有一段时间没打比赛了。前几天是 XCTF 联赛的 CyBRICS 2020,不得不说国外战队的比赛体验真的很好,平台好看,题目不说难度,至少看得出是花心思了的。最后协会也是拿了中国第三 世界第七的成绩 👍👍👍 这里记录一下 Web 题,当做日后备忘。总得来说 Web 不算太难,考得知识点也不是很广,感觉学不到太多东西。 Hunt 挺有创意的签到题。 F12 Console 建几个五个 reCAPT
标签: CTF
第一次运营开源项目的感想——写在 Cardinal 60stars 之际
头图中的 Vidar 娘,作者 @b0lv42 我记得是在大一下学期时,@Li4n0 提到了协会下半学期办比赛的事,也就是后来的 D^3CTF,并且希望能写一个线下 AWD 平台,留着今后一直传承使用下去。之前 @Li4n0 学长负责了 2018 年的 HCTF 线下 AWD 平台的全栈开发,当时他使用的是 Python Django + RabbitMQ,据说当时是勉强撑了下来。因此我们决定使用
RoarCTF Web writeup
前几天一直在打 RoarCTF。Web 题总得来说难度适中,正好适合我这种菜鸡学习新东西 XD 虽然第一天刚开始的时候平台一直进不去,从而导致一堆娱乐圈的弱智直接知乎见。真的无语。其实整场比赛下来我感觉还是蛮爽的,虽然容器有时不是很稳,但从题目质量上来说确实看得出是师傅们是蛮用心的。 自己花了一下午肝出来了一道 Web,然后第二天和 @Moesang 大佬一起,拿了 Web Go 题的一血。开心~
Byte CTF web1 boring_code Writeup
是二血呢~ 今天上午忙着去补考工程经济学,50 分钟就出考场回协会做题。 很开心 Web1 boring_code 拿了二血,同时下午也得知补考被老师捞过了,晚上还在协会吃了烧烤。真的是很开心的一天呢~ 那么就来聊聊这道题吧。 回归 PHP 语言的本身 Web 中的 PHP 题,我比较喜欢的是对 PHP 语言本身考察的那些题。PHP 是一个解释型的弱类型语言,而弱类型带来的各种“骚操作”层出不穷,
Vidar-Team 内部 AWD 线下赛总结
今天六一,协会举办了大一第一次线下 AWD。 很开心最后我们组能获得第一。虽然上午被疯狂 Check Down 到自闭,但下午全靠 Moesang 大佬弹了四五个 Shell 疯狂cat /flag,同时 Y 也把 Pwn 给修好了。一下午就没怎么 Down 过,除了我中途修坏了一道 web 才 Down 了一轮。(是我太菜拖大家后腿了嘤嘤嘤 这也是我第一次打 AWD 啊。 这几天都在给 Lian
记录一道把我整的要死要活的 SQL 布尔盲注题
Jarvis OJ 启动!! 五一假期已经只剩一天了啊。真的快。 今天下午写 Go 时,室友在做南邮 CTF 上的 SQL 注入。那上面的两道 SQL 注入倒是挺基础的。但突然激起了我的兴趣 —— 想做做 SQL 注入了。 到 Jarvis OJ 上翻了下,还真有一道 ISCC 2016 年的 SQL 注入。原以为 ISCC 的难度都不大的,结果最后居然做了一个多小时……还
DDCTF 2019 Web2 Writeup
今天中午还在上物原课时,突然在群里看到 DDCTF 开始了!我天!不是明天吗? 下课后赶紧回宿舍做题,嘛……还真挺硬核的。(其实是自己太菜了 滴~ 出题人脑子有泡。 WEB 签到题 个人感觉是很不错的题。如果没有被那个 Restlet Client 框架给坑了,今下午数据结构上机课上就出 flag 了。 进入题目,发现提示没有权限访问,F12 打开开发者面板,发现会自动执行
Typecho install.php 反序列化漏洞复现
昨天0ctf,唯一的一道 web 还是 Java,那个鬼椒的 hint 也是无语。直接自闭了。 对面的 bin 爷爷肝的不亦乐乎,web 狗只能在角落摸鱼。 之后我便去复现周五协会培训时司大哥讲的 Typecho 反序列化漏洞。之前听的时候,到后半部分有些理不清了,自己尝试的时候才差不多搞明白。 其实反序列化难就难在 pop 链的构造,真的是一环套一环啊。需要明白哪些变量使我们可控的,有哪些魔术方
HGame 2019 week4 writeup
历时四周的 HGame 结束了!撒花~ 校内排名 12,还是太菜了。 最后一周的 Web 主要是各个语言的框架,很多点都是围绕着框架的特性来的。 嘛,不多说,一起来看看吧! Web happyPython 首先从头到尾走一波流程,熟悉一下题目。 通过题目首页,我们可以知道这是 Flask 框架。 因为对于 Python Web 完全不了解,上网找了很久。 然后发现在 URL 那里可以进行模板注入。
HGame 2019 week3 writeup
摸鱼的一周,只做了三道题。(因为别的都不会 Web sqli-1 说来也真是巧,上周写的那个遍历字符串的脚本这周又用上了。稍微改了一下,用来获取这周的code验证码。 <?php $a = ‘a’; $times = 0; for($i = 0; $i < 999999999; $i++){ if(substr(md5($a),0,4) === $argv[1]){ echo($a);
HGame 2019 week2 writeup
头图中的 HGame Logo 来自稳赚大佬,使用前已获得授权。 硬核!是真的硬核! 一转眼就到 week2了,相比 week1,这周的题目难度突然上升!完全没有任何防备。 本来想着这周继续 ak web 的,但是第二天突然放出的了道 Java Web……我的 ak 就没了23333 但是拿了两道题的一血,也算是很满足了!茄子超棒!! 不过确实又学到了超多东西。虽说学习不是
HGame 2019 week1 Writeup
终于来了! 一直盼望着的 HGame 来了!!好开心啊! 本来是计划 25 号回老家的,跟爸爸说协会 25 号有 HGame 后,便推迟到了 26 号回去。 之前也是一直肝到了 4 点,学了超多东西。 不过开始半小时后 ak web 确实让我十分激动啊!!一开心又下单买了个手办,只怕到时候补款又得哭死。 嘛,下面来聊聊这次的题吧。感觉还是有点难度的,这还只是 week 1 啊!! Web 谁吃了我
赛博协会新生测验 Web Writeup
昨晚补完刀剑后又看了一会手机,睡得有点晚。今天早上十点多才起,想起赛博今天有新生测验,马上跑下床打开电脑。 嘛,还是挺有意思的,学到了不少东西。虽然刚开始跑偏了,差点想放弃2333 那么,我们来看看这些题吧: Web1 这是一个搞逆向的学长出的 web 题。嘛,确实有些地方有点不太“安全“吧,之后我会提到。 假的杭电认证 进入题目,输入1进入第一题,然后直接跳到了连接校内 Wifi 的登录认证界面