2019看雪CTF-Q2-丛林的秘密

2019看雪CTF-Q2-丛林的秘密题目说是一个Android相关的题,结果却和Android没太大关系。运行环境为Android8.0以上,手上没有符合条件的机器,于是开始用IDA静态分析。从so里面解密出一个html文件: key检验逻辑是用WebAssembly实现的。 大概逻辑: 将输入的32字节的字符串分成8组,每组的4个字节做不同的变换。 将变换后生成的32个字节做最终校验,最终

note

记一次黑站

记一次黑站背景。。。 随便用一个手机号登录,出现报错信息。 使用关键词在Github上搜索,发现一套类似的系统. 准备验证下和Github上的源码是否一致,随便挑了个文件进行访问,继续报错,这次的错误信息中爆出了服务器的环境信息,包含MySQL的账号密码等信息。 成功的远程登录MySQL。 使用Navicat脱裤。 数据库中存储的是用户密码的哈希,直接替换密码哈希后,成功登录到后台。 123//

note