# CTF ## [Natas](https://overthewire.org/wargames/natas/) 0) natas0: natas0 http://natas0.natas.labs.overthewire.org/ 右鍵檢查 Source Code 原始碼，在 HTML 的 Comment 中找到 Flag 1) :::spoiler Flag 0nzCigAq7t2iALyvU9xcHlYN4MlkIwlq ::: http://natas1.natas.labs.overthewire.org/ - 按 Ctrl+U 檢查原始碼，在 HTML 的 Comment 中找到 Flag 2. :::spoiler Flag TguMNxKo1DSa1tujBLuZJnDUlCcUAPlI ::: http://natas2.natas.labs.overthewire.org/ - 按 Ctrl+U 檢查原始碼，發現有個 pixel.png - 查看其所在位置 /files/ 發現另一個 users.txt 並找到 Flag 3. :::spoiler Flag 3gqisGdR0pjm6tpkDKdIWO2hSvchLeYH ::: http://natas3.natas.labs.overthewire.org/ - 原始碼 Comment 提示 Google 也找不到 - 一般搜尋引擎使用 robots.txt 了解索引規則 - 於 robots.txt 發現不允許所有 agent 進入 /s3cr3t/ - 在 /s3cr3t/ 中發現 users.txt 並找到 Flag 4. :::spoiler Flag QryZXc2e0zahULdHrtHxzyYkj59kUxLQ ::: http://natas4.natas.labs.overthewire.org/ - 提示指只能從 natas5 前往 - 向伺服器請求網頁時可於 Headers 提供不同資訊 - 編輯 Headers 通常使用 Postman 或 ReqBin - 訪客來源可透過 referer 設置 - 記得要設置 Authorization 的 Username/Password - 發出請求後，可於回應中找到 Flag 5. :::spoiler Flag 0n35PkggAPm2zbEpOU802c0x0Msn1ToK ::: http://natas5.natas.labs.overthewire.org/ - Ctrl+Shift+I 開啟檢查器 Inspector - 在選單進入 Application - 在 Storage 部分找 Cookies - 找到 natas5 網頁的 Cookies - 修改 loggedin 的值為 1 6. :::spoiler Flag 0RoJwHdSKWFTYR5WuiAewauSuNaBXned ::: http://natas6.natas.labs.overthewire.org/ - 按 View sourcecode 顯示使用了 PHP - PHP include 從其他位置取用代碼 - 前往 /includes/secret.inc 知道 $secret 的賦值 - 回到表格輸入該值便可取得 Flag 7. :::spoiler Flag bmg8SvU1LizuWjx3y7xkNERkHxGre0GS ::: http://natas7.natas.labs.overthewire.org/ - Ctrl+U 原始碼提示位置在 /etc/natas_webpass/natas8 但無法直接取用 - 2 個連結透過 ?page= 存取不同頁面 - 透過 ?page= 存取對應位置便可得到 Flag 8. :::spoiler Flag xcoXLmzMkoIP9D7hlgPlh9XD7OgLAe5Q ::: http://natas8.natas.labs.overthewire.org/ - View sourcecode 顯示了 PHP 的加密邏輯及密語 - W3School 提供了 PHP 線上運行環境 - 從密語開始逆向解密，並用 Echo 函數顯示結果 - ```php <?php echo base64_decode(strrev(hex2bin("3d3d516343746d4d6d6c315669563362"))); ?> ``` - 回到表格輸入密碼便可取得 Flag 9. :::spoiler Flag ZE1ck82lmdGIoErlhQgWND6j2Wzz6b6t ::: http://natas9.natas.labs.overthewire.org/ - View sourcecode 顯示 PHP 將輸入內容 $key 用於 passthru 的指令中 - 起始說明 提及所有密碼存放於 /etc/natas_webpass/ - 輸入 ```bash ; ls -la /etc/natas_webpass/; ``` - 見到可讀取 natas10  - 輸入 ```bash ; cat /etc/natas_webpass/natas10; ``` - 讀取內容，並取得 Flag 10. :::spoiler Flag t7I5VHvpa14sJTUGV0cbEsbYfFP2dmOu ::: https://natas10.natas.labs.overthewire.org/ - View sourcecode 顯示 PHP 將輸入內容 $key 不允許 ; | & - 只用 grep 可輸入多個目標檔案 - grep 可用 .* 匹配任何文字規律 - grep 亦支援 ```--exclude="..."``` 排除指定檔案 - 輸入 ``` .* /etc/natas_webpass/natas11 --exclude="dict*" ``` - 讀取內容，並取得 Flag ## [picoCTF](https://play.picoctf.org/practice) ### [General Skills in CTF's](https://play.picoctf.org/playlists/14) 重點: - 編碼表將 整數 與 文字 一一對應 - ASCII(英文)、Big5(繁體)、GB(簡體)、Unicode(所有) - 進制轉換 bin(二進制)、dec(十進制)、hex(十六進制) - 登入 [Webshell](https://webshell.picoctf.org/)，輸入密碼時不會顯示 - 選取文字自動複製，```Ctrl+Shift+V``` 貼上文字 - ```Ctrl+L``` 清空畫面文字 - ```$ wget !link!``` 下載連結檔案 - ```$ ls``` 查看當前位置 - ```$ less !file!``` 分頁閱讀檔案，按 Q 退出 - ```$ cat !file!``` 簡易通用閱讀器，適合輸出短內容 - ```$ exiftool !file!``` 查看檔案屬性 - ```$ chmod +x !file!``` 添加運行權限 - Webshell 以顏色區分檔案/程式/資料夾 - ```$ ./!exec!``` 要有 ```./``` 執行當前位置的程式 - ```$ python !script!.py``` 執行 ```.py``` 檔案 - ```$ nc !link! !port!``` 連接遠端伺服器 - ```Ctrl+C``` 終止運行 或 ```exit``` 終斷連接 - ```$ unzip !file!.zip``` 解壓縮 - ```Tab``` 自動填寫指令 - ```$ cd !folder!``` [前往某資料夾](https://www.tokfun.net/os/linux/linux-cd-command/#Linux%E3%80%8Ccd_%E6%8C%87%E4%BB%A4%E3%80%8D%E5%88%87%E6%8F%9B%E8%87%B3%E3%80%8C%E6%A0%B9%E7%9B%AE%E9%8C%84%E3%80%8D) - ```$ cd ..``` 回到上一層 - ```$ cd ~``` 回到主目錄 - ```$ cd /``` 前往根目錄 - ```$ cd /tmp``` 前往空間較多的 picoCTF 暫存目錄 - ```|``` 用於連接多項指令，屬重要技巧 - ```$ grep !regex!``` 從大量文字中找出符合 [regex 條件](https://regexlearn.com/zh-cn/learn/regex101) 的部分 - ```$ grep -rni !regex!``` 從大量檔案中找出符合文字 - ```$ strings !exec!``` 針對運行檔抽取字串 #### [Lets Warm Up](https://play.picoctf.org/playlists/14?m=90) - 關鍵字: 0x70、hex、ASCII - [搜尋 ASCII](https://www.google.com/search?q=ASCII&tbm=isch) 找到 對照表 - HEX 0x70 的對應 ASCII 為 P - 留意用指定格式提交 Flag - :::spoiler Flag picoCTF{P} ::: #### [2Warm](https://play.picoctf.org/playlists/14?m=91) - 關鍵字: base 進制、bin 二進制 - [搜尋 42 to binary](https://www.google.com/search?q=42+to+binary) - 留意用指定格式提交 Flag - :::spoiler Flag picoCTF{101010} ::: #### [Warmed Up](https://play.picoctf.org/playlists/14?m=92) - 關鍵字: 0x3D、base 16、base 10 - [搜尋 0x3D to base 10](https://www.google.com/search?q=0x3D+to+base+10) - :::spoiler Flag picoCTF{61} ::: #### [Obedient Cat](https://play.picoctf.org/playlists/14?m=94) - 關鍵字: file 檔案 - 使用右方灰鍵 Webshell 並登入個人帳號，建議新分頁展開 - 安全理由，輸入密碼時並不會顯示 - 使用右鍵 > E 複製描述中的檔案連結 - 於 Webshell 輸入 ```wget ```及 空格 - 於 Webshell 按 Ctrl+Shift+V 貼上連結，然後 Enter - ```$ ls``` (於 Webshell 輸入 ls 查看當前位置) - 看到 README.txt 及 Flag 兩個檔案 - ```$ less Flag``` (於 Webshell 輸入 less Flag 閱讀檔案) - 於 Webshell 選取文字自動複製 Flag - 按 ```Q``` 結束(Kill) less 閱讀狀態 - :::spoiler Flag picoCTF{s4n1ty_v3r1f13d_28e8376d} ::: #### [Wave a Flag](https://play.picoctf.org/playlists/14?m=95) - 關鍵字: binary 亦解作可執行檔 - 複製連結及 ```$ wget !link!``` 下載檔案 ```warm``` - ```$ ls -l``` 發現 warm 只有 -rw-rw-r-- 權限 - ```$ exiftool warm``` 發現是 application 程式 - ```$ chmod +x warm``` 添加 e**X**ec 執行權限 - ```$ ls``` 發現顏色變化 - ```$ ./warm``` 執行 ```warm``` 提示添加 ```-h``` 標記 - ```$ ./warm -h``` 得到 Flag - :::spoiler Flag picoCTF{b1scu1ts_4nd_gr4vy_18788aaa} ::: #### [convertme.py](https://play.picoctf.org/playlists/14?m=96) - 關鍵字: Python、dec、bin - 複製連結及 ```$ wget !link!``` 下載檔案 - ```$ python convertme.py``` 執行 .py 檔 - 回答問題中的 dec2bin 轉換，答對便會得到 Flag - :::spoiler Flag picoCTF{4ll_y0ur_b4535_762f748e} ::: #### [what's a net cat?](https://play.picoctf.org/playlists/14?m=97) - ```$ nc jupiter.challenges.picoctf.org 41120``` 經指定 Port 連接遠端伺服器 - 取得 Flag 後按 Ctrl+C 終止運行 - :::spoiler Flag picoCTF{nEtCat_Mast3ry_3214be47} ::: #### [Nice netcat...](https://play.picoctf.org/playlists/14?m=98) - ```$ nc mercury.picoctf.net 22902``` 取得一串數字 - [搜尋 ASCII Convert](https://www.google.com/search?q=ascii+convert) 將數字轉換為 ASCII 字符得到 Flag - 按 Ctrl+C 終止 ```nc``` 運行 - :::spoiler Flag picoCTF{g00d_k1tty!_n1c3_k1tty!_d3dfd6df} ::: #### [Tab, Tab, Attack](https://play.picoctf.org/playlists/14?m=99) - ```$ wget !link!``` 下載 .zip 檔 - ```$ unzip A``` 輸入到 ```A``` 便按 ```Tab``` 自動填寫 - ```$ cd A``` 輸入到 ```A``` 按 ```Tab``` 多次自動填寫，進入最內層位置 - ```$ ls``` 查看位置檔案，發現可執行程式 - ```$ ./``` 輸入到 ```/``` 按 ```Tab``` 自動填寫，並運行程式取得 Flag - ```$ cd ..``` 回到上一層 - ```$ cd ~``` 回到根位置 - ```$ rm -rf A``` 按一次 ```Tab``` 自動填寫，刪除整個資料夾 - ```$ rm A``` 按一次 ```Tab``` 自動填寫，刪除個別文檔 - :::spoiler Flag picoCTF{l3v3l_up!_t4k3_4_r35t!_d32e018c} ::: #### [Python Wrangling](https://play.picoctf.org/playlists/14?m=100) - ```$ cd ~``` 回到根位置 - ```$ wget !link!``` 下載 3 個文檔 - ```$ python !script!.py``` 運行 ```.py``` 檔得到使用提示，觀察到 e/d 分別對應 **EN**crypt加密/**DE**crypt解密 - ```$ python ende.py -d Flag.txt.en``` 要求密碼 - ```Ctrl+C``` 退出 python - ```$ less pw.txt``` 找到並選取密碼自動複製，按 ```Q``` 退出 - 重新運行 ```.py``` 並提供密碼取得 Flag - :::spoiler Flag picoCTF{4p0110_1n_7h3_h0us3_dbd1bea4} ::: #### [Magikarp Ground Mission](https://play.picoctf.org/playlists/14?m=101) - 按題目界面的 Launch 啟動遠端伺服器 - ```$ ssh ctf-player@venus.picoctf.net -p 52668``` 以 ctf-player 身份經 52668 埠登入遠端伺服器 venus.picoctf.net - 輸入 ```yes``` 表示確認連接 - 輸入題目提供的密碼 abcba9f7 - 按題目要求 ```$ ls``` 查看當前位置發現 2 個檔案 - ```$ cat 1of3.Flag.txt``` 得到第一部分 Flag - ```$ cat instructions-to-2of3.txt``` 指示前往 ```/``` 根目錄 - ```$ cd /``` 前往根目錄 - ```$ ls``` 發現 2 個有用檔案 - ```$ cat 2of3.Flag.txt``` 得到第二部分 Flag - ```$ cat instructions-to-3of3.txt``` 指示前往 ```~``` 主目錄 - ```$ cd ~``` 前往主目錄並取得第三部分 Flag - ```$ exit``` 斷開 ```nc``` 連接 - :::spoiler Flag picoCTF{xxsh_0ut_0f_\/\/4t3r_21cac893} ::: #### [First Grep](https://play.picoctf.org/playlists/14?m=102) - ```$ wget !file!``` 取得檔案 - ```$ less !file!``` 發現檔案內容極長 - 按 ```/pico``` 及 ```Enter``` 搜尋發現 Flag，按 ```Q``` 退出 - 另一常用指令為 ```$ cat file | grep pico```，其中 ```|``` 用於連接多項指令，屬重要技巧 - :::spoiler Flag picoCTF{grep_is_good_to_find_things_5af9d829} ::: #### [First Find](https://play.picoctf.org/playlists/14?m=103) - ```$ wget !file!``` 取得檔案 - ```$ unzip !file!.zip``` 解壓縮檔案 - ```$ find !folder! -name *key*``` 搜尋局部檔案名稱，選取題目指示檔案完整位置後自動複製 - ```$ cat !file!``` 輸出指定檔案內容得到 Flag - ```$ rm -rf files files.zip``` 清空主目錄 - :::spoiler Flag picoCTF{f1nd_15_f457_ab443fd1} ::: #### [Big Zip](https://play.picoctf.org/playlists/14?m=104) - ```$ wget !file!``` 取得檔案 - ```$ unzip !file!.zip``` 嘗試解壓縮檔案，因檔案過大而失敗 - ```$ mv !file! /tmp``` 移動檔案至 picoCTF 提供較多空間的 ```/tmp``` 暫存目錄 - ```$ cd /tmp``` 前往 ```/tmp``` 暫存目錄 - ```$ unzip !file!.zip``` 成功解壓縮檔案 - ```$ find !folder! -name *key*``` 找不到 pico、ctf、Flag 相關檔案名稱 - 根據題目提示 [搜尋 grep every file in folder](https://www.google.com/search?q=grep+every+file+in+folder) 找到此[解答](https://stackoverflow.com/questions/15286947/how-to-perform-grep-operation-on-all-files-in-a-directory) - ```$ grep -rni CTF``` 找到 Flag - ```$ rm -rf /tmp``` 清空暫存目錄 - :::spoiler Flag picoCTF{gr3p_15_m4g1c_ef8790dc} ::: #### [Static ain't always noise](https://play.picoctf.org/playlists/14?m=105) - ```$ wget !link!``` 取得 2 個檔案 - ```$ chmod +x ltdis.sh``` 添加運行權限 - ```$ ./ltdis.sh static``` 按題目指示運行程式 - ```$ ls``` 發現程式生成了 2 個新檔案 - ```$ grep -rni CTF static*``` 針對新檔案成功搜尋 Flag - :::spoiler Flag 1020 picoCTF{d15a5m_t34s3r_ccb2b43e} ::: #### [strings it](https://play.picoctf.org/playlists/14?m=106) - ```$ wget !link!``` 取得檔案 - ```$ strings !exec!``` 按題目提示從執行檔取得可能字串 - ```$ strings !exec! | grep CTF``` 配搭 ```grep``` 找到 Flag - :::spoiler Flag picoCTF{5tRIng5_1T_7f766a23} ::: #### [plumbing](https://play.picoctf.org/playlists/14?m=107) - ```$ nc jupiter.challenges.picoctf.org 4427``` 連接伺服器後得到大量字串 - ```$ nc ... | grep CTF``` 找到 Flag - ```Ctrl+C``` 終斷連接 - :::spoiler Flag picoCTF{digital_plumb3r_5ea1fbd7} ::: ### [The Beginner's Guide to the picoGym](https://play.picoctf.org/playlists/18) #### [Super SSH](https://play.picoctf.org/playlists/18?m=147) - 先 Launch Instance - ```$ ssh user@address -p port``` - 問 fingerprint 要打 yes - 問 password 輸入時不會顯示，可 ctrl+shift+v - :::spoiler Flag picoCTF{s3cur3_c0nn3ct10n_3e293eea} ::: #### [Mod 26](https://play.picoctf.org/playlists/18?m=149) - ROT13 指 Rotate 位移 13 字元 - [Google ROT13](https://www.google.com/search?q=ROT13) 找到工具貼上 - :::spoiler Flag picoCTF{next_time_I'll_try_2_rounds_of_rot13_Aphnytiq} ::: #### [Bases](https://play.picoctf.org/playlists/18?m=152) - [Google Base Decode](https://www.google.com/search?q=base+decode) 找到 Base64工具貼上 - :::spoiler Flag picoCTF{l3arn_th3_r0p35} ::: #### [Insp3ct0r](https://play.picoctf.org/playlists/18?m=155) - 前往指示[連結](https://jupiter.challenges.picoctf.org/problem/44924/) - Ctrl+Shift+I 開啟檢視器 - 在 html 部分 Ctrl+F 搜尋 pico 找到 1/3 Flag - 在 <head> 右鍵開啟外部 css 找到 2/3 Flag - 在 <head> 右鍵開啟外部 js 找到 3/3 Flag - :::spoiler Flag picoCTF{tru3_d3t3ct1ve_0r_ju5t_lucky?f10be399} ::: #### [where are the robots](https://play.picoctf.org/playlists/18?m=158) - 前往指示[連結](https://jupiter.challenges.picoctf.org/problem/60915/) - Ctrl+L 在網址最尾補上 /robots.txt - 發現 disallow 禁止 robots 造訪 /8028f.html - 將 /robots.txt 改為 /8028f.html - :::spoiler Flag picoCTF{ca1cu1at1ng_Mach1n3s_8028f} ::: #### [PW Crack 1](https://play.picoctf.org/playlists/18?m=160) - ```$ nano level1.py``` 查閱內文 - Ctrl+X 離開編輯器 (^ 即 Ctrl) - 發現密碼為 1e1a - ```$ python level1.py``` 運行 Python 檔 - :::spoiler Flag picoCTF{545h_r1ng1ng_fa343060} ::: #### [PW Crack 2](https://play.picoctf.org/playlists/18?m=161) - ```$ nano level2.py``` 發現密碼條件 - [Google 搜尋](https://www.google.com/search?q=chr(0x33)+%2B+chr(0x39)+%2B+chr(0x63)+%2B+chr(0x65))到 ASCII 相關結果 - 0x00 格式為 16 進制 - 找到 [W3School](https://www.w3schools.com/python/trypython.asp?filename=demo_ref_chr) 可執行 python 代碼 - 發現密碼為 39ce - :::spoiler Flag picoCTF{tr45h_51ng1ng_502ec42e} ::: ### [Forensics in CTF's](https://play.picoctf.org/playlists/16) #### []() - :::spoiler Flag picoCTF{} :::