震惊!失踪博主竟然参加了这种比赛

   日期:2020-05-10     浏览:171    评论:0    
核心提示:这篇博文目的是为了让大家对CTF有一个了解,在这些不同的形式找到自己最喜欢的方向。python

CTF介绍与例题分享

大家好,今天在外面跟朋友一起愉快玩耍回来,听到新闻说某国确诊达到几百万,我不禁感叹

这么久没更新也是为了准备网鼎杯网络安全大赛,高校组的比赛明天就开始,比赛时长一共8个小时,在这期间为了这个陌生的比赛,花费了大量时间复习,感触良多,今天就给大家更新点不一样的,给大家分享一下这几天来的经历吧。

简介

“”网鼎杯”网络安全大赛是由国家网络与信息安全信息通报中心、深圳市人民政府、广东省公安厅联合支持,深信服科技股份有限公司、北京永信至诚科技股份有限公司联合主办,阿里巴巴(中国)网络技术有限公司、百度在线网络技术(北京)有限公司、奇安信科技集团股份有限公司、清华大学网络科学与网络空间研究院、深圳市腾讯计算机系统有限公司、中国科学院信息工程研究所联合协办的国家顶级网络安全赛事。“网鼎杯”网络安全大赛2018年在北京举办了第一届,共吸引了全国7000支队伍、2.25万人参赛,是我国迄今为止规模最大、覆盖面最广的一次高水平网络安全大赛,这对于进一步磨砺网络安全攻防能力,发现网络安全专门人才,提升全社会网络安全意识具有重要意义。
按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。

是不是听起来很高级的亚子,没错,我也是通过这次比赛的准备才知道有白客跟黑客之说。当我加入参赛选手群之前是这样的:

接下来问一个问题,在你们的群里面有人发广告是怎么处理的,大多数是管理员或者群主撤回吧,但是我们来看看这群大佬的sao操作:

后来就再也没人敢在群里发广告了。每次有人发这样的广告就有人喊“兄弟们,flag来了”,我就知道这群大佬要开动了。

那么肯定有小伙伴问flag是什么意思呀,这就跟这次主题一样,它是 CTF(capture the flag,也叫夺旗赛) 比赛的一个指标,选手解出相应的flag就会得分,有些题目脑洞大开,简直脑阔痛。
来看看比赛的考核范围;

嗯,我看到这里笑了笑,下意识的摸了摸自己的头,这发量果然还是不配参加比赛,事实也是如此。博主在毫不知情的情况下被安排了,选了逆向分析。(所以要多读书才不会被骗呐),比赛一共5个方向,misc(安全杂项)要求都学,其他方向选一个学习就行,当然大佬可以全选。

比赛的大致安排如下:
1.比赛共分三轮,分别是线上官方资格赛、线下半决赛、总决赛。其中,线上官方资格赛和线下半决赛为晋级赛。
2.参加线上官方资格赛的参赛队伍,按照行业属性分成四组,分别是青龙组(高等院校、职业院校、社会参赛队伍)、白虎组(通信、交通、国防、政务部门等单位)、朱雀组(能源、金融、政法、其他行业单位)、玄武组(科研机构、科技企业、互联网企业、网安企业等单位)。通过线上官方资格赛晋级线下半决赛。晋级参赛队伍名额分别为:青龙组 130 支,白虎组 130 支,朱雀组 140 支,玄武组 100支。

那么废话不多说我们直接上题(以misc为例)

this_is_flag46
难度系数: 2.0
题目描述:Most flags are in the form flag{xxx}, for example:flag{th1s_!s_a_d4m0_4la9}

第一眼看到的时候都不知道是啥,结果去看别人的解答,发现flag就在整个题目里,flag{th1s_!s_a_d4m0_4la9}。如果你就提交括号里面的那么还是错的,基本格式是flag{字符串}。看似很基础,但是对于新手也知道了规范的的重要性。

pdf
上来就给我们一个pdf文件,前几次在知乎看到过类似的,flag就应该是在图片后面,果不其然

到这里是不是觉得还挺好的,不,更有意思还在后面
3.
题目描述:一份报文如下c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2,生气地掀翻了桌子(╯°□°)╯︵ ┻━┻

嗯!!!!!,题目确定没错,一大堆字符串。然后我这个卑微的小白只好再次求助大神的帮助
没想到还要用Python转码,因为ASCII码表示范围是0-127(扩展的无法表意),而这里的字节都大于128,所以 减128就自然而然的出来了。
因此正解如下:
解密代码:

解密代码:

string = "c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2"
flag = ''
for i in range(0,len(string), 2):
    s = "0x" + string[i] + string[i+1]
    flag += chr(int(s, 16) - 128)
print(flag)

如果你觉得你还能接受,那么更难受的就要来了

题目直接给了个表情包

细心的小伙伴会发现这张gif到结尾有一个二维码,没错,解题方向你就找到了,那么怎样把这个二维码存下来呢
这里要用到隐写工具-----stegsolve
这个隐写工具不能直接打开,他是个jar文件。说到这里熟悉Java的小伙伴就应该知道怎么打开了吧。没错,就是用DOS命令打开

命令行如图
回车后,在你电脑左上角会出现这个(具体位置都不一样,博主的电脑做出来是这样的)

第一步是将图片导入进去
File>open
第二步是选择Analyse
打开后功能如下
File Format: 文件格式,这个主要是查看图片的具体信息

Data Extract: 数据抽取,图片中隐藏数据的抽取

Frame Browser: 帧浏览器,主要是对GIF之类的动图进行分解,动图变成一张张图片,便于查看

Image Combiner: 拼图,图片拼接
本题需要第三个功能
当调整到第50帧的时候就会发现

等到这里你还会发现二维码是乱的,这还需要ps来拼接。又是一根软肋,虽然这学期有ps课程,但是也可以知道别人身上的是艺术细胞,我身上的是艺术细菌,看看我的期中考查作业就知道了。


本次分享就到此结束,以上题目都是由攻防世界里面提供的,有兴趣的小伙伴可以去试一试。
网址:https://adworld.xctf.org.cn/
ps:

希望努力的你都可以变成这样的高手。

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
更多>相关资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服