2021强网拟态防御国际精英挑战赛总决赛WP

2021强网拟态防御国际精英挑战赛总决赛WP 前三届强网拟态都是国际邀请赛,导致之前没打过这比赛,今年开放线上国际公开赛,Em…..缺乏前几届参赛经验,打进决赛后果然吃大亏hhh 后面队友 @Vino0o0o 搞车联网带到前20三等奖,险吃低保 先吐槽一下,这比赛确实重点不在CTF上,常规CTF解题部分被分在了白盒资格赛上,质量参差不齐,且每道题只有500分(还是动态 而去黑盒或者车...

TCTF2021总决赛2解Java与Bypass Shiro550 ClassLoader.loadClass

TCTF2021总决赛2解Java与Bypass Shiro550 ClassLoader.loadClass前言刚好TCTF2021 Final正在进行,队友发了一道Java题过来,本来白天没时间,但半夜三点突然爬起来看了会儿 睡不着睡不着 然后就天亮了。。。 先说题目内容 给了所有源码(dockerfile、jar等),GD-GUI反编译后先看了下lib 醒目的CC组件 然后看C...

2021祥云杯Web全解

2021祥云杯Web全解 前段时间和队友@Firebasky一起AK了祥云杯的Web题目,感觉这次比赛Web题质量还不错 自己做了Node.Js、Typescript和一个PHP,下面是全部的WP Crawler_z给了附件 routes/index.js没啥好说的,sighin和sighup功能,然后看到登陆后的/user路由,写在了routes/user.js 这里能更新个人信息 ...

大赛上的Java题复现

大赛上的Java 题复现 之前没学Java,都是把遇到的Java题直接放掉,现在回头来看看 先把BUU上的Java CTF复现完 网鼎杯2020青龙组 filejava考点:文件读取、Excel-XXE 打开发现一个UploadServlet 上传后返回链接/DownloadServlet?filename=3b439bcb-1a40-4617-8b8f-f473968d7d17_1.tx...

MRCTF 2021 WEB WP

MRCTF 2021 WEB WP 上班划水看题,罪过罪过 ez_larave1不算难,中间倒是因为出题人设置的key卡了一会儿 www.zip拿到源码 先来看看路由/app/Http/Controllers/TaskController.php 123456789101112131415161718192021222324252627<?phpnamespace App\Http\...

AntCTF&D^3CTF 2021 WEB WP

AntCTF&D^3CTF 2021 WEB WP 不愧是蚂蚁SRC和三电联合主办的CTF,质量很顶(太菜了,被虐de太惨了 Pool Calc考点 简单Node.Js代码审计、简单的反编译、Python Pickle反序列化、PHP Swoole反序列化RCE、JavaRMI反序列化 这是一道需要拿到主机(Node服务)和三个docker flag的合成题,有点可惜,本来做到深...
CTF