有一段时间没打比赛了。前几天是 XCTF 联赛的 CyBRICS 2020,不得不说国外战队的比赛体验真的很好,平台好看,题目不说难度,至少看得出是花心思了的。最后协会也是拿了中国第三 世界第七的成绩 👍👍👍 这里记录一下 Web 题,当做日后备忘。总得来说 Web 不算太难,考得知识点也不是很广,感觉学不到太多东西。 Hunt 挺有创意的签到题。 F12 Console 建几个五个 reCAPT
分类: CTF
GitHub Actions × Unity3D 持续交付实践
期末考完回到家了,很庆幸这学期又没有挂科。从今以后就是不挂科的大茄子了! 在校备考这段时间,收到一条关于 Asteroid 的 issue #3,说实话挺气的。开源无可避免地会遇到伸手党或者不愿自己尝试的人,作为开发者只能被动地把软件做得尽可能简单,来减少他们提问题的机会。 每当遇到不看文档不动手直接上来问的,我都会想起下面这则笑话: 软件工程师努力设计出最大最好的连白痴都会使用的程序;而宇宙在拼
第一次运营开源项目的感想——写在 Cardinal 60stars 之际
头图中的 Vidar 娘,作者 @b0lv42 我记得是在大一下学期时,@Li4n0 提到了协会下半学期办比赛的事,也就是后来的 D^3CTF,并且希望能写一个线下 AWD 平台,留着今后一直传承使用下去。之前 @Li4n0 学长负责了 2018 年的 HCTF 线下 AWD 平台的全栈开发,当时他使用的是 Python Django + RabbitMQ,据说当时是勉强撑了下来。因此我们决定使用
RoarCTF Web writeup
前几天一直在打 RoarCTF。Web 题总得来说难度适中,正好适合我这种菜鸡学习新东西 XD 虽然第一天刚开始的时候平台一直进不去,从而导致一堆娱乐圈的弱智直接知乎见。真的无语。其实整场比赛下来我感觉还是蛮爽的,虽然容器有时不是很稳,但从题目质量上来说确实看得出是师傅们是蛮用心的。 自己花了一下午肝出来了一道 Web,然后第二天和 @Moesang 大佬一起,拿了 Web Go 题的一血。开心~
Byte CTF web1 boring_code Writeup
是二血呢~ 今天上午忙着去补考工程经济学,50 分钟就出考场回协会做题。 很开心 Web1 boring_code 拿了二血,同时下午也得知补考被老师捞过了,晚上还在协会吃了烧烤。真的是很开心的一天呢~ 那么就来聊聊这道题吧。 回归 PHP 语言的本身 Web 中的 PHP 题,我比较喜欢的是对 PHP 语言本身考察的那些题。PHP 是一个解释型的弱类型语言,而弱类型带来的各种“骚操作”层出不穷,
Vidar-Team 内部 AWD 线下赛总结
今天六一,协会举办了大一第一次线下 AWD。 很开心最后我们组能获得第一。虽然上午被疯狂 Check Down 到自闭,但下午全靠 Moesang 大佬弹了四五个 Shell 疯狂cat /flag,同时 Y 也把 Pwn 给修好了。一下午就没怎么 Down 过,除了我中途修坏了一道 web 才 Down 了一轮。(是我太菜拖大家后腿了嘤嘤嘤 这也是我第一次打 AWD 啊。 这几天都在给 Lian
记录一道把我整的要死要活的 SQL 布尔盲注题
Jarvis OJ 启动!! 五一假期已经只剩一天了啊。真的快。 今天下午写 Go 时,室友在做南邮 CTF 上的 SQL 注入。那上面的两道 SQL 注入倒是挺基础的。但突然激起了我的兴趣 —— 想做做 SQL 注入了。 到 Jarvis OJ 上翻了下,还真有一道 ISCC 2016 年的 SQL 注入。原以为 ISCC 的难度都不大的,结果最后居然做了一个多小时……还
DDCTF 2019 Web2 Writeup
今天中午还在上物原课时,突然在群里看到 DDCTF 开始了!我天!不是明天吗? 下课后赶紧回宿舍做题,嘛……还真挺硬核的。(其实是自己太菜了 滴~ 出题人脑子有泡。 WEB 签到题 个人感觉是很不错的题。如果没有被那个 Restlet Client 框架给坑了,今下午数据结构上机课上就出 flag 了。 进入题目,发现提示没有权限访问,F12 打开开发者面板,发现会自动执行
Typecho install.php 反序列化漏洞复现
昨天0ctf,唯一的一道 web 还是 Java,那个鬼椒的 hint 也是无语。直接自闭了。 对面的 bin 爷爷肝的不亦乐乎,web 狗只能在角落摸鱼。 之后我便去复现周五协会培训时司大哥讲的 Typecho 反序列化漏洞。之前听的时候,到后半部分有些理不清了,自己尝试的时候才差不多搞明白。 其实反序列化难就难在 pop 链的构造,真的是一环套一环啊。需要明白哪些变量使我们可控的,有哪些魔术方
HGame 2019 week4 writeup
历时四周的 HGame 结束了!撒花~ 校内排名 12,还是太菜了。 最后一周的 Web 主要是各个语言的框架,很多点都是围绕着框架的特性来的。 嘛,不多说,一起来看看吧! Web happyPython 首先从头到尾走一波流程,熟悉一下题目。 通过题目首页,我们可以知道这是 Flask 框架。 因为对于 Python Web 完全不了解,上网找了很久。 然后发现在 URL 那里可以进行模板注入。
HGame 2019 week3 writeup
摸鱼的一周,只做了三道题。(因为别的都不会 Web sqli-1 说来也真是巧,上周写的那个遍历字符串的脚本这周又用上了。稍微改了一下,用来获取这周的code验证码。 <?php $a = ‘a’; $times = 0; for($i = 0; $i < 999999999; $i++){ if(substr(md5($a),0,4) === $argv[1]){ echo($a);
HGame 2019 week2 writeup
头图中的 HGame Logo 来自稳赚大佬,使用前已获得授权。 硬核!是真的硬核! 一转眼就到 week2了,相比 week1,这周的题目难度突然上升!完全没有任何防备。 本来想着这周继续 ak web 的,但是第二天突然放出的了道 Java Web……我的 ak 就没了23333 但是拿了两道题的一血,也算是很满足了!茄子超棒!! 不过确实又学到了超多东西。虽说学习不是
HGame 2019 week1 Writeup
终于来了! 一直盼望着的 HGame 来了!!好开心啊! 本来是计划 25 号回老家的,跟爸爸说协会 25 号有 HGame 后,便推迟到了 26 号回去。 之前也是一直肝到了 4 点,学了超多东西。 不过开始半小时后 ak web 确实让我十分激动啊!!一开心又下单买了个手办,只怕到时候补款又得哭死。 嘛,下面来聊聊这次的题吧。感觉还是有点难度的,这还只是 week 1 啊!! Web 谁吃了我