第十六届蓝桥杯大赛网安组--几道简单题的WP

目录

1. ezEvtx

2.flowzip

3.Enigma

4.星际XML解析器

---

1. ezEvtx

题目内容

EVTX文件是Windows操作系统生成的事件日志文件，用于记录系统、应用程序和安全事件。(本题需要选手找出攻击者访问成功的一个敏感文件，提交格式为flag{文件名}，其中文件名不包含文件路径，且包含文件后缀)

思路：        

        下载附件后，发现这是一个.evtx文件，.evtx文件是微软从Windows NT 6.0版本开始采用的一种全新的事件日志文件格式。直接打开电脑事件查看器，打开该文件。咱刚开始一个一个双击查看事件属性，试着输了几个.exe文件，都不对。看了一眼总共2000多个事件，果断放弃尝试。直接：右键-->筛选当前日志，猜测攻击者访问文件可能为警告型事件级别，选择“警告”并确定。

出来了~

有且仅有一个文件：confidential.docx（居然不是.exe文件）

flag值：

flag{confidential.docx}

2.flowzip

题目内容：

There are many zip files.

思路：

下载附件，得到一个.pcap文件，是一个流量包，甩到wireshark中

直接ctrl+f 全局查找“flag”

找到对应文件，右键-->追踪TCP数据流，找到flag：

flag值：

flag{c6db63e6-6459-4e75-bb37-3aec5d2b947b}

3.Enigma

题目内容：

Enigma是20世纪早期由德国工程师Arthur Scherbius设计的一款便携式机械加密设备，旨在为需要高安全性通信的场景提供加密保护。其核心原理基于可旋转的机械转子、反射器和接线板的组合，通过复杂的电路转换实现对明文的加密与解密。
(本题需要选手还原成原文字母，提交格式为fag(原文字母}，其中原文字母为全英文大写，且去掉空格。)

思路：

下载附件后，是一个.html文件，双击打开，来到了cyber chef界面,发现很多都不可点击,但是右下方有一串疑似原文字母的东西，ILBDA MHSWX MORNZ DDDOT KUYZA VSBJC，包好flag输入，发现是错误的flag，猜测是二次加密,刚才的字符串放到输入，再次BAKE，出现flag！

题目里说了一堆高大上，都是唬人的。。做题不要因此有畏惧心理

flag值：

flag{HELLOCTFERTHISISAMESSAGEFORYOU}

4.星际XML解析器

题目内容：

你已进入星际数据的世界，输入XML数据，启动解析程序，探索未知的数据奥秘!

思路：

启动容器，发现是让写XML代码

很自然想到XXE漏洞

构造payload，尝试读取文件，输入第一个就是flag！

<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///flag" > ]>
<foo>&xxe;</foo> 

flag值：

flag{152853b9-cbb2-4d80-974a-5f11edd566db}

就到这吧，也不知道能不能拿个小小的奖qwq。

欢迎各位师傅批评指正！