这道题算是比较基础的题目算是综合性比较强的简单题目,题目的大意是说flag分为3段,涉及到编码跳转以及信息收集能力,所以是一道比较有意思的题目。
这几个月参加了几个ctf比赛,包括360杯,强网杯,cuit,这几次的比赛都给我很多帮助,现在做一点儿总结…
之前找工作在腾讯面试遇到了一个很有意思的面试题,当时我记得现场还没有答出来,后来回家想了一下其实也没有那么难,而且还挺有意思的,今天做个整理分享给大家,希望对你有用
RCTF刚好赶上了完成毕设的时间,没办法只接触了部分题目,可惜的是,其中很多题目都不是特别有意思,这里只整理部分我参与的..
假期一直在玩会长大大搞得ctf集训,一个假期也学到了,现在整理writeup,也对假期学习到的东西有一个清晰的认识…
上传绕过分值:10 来源: Justatest 难度:易 参与人数:5847人 Get Flag:2272人 答题人数:2345人 解题通过率:97% bypass the upload 格式:flag{} 解题链接:http://ctf5.shiyanbar.com/web/upload 原题链接:http://www.shiyanbar.com/ctf/1781 【解题报告】 这是我入门Web开始写的第二道题,这道题有点意思,它的题目意思是要上传一个文件,具体要上传什么文件题目也没说,我们就随意上
题目源码如下: https://github.com/LoRexxar/HCTF2017-A-World-Restored
好久都没有写推文了,主要原因是懒,另外最近一段时间我们老大让我在开发平台,写代码写的头疼。这两天发现很多有意思的题目,自己主要是复现了一下,了解一起其中的道理,算是为以后的路打一下基础,这两天简单研究了一下CTF比赛上的代码审计题目,发现自己代码审计的功底太弱了,逼格比较高的CTF比赛题目一般设计的也比较巧妙,废话不多说,开始吧。
访问的时候网页标题提示 /Challenge,然后去访问一下,有个登陆框但是没测出来 sqli,扫目录得到下面这些
我在adworld上发现有这个题目的环境,然后觉得还挺有意思的于是仔细做了做,顺带写一篇博客记录一下踩坑过程。
看看站内的功能,min.php和max.php可以提交md5,会显示最大或者最小的md5,但是输入的地方存在正则,研究了一下发现不能输入任何符号,也就意味着这里不存在问题。
很久没有更新干货了,作为一个目前还在役的 CTF 选手,肯定要讲解一些有意思的赛题啊,一方面是自我的总结,一方面也是给大家一点学习思路,如何去分析一道赛题,我不会去重复的解读一些基础知识,更多的基础知识请参看 ctf-wiki 上面的内容,目前我是主要负责维护 Web 和 Misc 部分内容。本文也会在后续同步更新到 ctf-wiki 上,当然也欢迎大家一起来 Contribute 。
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球大会,以代替之前们通过互相发起真实***进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。
Once More分值:10 来源: iFurySt 难度:易 参与人数:4782人 Get Flag:2123人 答题人数:2166人 解题通过率:98% 啊拉?又是php审计。已经想吐了。 hint:ereg()函数有漏洞哩;从小老师就说要用科学的方法来算数。 格式:CTF{} 解题链接:http://ctf5.shiyanbar.com/web/more.php 原题链接:http://www.shiyanbar.com/ctf/1805 【解题报告】 这是我入门Web开始写的第
有趣的算法(一)——n阶层尾部有几个0 (原创内容,转载请注明来源,谢谢) 最近在网上看到好几次这个题目,觉得挺有意思,则准备用PHP进行实现。 1、题目 给一个非负整数n,确定n!的尾部有几个0。 2、输入输出示例 输入 1,输出 0。 输入6,输出1。 3、解 1)最常规的方法,会想到先求解n!,再通过除以10取余数的方式进行。但是此方式求解速度较慢,另外n的值比较大的时候,会产生数据溢出,无法求出n!的值。 代码段如下: if(2>$n)$return 0;
0x01 初步分析阶段 首先拿到题目,看到留言板,第一反应就是XSS。 但是看过题目提示后,有些不确定。 所以开始分析整道题目。 首先,观察network页面,查看主页面的响应。 发现是通过js进行子
近期有小伙伴问了我一道题,然后自己发掘到了一些关于 PHP 复杂变量不太被关注的问题。
EDU-CTF是台大、交大、台科大三个学校的校赛,题目感觉都不错。TripleSigma这道题的反序列化POP链很有意思,官方wp写的很简单,在这里分析一下。 题目地址:http://final.kaibro.tw:10004/(需要梯zi)
本来早就该完成的club2 wp因为清明节的关系拖了一段时间,club2这个题目用了一很精巧的postMessage漏洞。
近日在审计某 CMS 时,发现一处反序列化任意写入文件的操作。其中的场景蛮有意思的,将其简化抽取出来做个 CTF 的题目丢给学弟(比较简单),在此做个记录。
php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。
首先第一层检查需要绕过ereg漏洞,百度可以知道存在截断的问题:ereg读到%00的时候,就截止了, 那么在字符串里面包括%00即可; 接着需要长度小于8但要大于9999999,想到hint里的科学方法,使用科学计数法即可; 还要求有-,最后构造password=1e9%00-,直接在地址栏提交,通过表单提交不会把%00看作截断符。
如果遇见了 3 的倍数要说 Fizz,5 的倍数就说 Buzz,如果即是 3 的倍数又是 5 的倍数就说 FizzBuzz。
因缺思汀的绕过分值:20 来源: pcat 难度:中 参与人数:6479人 Get Flag:2002人 答题人数:2197人 解题通过率:91% 访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入,XSS等相关知识。涉及方向较多。此题主要涉及源码审计,MySQL相关的知识。 flag格式 CTF{} 解题链接:
而就在前几日的颁奖盛典上,作为全球5万参赛者中脱颖而出的获奖人代表,他在现场连线时凡尔赛了一把:
0x00 MOCTF平台是CodeMonster和Mokirin这两支CTF战队所搭建的一个CTF在线答题系统。网址是http://www.moctf.com/。 Web题做下来感觉难度适中,也不乏有意思的题目。 0x01 签到 加入qq群即可 0x02 一道水题 F12查看源码,flag在源码中 0x03 还是水题 网页中有一个提交按钮,根据提示输入moctf,但是input标签的属性被设置为disabled和最大长度为4 📷 去掉这两个属性再提交即可 0x0
根据个人情况来回答,比如数据库的备份、恢复和性能调优经验明显不足,自然觉得有些困难。基于Oracle的研究应该是个宽广的领域,所以我觉得还是有意思的。
在网页中合理的利用一些特效能带给人眼前一亮的感觉。今天给大家分享两款很有意思的 Js 特效插件。 输入框打字冒光特效 这款特效本博客也在使用,也有很多人问过是怎么实现的。具体的效果请看 G
上周结束了javaweb的全部学习,下面开始学习框架了。发现框架的学习周期较长,不太好分享出来。恰巧现在开始刷题了,后面的话小白准备每周分享几道刷题过程中遇到的比较有意思的题目。提供一下解决思路,以及代码实现。
Pwnhub公开赛出了个简单的PHP代码审计题目,考点有两个: 如果说仅为了做出题目拿到flag,这个题目太简单,后台也有数十名选手提交了答案和writeup。但深入研究一下这两个知识点,还是很有意思的。 #0x01 phpjiami 代码分析破解法 这种方法我最佩服了,作者甚至给出了解密脚本,文章如下:http://sec2hack.com/web/phpjiami-decode.html 我自己在出题目之前也进行过分析,但后面并没有耐心写一个完整的脚本出来,所以我十分佩服这个作者。 我们分析phpjia
上个周末打了个叼叼的0ctf,结果“学院派”的愤怒就是看什么题目都是一篇篇文献…web狗简直虐了一地,顺便附上sunshine ctf misc300的writeup(一个没有web题目的比赛Orz)…
题目描述: 给你 n 个非负整数 a1,a2,...,an,每个数代表坐标中的一个点 (i, ai) 。在坐标内画 n 条垂直线,垂直线 i 的两个端点分别为 (i, ai) 和 (i, 0)。找出其中的两条线,使得它们与 x 轴共同构成的容器可以容纳最多的水。
如果说仅为了做出题目拿到flag,这个题目太简单,后台也有数十名选手提交了答案和writeup。但深入研究一下这两个知识点,还是很有意思的。
俗话说:兴趣是最好的老师。如果有一天你把编程当做一个游戏,当成一件好玩的事,那么你将会在编程的这条路上越走越宽,越走越好,越走越深。 那如何把编程当做一个游戏呢?如何让编程更加有趣呢?那就是用编程做出有意思,好玩的东西来就行啦。今天我们就分享几个好玩的东西,看看人家大神是如何玩转编程,把东西做出花来的? 1、upload-labs upload-labs 是一个帮你总结所有类型的上传漏洞的靶场。它是一个用 PHP 语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面
不过话说话回来了,这次比赛至少让我们看到了动态flag机制比赛利弊,防作弊是好的,偶尔也能出点bug。
这题非常有意思,在拿去D盾扫描的时候,发现3002个文件里面,有2999个文件是危险文件
而且讲道理这些题目真心还是蛮有意思的,不是那种纯粹的就是练习熟练度,而是真的需要去锻炼看问题的方式。
遥想当年,机缘巧合入了 ACM 的坑,周边巨擘林立,从此过上了"天天被虐似死狗"的生活...
HCTF2018在出题的时候其实准备了一个特别好的web题目思路,可惜赛前智能合约花了太多时间和精力,没办法只能放弃了之前的web题,在运维比赛的过程中,我发现学弟出的一些题目其实很有意思值得思考。
这是深大 Aurora 战队招新题的 writeup ,本菜鸡抱着学习的态度参加比赛,记录下自己的解题思路
刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。
关于 WordPress 的一个最好的地方就是它有非常庞大的社区人群,各种层次来贡献社区。每天都有新创建的主题和插件,并且这个社区在把真正有用和非常优秀的主题或者插件推到顶部这方面确实做得非常好,假如说插件就是 WordPress 的面包和黄油,那么一些非插件的工具则寻求使你的 WordPress 使用经验更加完美。
2. 在zval结构体中定义了ref_count和is_ref , ref_count是引用计数 ,标识此zval被多少个变量引用 , 为0时会被销毁 is_ref标识是否使用的 &取地址符强制引用
这道题目很有意思,有意思的是使用O(n)的时间效率和O(1)的空间效率解决。我会写一篇专业的博客来介绍一下
本文整理自我的知乎回答,地址:https://www.zhihu.com/question/442492817/answer/2333418261。
大家在刷《代码随想录》的时候,都会有疑惑: 第一遍刷完应该用多久? 第一遍我需要把每道题目都弄清楚么? 刷了一遍,感觉都忘了怎么办? 需要刷两遍么? 对于这些问题,星球里有一位录友分享了自己 刷了三遍代码随想录的完整历程,第一遍照着抄,第二遍开始能自己写一部分,第三遍开始系统总结,并用清楚了各个题目间的内在联系。 最后他也成功上岸了北美亚马逊,他的刷题经历,非常值得算法小白们的参考,这是从被杀到乱杀的进阶之路。 以下是他在今年四月份分享在知识星球里的刷题心得,行文十分接地气,刷题的录友们一定要耐心看完,你
领取专属 10元无门槛券
手把手带您无忧上云