SUCTF 2019 web partial wp
Checkin .user.ini 上传绕过,GIF89a 绕过图片检测。 可参考 https://www.xmsec.cc/file-upload/#user.ini-配置文件 easyphp Brief desc 打开页面,已经给出了源码。分别是 ...
WCTF2019 pdoor Review
brief desc 这里提供官方的题目 https://github.com/paul-axe/ctf 今年 WCTF 还是被按在地上摩擦,就 pdoor 这个题目来说,感觉是相当值得多思考几遍的题目了。。 当然里面也有 lcbc 在分享会上的 slide,不过总体来说还是以分享设计思路和解题的方法, ...
强网杯CTF 2019 Web review
upload www.tar.gz 源代码泄露 审计代码发现使用的路由 Route::post("login",'web/login/login'); Route::get("index",'web/ ...
12th ciscn 2019 web writeup
To begin with 感觉今年国赛的题目偏难了,其实也暴露了自己很多深一点的内容并不熟悉。在一队大佬里面生存下来不容易,还是需要疯狂补习。 Justsooso <html> <?php error_reporting(0); $file = $_GET["file& ...
DDCTF 2019 partial writeup
今年的 DDCTF 题目感觉没有去年的质量高了(不过欧家俊师傅的题目依旧思路很强),然而我还是菜 ... 在这里主要记录下 Web 题目的解题思路,以及一些做题途中的收获吧。 web 脑洞滴开始了 访问后自动跳转如下地址: http://117.51.150.246/index.php?jpg= ...
TCTF 2019 Web writeup
Hard TCTF with Hell Mode TCTF/0CTF 每年都这么难 ... 还好大佬快做出来抬了我一手才有机会。是队友太强了,还是我太弱了,想都不用想,肯定是后者,不能再划了 ... Ghost Pepper http://111.186.63. ...
LANCTF(In BUAA) 随笔
LANCTF LANCTF 是 Lancet 举办的校内 CTF 比赛,出题人包含了绝大多数 Lancet 核心成员。由于面向校内,难度以中等偏下为主。 本人咸甚,在比赛中仅承担了 LANCTFd(based on CTFd) 的二次开发与维护、部分( ...
鹏城杯 Web&Misc partial review
To begin with 鸽了博客快有有两个月了,这次重点记录下babyt2的赛后复现学习过程.. Web Babyyt2 link:http://58.20.46.147:21132 yii 开发,主要功能包括注册,登录,上传,查看 ...
网鼎杯 Web Review
To begin with 网鼎杯初赛出了两道Web题,虽然还是有点坑..但在赛后总结中还是学到了新内容,良心平台比赛结束后仍然可以开启web服务。若有机会接触到后面几场比赛的赛后环境,同时一并总结。 Fakebook 感觉这个题的思路还是很明确的,就是这个过滤很皮.. 收集信息可以找到一个user.php源码泄露 <?php class UserInfo { public $name ...
从SSTI到沙箱逃逸-jinja2
Intro 国赛遇到了沙箱逃逸和简单的 SSTI,算是 python sec 的起步吧,最开始在看 bendawang 和 bit2woo 的 python sec,开始了解了一点点基础,在 QCTF 又遇到了 SSTI,以及网鼎杯和 ...
