2021年春秋杯网络安全联赛秋季赛 勇者山峰部分wp

1.签到题-Crypto

Vigenere

根据题目Vigenere可看出是维吉尼亚密码

使用在线解码工具破解

https://guballa.de/vigenere-solver

flag：flag{53d613fc-6c5c-4dd6-b3ce-8bc867c6f648}

2.Misc

helloshark

一张图片

010打开发现16进制有许多PK字样，对图片进行分离处理（foremost）

果然隐藏了压缩包，但是压缩包设置了密码，提示密码在图片里

猜测图片存在LSB隐写，使用工具zsteg进行检测

可以看到password为@91902AF23C#276C2FC7EAC615739CC7C0

解压压缩包，打开流量包

追踪TCP流

拼接flag

拿到flag：flag{a4e0a418-fced-4b2d-9d76-fdc9053d69a1}

 

secret_chart

一张图片

老样子，拉010，分离

得到一个加密的压缩包

密码没有给出任何提示，尝试爆破，成功，密码9527

解压，打开excel文件

尝试二进制转字符串，乱码没成功

比赛的时候到这我就没思路了

 

复现：

看了别的师傅的wp后来复现一下

表格是由6个月份构成的，左侧和底边都是1，猜测是二维码

先将6个月份的数据放在一起，并把行高列宽统一一下

添加个条件格式，字符串包含1的时候背景填充为黑色

微信扫描不出来，截图二维码

DataMatrix二维码在线解码工具

http://boy.co.ua/decode.php

解码得到一个像flag的字符串

zfua{B3s1o9in1Nw0halUnofuNc0HM1}

凯撒密码一把嗦

拿到flag：flag{H3y1u9ot1Tc0ngrAtulaTi0NS1}

 

问卷调查

这个就不用说了吧

 

3.Web

unser_name

御剑扫出源码，访问www.zip下载源码

审计了一下源码，发现以我现在的水平绕不过去

就放弃了

 

最终排名

本人小菜鸡一枚，如哪里讲的不好，欢迎各位师傅们指正，蟹蟹