分类: 比赛

18 篇文章

thumbnail
月末比赛小总结
临近期末,确实没有什么时间去复现一些打过的比赛了,考完重新做一下,一方面怕忘了复现,一方面怕资源找的不全,这里先记录一下题目以及trick。 SSTI https://mp.weixin.qq.com/s/_6ObDR5YKpLFoQXTYXE_pQ XNUCA 2020 ezwp 2020 xnuca ezwp题解 xnuca2020 final…
thumbnail
2020 huaweiyunctf
赛后看了writeup,记录几个tricks吧 mine1_1 两行代码等价 {{().__class__}} {{()|attr('__class__')}} 绕过姿势 {{(()|attr(request.values.a)).get(request.values.b).get(request.values.c)(request.values.…
thumbnail
某CTF签到
D哥出的签到题 <?php show_source(__FILE__); $dir = './sandbox/'.md5($_SERVER['REMOTE_ADDR']); echo $dir; echo "<br>"; is_dir($dir) ?: mkdir($dir); $line = $_GET['a']; c…
thumbnail
湖湘杯 2020 挨打实录
前言 今天打了HXB,算是相当不友好的参赛体验了 上午以为是AWD,结果来了一场渗透,体验相当糟糕,以为没有什么能比渗透测试更难了吧。 下午就来了个AWD = . = 渗透测试 思路流程 早上给的是靶场渗透测试,一个靶场七个flag。 讲一下自己的解题过程,首先是御剑扫了一波,还是扫到了不少东西的,有个wwwroot.zip,拿到源码,里面有fla…
thumbnail
easy_sql
2020年全国电信和互联网行业网络安全管理职业技能竞赛(第九届)
thumbnail
湖湘杯 2020
摸鱼了,简单题特别简单,难题特别难,没啥好写的,瞎写写吧。 WEB 题目名字不重要反正题挺简单的 简单题,访问phpinfo直接给flag 后面y1ng师傅说题目的环境起的有问题了,正解应该是OPcache 有一个TCTF参考链接 https://www.jianshu.com/p/e675bd51c614 New Website 尝试访问/adm…
thumbnail
CTFShow 1024杯
怎么说,打完感觉还是自己太菜了,打比赛的时候查阅文档的能力不行,赶紧做笔记做笔记。 WEB签到 传入phpinfo()查看,调用ctfshow_1024 support()获得flag。 fastapi 之前没有了解过fastapi,对这个框架比较陌生,只知道他是python写的主要用于构建API,根据鸡王杯大佬的总结,有以下特性: 快速:非常高的…
thumbnail
2020 西湖论剑 WEB wp
比赛的时候还是蛮有意思的,当时五题就出了一题,还是师兄给的指点,感觉题目还是蛮好的,就是没啥游戏体验。 比赛大概过了三四天放了复现环境,自己动手试了试,下面是自己复现的记录。 easyjson 先上源码: <?php include 'security.php'; if(!isset($_GET['source'])){ show_s…