-
0x01 Anonymous这道题是 HITCON2017 一道题的删减版,拿 Writeup 里的 payload 即可获得 flag参考文章:https://lorexxar.cn/2017/11…
-
前言ISCC 2018 CTF中,一些题目还是很不错的。但是需要吐槽的就是这个积分机制,私以为一次性放出所有题目而且反作弊机制完善的情况下动态积分这个方法很好。但是,战线太长还是不要用动态积分。不过话…
-
Defcon China 靶场题 – 内网渗透Writeup
Defcon China 靶场题 - 内网渗透Writeup对内网渗透的题目挺感兴趣的,所以做了一发。先给个拓扑图1. wordpresshttp://192.168.1.2/是一个wordpress…
-
web1 数据库的秘密看题目猜是注入,访问题目发现只允许 123.232.23.245 IP 访问。没啥好说的,直接改 HTTP 的 HEADERS,加个 X-Forwarded-For: …
-
RSA垃圾代码比较多 动态调试,跟随输入值进入,发现将输入放在了一个结构体中,然后用后八字节作为指针来控制 要求len为31字节 将输入逐字节异或了一个数组以后,遍历结果…
-
1.SQL查看源代码:题目告诉了我们SQL语句,下面是fuzz测试,发现:过滤了:order select /**/尝试通过大小写、双写、url编码、hex编码、char编码、内联注释绕过,均失败,接…
-
1.小菜一碟下载文件判断是apk文件,运行看看:看来输入的字符很有可能就是flag,用android killer打开分析一下,搜索关键词“please try again”,定位关键代码:看一下ja…
-
Web签到题目信息:Flag: QWB{s1gns1gns1gnaftermd5}提示:http://39.107.33.96:10000查看源码发现验证过程,很明显的php弱类型 …
-
前段时间,参加一次CTF线下攻防赛,用的是某cms,里面有一个SQL注入漏洞,挺有意思,记录一下分析心得。系统后台登陆处存在SQL注入,在后台登陆用户名处加个’测试一下:发现报错,十有八九存在SQL注…
-
【本文由脉搏入驻作者 Hence Zhang@Lancet 原创】第一届强网杯writeup传送门:https://www.secpulse.com/archives/32903.html赛事介绍为全…
-
1. web upload题目说可以上传任意文件,那就试试直接上传php,内容:<?phpphpinfo();?>访问一下文件,发现<?php 和php被过滤了,这里想到绕过<…
-
APFS题目描述Apple released the brand new APFS on WWDC 2017 with a bunch of new features. With curio…
-
-
2018DDCTF高校闯关赛正式开启报名 顶级赛题等你来战!
今日,滴滴出行第二届DDCTF高校闯关赛正式开启报名。滴滴出行信息安全副总裁卜峥表示,首届DDCTF比赛吸引了众多优秀的信息安全人才,他们中有一部分去年加入滴滴,已经参与到解决出行领域的安全挑战中,通…
-
0x00 UAF—pwnable.kr是一个韩国的CTF练习的网站,有很多经典的CTF题目供爱好者练习。UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。在操作系统中,…
2018-06-24
2018-06-22
2018-06-16
2018-06-04
2018-05-17
2018-05-15
2018-05-13
2018-05-05
2018-03-30
2018-03-28
2018-03-22
2018-03-17
2018-01-30
2018-01-19
2018-01-13
关注我们
