抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

2021第四届“强网”拟态防御国际精英挑战赛 Writeup

又和几个**”社会”**人士一起组队参加了这次比赛 这次 Web 和队友一起 AK了,开心 23333 (想起来以前一个题都做不出来的画面… 部分题目下载链接: 2021nitai-misc.7z 2021nitai-web.7z 2021nitai-crypto.7z Web0x1 zerocalc@tari @DEADF1SH-CAT 把能下的都下下来,特别是 package.jso...

2021羊城杯部分 Writeup

和几个**”社会”**人士(@DEADF1SH-CAT、 @Oah、 @小火车)一起组队参加了这次比赛,终于不用在高校组卷了,哈哈 部分题目下载链接: 2021ycb-misc.7z 2021ycb-web.7z 2021ycb-crypto.7z 9.17更:官方WP:https://mp.weixin.qq.com/s/BqLTX3au1GIPn3cz9xZISA MISC0...

2021红帽杯线下赛WEB upload题解

虽然没参加,不过有个师傅跑过来讨论了,就顺便搞搞,第一题是opensns的nday,这里主要分析下第二题upload。还挺有意思,原来一开始想着用像 [CVE-2021-3129](https://tari.moe/2021/06/03/laravel8-debug-rce/ 的方式写入可控的 session文件,结果 h 被过滤了。。 upload源码 upload.7z 源码分析关键文...

2021强网杯 Web Writeup

今年题目质量还不错,竟然还有内网渗透部分,2333,因为平常CTF比较少 毕设刚好是做代码审计相关的,刚刚好又在 POP链这个题用上了,还挺开心~ 0x1 Hard_Penetrationby Challenger 发现这是 shiro n day漏洞 顺便写了个内存马 连上去发现权限比较小,需要提权 然后尝试了 msf自带的,无果 尝试 https://github.com/mz...

Web writeup | 2021年第一届广东大学生网络安全攻防大赛-晋级赛

前言实力吐槽这次比赛 初赛环境老是炸,最后30多分钟都炸了,答案都提交不了 晋级塞,,题目也偶尔会出现断开的问题,,第二个web题,,竟然一开始直接返回空,后来又可以了??不知道是不是只有我遇到这个问题,,晕 而且,,晋级赛竟然不是uuid式动态flag。。。。? old 任意文件读取,不过flag.txt 读不了,但可以看 hint.txt,smali 字节码,提示了 fastjs...

2021 红帽杯前3Web题 Writeup

今年红帽杯好像难度比往年友好了不少 ( find_it目录爆破 > robots.txt > 1ndexx.php > 尝试常见信息泄漏得 .1ndexx.php.swp 访问 http://eci-2zeg1tmyhxfbomoq43gy.cloudeci1.ichunqiu.com/.1ndexx.php.swp 得 12345678910111213141516...

2021CSTC网络安全技术大赛 Writeup

这次比赛打完,发现自己还是太菜了。。 虽然排名还可以 (因为有逆向大佬在。。。 web2和web3 感觉接近了,现把做出来的写上 看看后面有复现环境会复现,没有的话看下其他师傅的写写复盘。 由于web2和3实在没思路了,然后顺手解了2个简单的杂项。 这里要吐槽一点,为什么题目不是下发 docker 容器形式的,,这样别人如果 getshell 不就可以改代码逻辑搞破坏了吗? easywe...

2021HFCTF Web Writeup

internal_system 挺有意思的,复现完学到了刷多 ( 签到题考点:PHP供应链攻击 php 近期爆的漏洞,一开始就看到了, 喔?你说这个我可就不困了,(我是个爱看新闻的好孩子 逃 但是,,User-Agentt 看成了 User-Agent,,没成,然后被另一个地方吸住了眼球,在搞 guestbook.php 草。。 直到官方放出提示,我不信邪在看了一遍 1user-age...

2019pico小汇总

和两位新认识的小伙伴一起玩了1天,虽然解出来的题不算很多,但玩的还是很开心。picoctf相对来说也会简单些,但是也还是有收货的。在此记录一下。由于国庆比较忙,也没有继续在解题了,然后也忘了写记录了,emmm。下图是我们队伍的1天的解题成果。这是报了小伙伴的大腿@guoguo @回忆 过些天再补上心得,2333

2019年第三届广东省强网杯网络安全大赛WEBwriteup

八卦本次比赛的一个槽点,为什么是在星期一二举行咧… 由于我只会一点 web ,所以只解出几道 web 题 Writeby TARITARI 1. Web – 小明又被拒绝了看到题目很容易想到改http头,于是抓包。一开始直接改cookie: admin=1无效,后来想了下,小明如果是本地人就不会被拒绝啦!于是用到X-Forwarded-For字段,伪造ip为本地地址127.0.0.1。提交过...