VishwaCTF 2023 Writeup
内容提要
在VishwaCTF 2023比赛中,选手通过目录扫描、爆破和代码审计等技术成功获取多个flag。比赛挑战包括RCE、隐写术和密码破解,选手使用Burp、GitHack和Audacity等工具展示了他们的网络安全技能。
关键要点
-
选手通过目录扫描发现 /sitemap.xml 文件,获取用户名和密码列表。
-
使用 Burp 工具进行爆破,成功获取账号密码并提升为管理员用户。
-
发现 .git 文件泄露,利用 GitHack 获取 flag。
-
通过 Dnslog 测试发现可以进行远程代码执行 (RCE),使用 tac 绕过过滤获取 flag。
-
在网页源代码中发现漏洞,利用数组绕过获取 flag。
-
通过修改 URL 参数执行系统命令,获取 flag。
-
下载的图片中隐藏了音频文件,使用 Audacity 提取频谱图得到 flag。
-
对无后缀文件进行分析,发现 Base64 编码并解码得到 flag。
-
通过摩斯电码和音频处理获取主角名字,最终得到 flag。
-
使用 pyinstxtractor 反编译 Python 文件,获取 flag。
-
通过分析邮件内容破解压缩包密码,成功获取 flag。
-
分析 USB 流量数据,解密得到 flag。
-
使用维吉尼亚密码解码字符串,最终得到 flag。
延伸问答
VishwaCTF 2023比赛中选手使用了哪些技术获取flag?
选手使用了目录扫描、爆破、代码审计等技术获取多个flag。
如何通过Burp工具进行账号密码爆破?
选手使用Burp工具进行爆破,成功获取账号密码并提升为管理员用户。
在比赛中如何利用.git文件泄露获取flag?
选手发现.git文件泄露,使用GitHack工具直接访问得到flag。
比赛中如何进行远程代码执行(RCE)?
通过Dnslog测试发现可以进行RCE,使用tac命令绕过过滤获取flag。
如何通过音频处理提取隐藏的flag?
选手下载的图片中隐藏了音频文件,使用Audacity提取频谱图得到flag。
在VishwaCTF 2023中,如何破解压缩包密码?
选手通过分析邮件内容,使用字典爆破成功获取压缩包密码。
