前言

今年字节CTF有幸与SU的大师傅们一块打,最后取得了第十名的好成绩(去年自己一个人参加被暴打,呜呜呜~

Misc

Checkin

公众号发送消息“安全范⼉”即可得到flag

Survey

填问卷得flag

HearingNotBelieving

音频隐写题,sstv robot36 + au 频谱图 得到二维码
首先通过工具rx sstv将音频转换为图片,拼图得到下图

但是发现不能直接扫描,于是我们去qrazy手撸一下,扫描得到部分flag:U_kn0W_S57V}

然后在au 频谱图中也发现了二维码

拼接后依旧无法直接扫描,于是接着手撸得到部分flag:m4yB3_

最后整理一下得到flag:ByteCTF{m4yB3_U_kn0W_S57V}(可恶!竟然没有flag头的.jpg

frequently

dns解析,发现 .bytedanec.top 的 dns 隧道流量

dns && dns.qry.name contains "bytedanec.top" && ip.src == 8.8.8.8

将其导出,去重后base64解密发现是张图片,进而得到提示:Congratulations!You find the DNS tunnel(没啥卵用.png

接着我们发现真正有用的是io本身,i是1,o是0,八位二换十,得到部分flag:ByteCTF{^_^enJ0y&y0ur

而后半段在 udp.stream eq 1 中得到:se1f_wIth_m1sc^_^}

总结

字节CTF也太顶了,web根本打不来(不会Java,node黑盒毫无想法,甚至还有逆向
只能做做杂项,然而wtcl,安卓流量分析和excel那两题肝不出来
最后附上fz师傅他们的wp

web部分:
https://mp.weixin.qq.com/s/s59xN-QI9oNPrkjhuXtPyw
misc部分:
https://mp.weixin.qq.com/s/_A3TjeAZ0yAnpvxyn0wWCA
经典fuzz了!

ByteCTF Final

U1S1,这字节题目水准属实是高,一题都做不出来?(看了波wp也没看明白,考试月了就先这样吧有空再复现更新.jpg

Misc

FPS_game

打开游戏可以发现提示:flag is up on me!,进而得知我们应该增加高度来找flag

利用工具UABE打开level3,需要搜索*player才能找到GameObject Player,进而得到有用信息(有点拉跨的搜索功能

于是我们010打开level3,通过搜索前面得到的浮点数来找到其对应的位置进行修改

在一番尝试修改后(最终改为7A42成功了)打开游戏得到flag:ByteCTF{AbcTextGamePlay6666}

Enrich Life

hint:Plot the data you found over time and find the pattern

快去找AAA的杂项?要wp呀!

Lisa’s cat

Where is the cat?
hint:Cat is algo

太难了,没搞懂.jpg
就直接贴上wp吧:https://mp.weixin.qq.com/s/IXWBU-vXMan9mHerPCPPjQ

Undercover

Watching this familiar picture, have you ever imagine what people are doing in this familiar building?
hint:Original image have exif

根据hint将img改为origin得到一张图,在010中打开得到有用信息:Author.From: Zach Oakes,通过信息收集发现一个pixeljihad在线工具解密得到flag:ByteCTF{h0pe_yoU_p4tch3d_y0ur_log4j}