记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

互联网安全城市巡回赛 2018上海站暨复旦沙龙 开幕在即

2018年1月13日,由i春秋发起的2018首届互联网安全责任峰会圆满落幕。峰会以“聚焦漏洞补完生态”为主题,邀请了国内知名互联网企业的管理者、教育者和技术英雄共聚一堂,共同探讨互联网安全责任的界限和实践。虽然峰会已经闭幕,但这只是互联网安全责任的开始。i春秋SRC部落将继续与企业、高校及白帽子们同行,共同承担时代赋予的网络安全重任。秉承着以上信念,互联网安全城市巡回赛上海站,将于7月14日在复旦大学举办。届时,SRC部落会协同亲密合作的伙伴一起召集有正义感的优秀白帽子齐聚上海,探索企业责任的新维度,践行网络安全人的使命。活动亮点1、百度杯精英白帽挑战赛在SRC部落的召集下,百度安全联合7家互联网安全应急响应中心,同精
发布时间:2018-07-07 00:20 | 阅读:48611 | 评论:0 | 标签:活动 CTF

红蓝对抗中的对手弹性方法论介绍(二)

有关运行SharpHound的详细信息,请参阅本系列博客文章中的“阶段1:枚举攻击路径”部分。阶段2:分析攻击路径弹性方法论全部都是关于减少Active Directory中的攻击面,而BloodHound有助于你分析针对任何节点所传入的攻击路径。如果你需要保护一套特定的系统,你可以这样做。如果你需要减少域之间的攻击路径,你也可以这样做。你的分析阶段应该由你的弹性目标是什么所驱动。为了演示该方法论,我们将选择任何组织都会拥有的非常普遍的通用目标:减少导致Domain Admin用户帐户受到攻击的攻击途径。首先,我们将收集一些关于能够渗透到域管理员路径的计算机和用户数量的统计信息。有关如何生成这些统计信息的详细信息,请参
发布时间:2018-05-15 00:20 | 阅读:57600 | 评论:0 | 标签:内网渗透 CTF

CTF Hackplayers 2018 WriteUp 之拿到Jax的权限

机器名为“Jax”的IP地址:10.42.0.152$ nmap -sV 10.42.0.153PORT   STATE SERVICE VERSION80/tcp open  http    Microsoft IIS httpd 7.5这台机器只开放了从外部可见的IIS服务。使用Seclists字典里几乎所有的文件路径模糊测试后,没有任何新的发现。如果我们打开Wireshark,则会出现一些Jax广播的通信流量,例如LLMNR,NBT-N
发布时间:2018-03-06 12:20 | 阅读:86484 | 评论:0 | 标签:其他 技术 CTF

CTF Hackplayers 2018 WriteUp之拿下Cisco权限

“Cisco”这台机器的IP地址是10.42.0.150 如果我们使用nmap执行基本扫描,我们可以找到以下服务 $ nmap -sV 10.42.0.150 22/tcp    open  ssh     OpenSSH 5.5p1 Debian ...
发布时间:2018-02-10 12:20 | 阅读:183378 | 评论:0 | 标签:技术 CTF

XMan冬令营“冰城”落幕 各路极客挑战魔鬼式赛制

1月23日,为期7天的“华为杯”极客出发XMan冬令营在哈尔滨工业大学落下帷幕。结营赛上,37名来自全国各地的移动安全爱好者上演一场精彩的CTF夺旗大战,经过7个小时的激烈比拼,弗莱格扫荡小分队战队获得了比赛的第一名。随着比赛的结束,XMan冬令营的极客冰雪之旅也告一段落。由XCTF国际联赛组委会主办,哈尔滨工业大学、赛宁网安承办,蓝莲花战队技术支持,华为冠名赞助的“华为杯”极客出发XMan冬令营于1月17日正式开启。XMan冬令营面向全国高校在校的网络安全学生,以移动安全为主题,通过渐进式课程教学、企业实战案例分享、CTF模拟演练、产品模块实操等形式,强化学员技术水平。此次XMan冬令营的最终考核是一场由学员自主出题的CTF解题赛。在培养学员移动安全方面的理论知识与实战能力的同时,提高了学员的出题能力。结营赛
发布时间:2018-01-25 18:58 | 阅读:107386 | 评论:0 | 标签:厂商供稿 CTF XMan 冬令营

CTF常见加密方式汇总

1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题。 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码。对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔。用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码。凯撒密码在外界也有很多种解法。这里我用在国外CTF平台WeChall一道凯撒密码来讲解 密码术可以大致分为两种,即移位和替换,当然也有两者结合的更复杂的方法。在移位中字母不变,位置改变;替换中字母改变,位置不变。将替换密码用于军事用途的第一个文件记载是恺撒著的《高卢记》。恺撒描述了他如何将密信送到正处在被围困、濒临投降的西塞罗。其中罗马字母被替换成希腊字母使得敌人根本无法看懂信息。苏托尼厄斯在公元二世纪写的
发布时间:2017-12-20 02:15 | 阅读:348556 | 评论:0 | 标签:专栏 CTF ctf试题 加密

PwnLab挑战技术解析

概要 这是一个boot2root的叫做Pwnlab的挑战。 我把拿到flag过程记录了下来: 过程 用vbox运行Pwnlab,并用nmap扫描下,扫描结果如下: 我们可以看到开放了80端口,打开发现运行着一个web应用。 这个应用程序包含一个登陆页面,主页和上传页面。我尝试浏览robots.txt文件,然而并不存在。所以我们使用dirb来枚举存在的目录。 打开config.php,页面是一片空白。 对网站进行扫描后,找到了一个本地文件包含漏洞,通过php://filter的方式加以利用。试着来读取index.php的源码: php://filter/convert.base64-encode/resource=index 注:php://filter可以参考:《谈一谈php://filter的妙用》
发布时间:2016-08-22 16:55 | 阅读:132234 | 评论:0 | 标签:Web安全 burpsuite ctf flag nc nmap php://filter PwnLab robots

Backdoor CTF 2013 Writeup

电子取证 150 0x00 题目 H4x0r决定给他的城堡添加一个额外的先进安全身份检验层。他的访问密钥是一个二维码且是唯一的,并一直放在他的钱包里。然而不幸,当他离开他的城堡护城河时一不小心把二维码弄到了河里,二维码被弄湿损毁了。现在他不能回到自己的城堡,迫切需要一个黑客帮助,他在craigslist网站发布了求助,描述了情况,这是你露一手的绝佳机会。 这是损毁的二维码 flag是隐藏在二维码里密码的最后13个字符的MD5值。 0x01 解题 使用PS打开二维码,调整图片色阶,使图片大致恢复原样,从图中大致可以推出图片做了蒙版处理。 所以我们调整图像的阈值,使蒙版处理效果失效,让图像恢复正常。 根据上图和二维码一般格式中可推出二维码中间以下部分可能做了反相处理,所以我们将图像中间一下部分再做一次反相让图
发布时间:2016-08-09 09:50 | 阅读:432521 | 评论:0 | 标签:CTF 4ido10n Audacity bakdor flag H4x0r PS修复二维码 stegsolve 基于J

全国高校网安联赛X-NUCA邀您报名参赛

网络安全是国家安全的重要一环!各行各业对网络安全的需求日益增长,建设网络强国事业离不开网安人才。目前,我国网安人才严重空缺已是不争的事实。 作为人才输出的排头兵,学校肩负着网络安全人才培养的重任。面对网络安全技术与应用领域的快速更迭,面对层出不穷的安全风险,面对对抗日益激烈的网络攻击与防护,社会对网安技术人才的要求更加严苛。   为加强网络安全学院学科专业建设和人才培养,经中央网络安全和信息化领导小组同意,中央网信办、发改委、教育部、科技部、工信部和人社部六部门近日联合印发《关于加强网络安全学科建设和人才培养的意见》,要求在已设立网络空间安全一级学科的基础上,加强学科专业建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。通过国家政策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收
发布时间:2016-07-23 01:15 | 阅读:183912 | 评论:0 | 标签:CTF X-NUCA 合天智汇信息技术

美国和阿联酋的高中生怎样打CTF

这些孩子们都在网络安全竞赛中奋勇拼争。要赢得比赛,他们必须具备与对手黑客相当的技术。大约35名高中生排排坐在大学体育馆里,另外115名大学级参赛者环绕着这些高中生。很安静,只有纽约地铁隧道偶尔传出的声响会切入他们的低语。没什么能让这些孩子从他们的电脑屏幕上分心,对不懂行的观察者而言,这些屏幕看上去充斥着不知所云的东西。但其实,这是一场犯罪追猎游戏。来自美国和阿联酋的12支高中队伍仔细研究那些杂乱的电子碎屑,最终目标是破获一起虚构的谋杀案。想达成目标,他们必须像黑客一样思考。这在10年前还是可能招致大问题的技能,现在嘛,安全专业人士必备技能。每个人都应该知道网络安全,安全应融入更多的软件。同时,找出网络迷案的解决方案也很有趣。纽约大学布鲁克林校区举办了网络安全意识周(CSAW)活动。作为此类活动中最大型的一个,C
发布时间:2016-05-20 17:20 | 阅读:81035 | 评论:0 | 标签:牛闻牛评 CSAW CTF 渗透测试

Google CTF WEB部分 Writeup

5月不减肥,6月徒悲伤…(╯-_-)╯╧╧,5月的第一个周末就哪也没去,打了google第一年办的比赛,整体还可以,就是月到了很多奇怪的东西。。。也不知道是我们脑洞太小了,还是说google的程序员什么洞都写过。。。 WEB Wallowing Wallabies 题目是一个系列的xss题目,有趣的是,最开始刚刚开始的时候,这个题目不是这样的…好像是把另一题的环境搭了过来,结果开始就误导了很多。 https://wallowing-wallabies.ctfcompetition.com/ 首先是发现有robots.txt User-agent: * Disallow: /deep-blue-sea/ Disallow: /deep-blue-sea/team/ # Yes, these are alp
发布时间:2016-05-04 18:35 | 阅读:99713 | 评论:0 | 标签:CTF 独家 CTF,Google Ernst Echidna Flag Storage Service ggctf20

一个CTF“赛棍”的独白

近年来,CTF夺旗赛异常火爆。全球每年共有近100余场国际赛事。我国举办的高水平CTF赛事也渐渐增多。刚刚结束的0CTF就是由BCTF演变为来的“XCTF”全国联赛之一。除此以外,值得我们关注的还有360计划在今年6月初举办面向全球的WCTF大师邀请赛。鉴于此,此次安全牛第六期在线技术讲座将邀请有深厚渗透测试功底及CTF比赛参赛经验、现长亭科技高级安全研究员洪宇(redrain)带来主题为《“赛棍”的自我修养》的分享。讲座内容:通过渗透测试实战中的关键技术:获取信息(gather info)攻击行为(sqli,xss…)权限提升(privilege elevation)引入在CTF比赛中涉及到的具体应用,以及在比赛中对抗主办方和其他比赛选手的实际案例。还会通过在几次线下赛中对抗国内外强队的实际案例,
发布时间:2016-04-26 14:30 | 阅读:115363 | 评论:0 | 标签:活动集中营 CTF 安全牛

10个问题帮您厘清什么是CTF

1. 什么是CTF?Capture The Flag(简称CTF),直译为“夺旗赛”,起源于1996年举办的DEF CON全球黑客大会,最早是交流安全技术的重要途径。随着时间的推移,CTF竞赛逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球范围网络安全圈的流行比赛,但其比赛形式与内容依然拥有浓厚的黑客精神和黑客文化。近年来,CTF竞赛活动蓬勃发展,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为了学习锻炼信息安全技术,展现安全能力和水平的绝佳平台。2. CTF的目标是什么?从字面上来看,CTF参赛队伍的目标是获取尽可能多的flag(旗帜)。参赛队伍需要通过解决信息安全的技术问题来获取flag。flag可能来自于一台远端的服务器,一个复杂的软件,也可能隐藏在一段通过密码算法或协议加密
发布时间:2016-03-03 15:15 | 阅读:106597 | 评论:0 | 标签:活动 CTF

2016SSCTF全球来袭,期待你的加入

春意盎然,寒冷的冬天已经过去,2016西安SSCTF大赛距离开赛也只有短短的几天时间了,各位,你们准备好了吗? 根据大赛官网的统计,从大赛官网开放注册到现在,短短的几天时间里就吸引国内外众多的网络安全爱好者的积极响应。大赛官网(http://lab.seclover.com)自2016-02-17上线截止目前为止日平均访问量达5000多次,最高单日访问量达8000多次,累计分量已达25000多次,从官网统计数据显示访问者有来自中欧的德国、瑞士、奥地利、捷克、匈牙利等,北欧的瑞典、芬兰等,东欧的波兰、白俄罗斯等,西欧的法国、荷兰、爱尔兰、比利时、西班牙等,中东国家伊朗等,亚洲的韩国、日本、新加坡、马来西亚、越南、蒙古、哈萨克斯坦、印度等。这已不仅仅是丝绸之路沿线国家之间的角逐,而是全球信息安全高手之间的较量!
发布时间:2016-02-24 12:30 | 阅读:156213 | 评论:0 | 标签:安全 CTF SSCTF XCTF联赛

CTF工具集合安装脚本操作姿势

这是一个创建各种搜索工具的安装脚本。当然,这并不难,但是把他们整合起来是一件非常给力的事儿,因为这样在新的机器上部署这些东西就会变得很简单了。合集包括了以下工具:类型        工具              描述binary    afl                目前最棒的 fuzzer.binary    angr   &
发布时间:2016-02-02 16:00 | 阅读:432287 | 评论:0 | 标签:工具 CTF

第二届XCTF联赛:ZCTF-writeup

第二届XCTF联赛郑州站比赛(“ZCTF”国内联赛)暨”赛客”杯网络安全对抗赛现已正式开启,“赛客”杯网络安全对抗赛是由云安信息安全产业联盟、河南省软件服务业协会、河南省信息安全保密协会主办,河南赛客信息技术有限公司承办。ZCTF比赛分为线上初赛和线下决赛,其中线上初赛将于2016年1月23~24日在线上进行,历时36小时,ZCTF线上初赛我们将决出10支强队,ZCTF线下决赛我们还将邀请几支国内顶级强队前来参与征战。http://www.nbitsec.com/官网网址http://www.nbitsec.com/scoreboard 最终排名Misc类Misc10-签到题直接新浪微博搜下:开始完全没思路,解压word得到的document.xml发现一堆烫然而并没有什么思路,后来根据提
发布时间:2016-01-31 03:00 | 阅读:126996 | 评论:0 | 标签:WEB安全 CTF Writeup XCTF

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云