GeekCTF 2024 Web WriteUp(全) 经历了无数次爆零的比赛之后,终于做出来了几道题(哭 题目本身并没有想象的特别难,不过质量和创新点做的非常好。 最终rank:59 Secrets一道关于字符串匹配的问题 打开网站,查看源码,看到了一串base85加密的数据,解个密看下,工作目录都给了 123456789101112131415161718192021222324252627282930313233343536.├── app. 2024-04-15 WriteUp #web
Java反序列化CC链 前言经典的Java反序列化漏洞 漏洞主要集中于Apache Commons Collections组件,其内部封装了许多方法用来方便开发人员使用。 org.apache.commons.collections – CommonsCollections自定义的一组公用的接口和工具类 org.apache.commons.collections.bag – 实现Bag接口的一组类 org.apach 2024-02-23 技术 #Java安全 #反序列化 #CC链
记一次零基础IOT设备与app交互0day漏洞挖掘学习经历 基础知识apk结构apk是对一个安卓应用程序所需要的文件进行打包,本质上是一个被签名的压缩包。 通常情况下,apk会含有以下文件: asset文件夹:是不需编译的原始资源目录,包含各种静态的资源,如各种配置文件、JavaScript、字体文件、图片文件等。 lib文件夹:动态链接库存放的位置,通常情况下,这个文件夹内部以不同处理器版本还会划分成多个文件夹,如armeabi、armeabi-v7a 2023-12-12 技术 #wireshark #apk逆向 #frida #mitmproxy #jeb #jadx
2023 DataCon大数据安全分析竞赛 WriteUp 互联网威胁溯源题目一:形形色色的DDoS分析根据题目描述,攻击者采用了多种DDoS攻击方法,找出这些攻击流量,并将攻击类型相同的源IP进行归类。 分析题目提供的流量包,wireshark打开。 观察到多种ddos流量。 SYN Flood Attack流量特征:仅有一个tcp包。 UDP Flood Attack流量特征:协议为UDP,内容杂乱。 NTP Reply Flood Attac 2023-11-16 WriteUp #reverse #wireshark
NewStarCTF 2023-WEEK4 Web WriteUp 解题 4/7 逃打开容器,看到源码 1234567891011121314151617181920<?phphighlight_file(__FILE__);function waf($str){ return str_replace("bad","good",$str);}class GetFlag { 2023-11-05 WriteUp #web
NewStarCTF 2023-WEEK3 Web WriteUp 解题 5/6 Include 🍐打开容器,提示phpinfo 进入phpinfo.php查看php配置,发现register_argc_argv配置被打开,index.php内部有一个后缀名为.php的文件包含,通过pearcmd来包含进行恶意文件的下载,在vps上构造恶意文件 12<?php echo '<?php system($_GET[0]);' 2023-10-17 WriteUp #web
NewStarCTF 2023-WEEK2 Web WriteUp 解题 6/6 游戏高手打开容器,发现一个前端页面,F12进行javascript代码审计。 发现函数gameover() 12345678910111213141516171819202122function gameover(){ if(gameScore > 100000){ var xhr = new XMLHttpRequest(); 2023-10-10 WriteUp #web
NewStarCTF 2023-WEEK1 WriteUp 好久没碰ctf了,感觉手有点生,正好最近newstar新生赛,过来凑个热闹。 Web解题 7/7 泄漏的秘密介绍里面写了“粗心的网站管理员总会泄漏一些敏感信息在Web根目录下”,一眼信息泄露 打开容器,出现粗心的管理员泄漏了一些敏感信息,请你找出他泄漏的两个敏感信息!,/robots.txt一试直接爆出flag的前半段,/www.zip直接把源码泄露了。 拿到flag 2023-09-26 WriteUp #web #reverse #misc #pwn #crypto
天津市大学生信息安全网络攻防大赛 介绍此次比赛设DAWD攻防赛和应急响应实战场景赛两个赛题类型,两种赛题同时开赛,其中: ① DAWD攻防赛会提供4个攻防题目环境,2个web题目环境,2个pwn题目环境,比赛开始时全部开放; ② 应急响应实战场景赛共一个场景,场景赛包含多个题目,根据问题的难度会设置不同的分值,选手可以通过提交不同题目获取相应的分值。 排名队伍名字 NKV DAWD攻防赛排名第一 应急响应排名第七 总分第一 2023-09-19 awd #rce #php #awd
[DASCTF 2023 & 0X401七月暑期挑战赛] MyPicDisk 过程开启容器,发现以下表单,表单信息通过post方法传送 通过xpath万能注入 1username=admin'&password=']|//*|//*['&submit=%E7%99%BB%E5%BD%95 注入成功,burp观察返回包发现注释信息获得提示下载源码/y0u_cant_find_1t.zip 得到源码 12345678 2023-07-27 WriteUp #web #xpath注入 #rce #php