XCTF两道web题目的writeup

作者: 分类: 网络安全 时间: 2014-10-25 14:59 评论: 15条评论 浏览: 10383人看过 标签: ctf writeup xctf

    只会web正好又是php的审计题目,于是就把两道题都做了。大牛们都忙着破各种路由器,破各种设备去了,我也侥幸得了个第一:

    QQ图片20141024184200.png

    第一题,没怎么截图,查看代码如下:

    QQ图片20141025151017.jpg

    主要是考mysql的一个trick。就是查询出来的$row['id']和$id的区别。这么说可能有点不明白,我们用一下代码fuzz一下mysql:

mysql_connect("localhost","root","root");
mysql_select_db ("test");
mysql_query("set names utf8");
for($i = 0 ; $i < 256 ; $i++){
	$c = chr($i);
	$name = mysql_real_escape_string('hehe' . $c);
	$sql = "SELECT * FROM...

阅读全文>>

XDCTF2014 部分Writeup

作者: 分类: 网络安全 时间: 2014-10-5 1:43 评论: 7条评论 浏览: 7701人看过 标签: writeup XDCTF

首先我代表我们XDCTF主办方对大家说声辛苦了,十一假期本该休息却依旧奋斗在CTF第一线。我是XDCTF2014的出题人之一,也是服务器的维护者之一,关于比赛不想说太多,有太多不可控制的因素。包括中途停电之类的事情,也备受吐槽。

这份writeup是几道web题目和一个加密解密的题目,我知识面比较窄,所以题目和writeup都不能面面俱到,有一些想法在心里却最后没能放出来,所以这里也就不提了。

 

WEB20

 

什么,小P说来点彩头?先出个简单的,就WEB20吧。

题目链接: WEB20

 

hint > 大家不知道复活节要玩什么吗?(非前端题,请勿关注html注释、cssjavascript等)

 

WEB20是我很久以前就出好的一个题目,今年比赛特别多,不过一直没有被人家用上,所以就当个彩头送出来了,没想到还难倒了一批人。

考点是php彩蛋。只要运行PHP的服务器上,访问任何网页都可以在URL后添加以下字符串来查看信息:

...

阅读全文>>

360全国大学生信安技术大赛记录

作者: 分类: 网络安全 时间: 2014-5-26 22:25 评论: 24条评论 浏览: 10448人看过 标签: ctf writeup

    大赛进行了两天,大起大落有,丧失信心也有,但最后还是挺过来了。多亏了给力的队友,blink和test,最后拿到了西北赛区的第二名。

    简单叙述一下整个过程吧,顺便记录一下平时没有注意的一些点。

    第一天的比赛是CTF类型的,实话说我不擅长这种类型的比赛,比赛经验不足,各种东西都快走到最后一步了但却不成功。第一道题js解密的就验证了这一点。这题的js代码是这样:

var qrivy = eval;NanylmrgurXrl="7D6A792B606E723629383D3B2B586A6D6E7F722B4864657F6E787F2B62782B4D7E6565722A296D7E65687F6264652B48636E68605B6A78782322707D6A792B6469615B6A7878366F64687E666E657F256C6E7F4E676E666E657F4972426F23297B6A787829227D6A792B7B6A7878366469615B6A7878257D6A677E6E...

阅读全文>>

actf-2014-.L-writeup [by 冷夜]

作者: 分类: 资源分享 时间: 2014-4-8 13:50 评论: 2条评论 浏览: 4441人看过 标签: ctf writeup

   协会actf2014队伍.L所有writeup,writen by 冷夜

    播放地址:http://le4f.net/post/writeup/-ctf-actf-2014-l.-writeup

阅读全文>>

Top ↑ sitemap More