抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

byc_404's blog

Do not go gentle into that good night

Thinkphp-vuln

这段时间因为一些原因老是有点自我纠结,很大程度上是因为对所计划学习的内容无法定夺的原因。上周因为hw所以错过了wmctf,赛后去看题发现基本都是php之类的,都不是很想看。相对感兴趣的框架的链子自己也没找全。感觉菜的不行,相比几个月前审一些比赛中的框架手生了很多。

CyBRICS-CTF 2020

Cybrics比赛感觉都没队友在打……简单记录下做的几道题

学习笔记-Java相关

从几个月前就说要学javaweb。结果一直在拖。现在开篇文章强迫自己写写笔记。

大体上打算从常见漏洞和框架使用两个方面学习。因为有语言基础就不谈比较基础的部分了。

SCTF2020 writeup

越打越菜 :(
这次比赛难度相比上次RCTF的难度好了点。但是最后还是只能感慨自己tcl。做出来的只有CloudDisk跟UnsafeDefenseSystem.相比下solve比较多的pythonsandbox自己反而因为总觉得pyjail太老套不去研究,连下手都做不到……赛后还是把能复现的都复现下吧。

hackthebox-Oouch

Oouch靶机的难度相比最近做完的两个hard machine Quick跟Forwardslash而言有过之而无不及。甚至于感觉可能接近到Insane难度了。从web界面下手时遇到很多不稳定的问题,而之后从user提权到root更是出现玄学问题,一模一样的的payload头一天失败第二天就成了。但是总归学到了不少新知识,所以赶紧总结下。

Make jwt great again

jwt,全称json-web-token.其安全问题一直以来众所周知。CTF中也经常性的会出现相关的jwt伪造的题目。但是之前在打了场NahamconCTF的比赛后,对jwt又有了全新的认识。因此在这里全面的解释下jwt的相关漏洞。Let’s make jwt great again :)

hackthebox-Quick-一次艰难的渗透

因为现在还没有接到确切通知说是否考试,原本期末复习的计划也被打乱了。既然现在复习觉得有点亏,于是干脆去做做hackthebox的靶机算了,正好好久没写wp了2333。

虽然没更新文章,但是其实自己每周都在跟着ippsec的视频做退役靶机。当然其实也做了5.6台现役的。不过今天要写的Quick靶机的wp是自己头一次独立完成的困难难度的靶机。真的真的学到了很多东西。所以一定要记录下。

另外由于Quick还是active状态,所以我会给文章上锁直到靶机退役。

初探Redis-wdb玄武组ssrfme&pwnhub公开赛

  • 本学期最后一篇文章。写完就要复习去了。

文章写在RCTF第一天。web狗真实自闭.本来想把假期前最后一篇文章留给RCTFwp的。现在看都不用写了,反正只会一道。原先听说过ROIS的web很强,zsx大师傅是巨佬,没想到恐怖如斯。(这就是ROIS跟zsx的可怕之处吗,怕了怕了)

所以比赛第一天留意到有个pwnhub公开赛,于是就去水了下,好歹是拿了个邀请码。这题因为是redis相关,联想到之前网鼎杯玄武的那道redis,加上自己原来基本没做过redis题,打算把这两道题相关知识点都总结下,当做这学期的收尾吧。

GKCTF2020writeup

这周末打了两个比赛。BJDCTF3rd与GKCTF.这里个人认为GKCTF的题目收获挺多的,但是时间太紧,自己也在简单题上浪费了不少时间。所以把比赛时没来的及看或者没做出来的题都补全。

网鼎杯-青龙组-WEB-writeup

网鼎青龙组成功挺进线下,当然要感谢队友们的给力发挥,X1c两只队也能成功会师半决赛了.(就是对我这样的awd小白而言估计又是去当炮灰了)

说下比赛感受吧。老实说web手比赛体验并不好。开赛到12点才出现第一道WEB题.而这之前唯一一个签到靶机题我开了一个小时都是坏的…
然后是比赛氛围,老实说明眼人应该都看得出来了。中间py什么的就不多说了。java那题我眼睁睁看着5分钟内涨了几十解。至于其他几个二进制的题更不用提,做出来的人数就是铁证了。最后五分钟内,十几秒时间我们队掉了十多名然后又蹦回来了就很迷。
然后动态靶机一队只能开一个,老实说很大程度上束缚了开题的节奏。

比赛难度倒还能接受。按郁师傅说的,这次没ak web不太应该。当然其实是最后看着只剩10多分钟时名次稳了就做不动了.赛后复现最后一个题时也发现确实不改完没做出来的。总之这里把所有WEB题解都记录下吧。