654d84617f627c88846c172e0f4d46c}

附上脚本

from Crypto.Cipher import ARC4

res = [0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA8, 0x2D, 0x42, 0xC7, 0x6E, 0x3F, 0xB0, 0xD3, 0xCC, 0x78, 0xF9, 0x98, 0x3F]
key = b"12345678"
rc4 = ARC4.new(key)
key = list(key)
for i in range(39):
   res[i] ^= key[i % 8]
for i in range(0, 39, 3):
   tmp0 = res[i]
   tmp1 = res[i+1]
   tmp2 = res[i+2]
   res[i] = tmp1 ^ tmp2
   res[i+2] = tmp0 ^ res[i]
   res[i+1] = res[i+2] ^ tmp2
print(rc4.decrypt(bytes(res)))

第二卷-Web

middle_source

session文件包含

扫描web文件得到了.listing，.listing文件内容有个php文件you_can_seeeeeeee_me.php

访问you_can_seeeeeeee_me.php是个phpinfo()，有开PHP_SESSION_UPLOAD_PROGRESS，并且拿到了session的路径: /var/lib/php/sessions/jehaahfcad/

这样我们可以通过上传文件，然后使用文件包含执行这个/var/lib/php/sessions/jehaahfcad/sess_xxxxxxxxxx文件

phpinfo有ban了函数 , 不能执行命令，所以用scandir去读取目录

第二卷-Misc

隔空传话

首先我们拿到了一堆加密的通话数据，得知是短信编码中的PDU（但是给的数据过多，懒狗肯定想办法整个批量的

附上批量脚本

接着根据pdu信息里本身包含的时间信息排序，排起来就是一张png（指的是后面的16进制数据

附上排序脚本

最后crc爆破宽度会发现前面解码给的w465意思就是宽度是465，进而整理得到flag：CISCN{15030442_b586_4c9e_b436_26def12293e4}（手动滑稽~

第三卷-Misc

robot

把TCP的第一个流导出来，然后所有的坐标都在里面，提取一下就能得到flag：CISCN{easy_robo_xx}

附上脚本

文章作者: Harvey

文章链接: https://harvey.plus/2021/05/16/2021CISCN/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Mssn Harvey！