记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CTF Hackplayers 2018 WriteUp 之拿到Jax的权限

机器名为“Jax”的IP地址:10.42.0.152$ nmap -sV 10.42.0.153PORT   STATE SERVICE VERSION80/tcp open  http    Microsoft IIS httpd 7.5这台机器只开放了从外部可见的IIS服务。使用Seclists字典里几乎所有的文件路径模糊测试后,没有任何新的发现。
发布时间:2018-03-06 12:20 | 阅读:174668 | 评论:0 | 标签:其他 技术 CTF

CTF Hackplayers 2018 WriteUp之拿下Cisco权限

“Cisco”这台机器的IP地址是10.42.0.150 如果我们使用nmap执行基本扫描,我们可以找到以下服务 $ nmap -sV 10.42.0.150 22/tcp    open 
发布时间:2018-02-10 12:20 | 阅读:318474 | 评论:0 | 标签:技术 CTF

XMan冬令营“冰城”落幕 各路极客挑战魔鬼式赛制

1月23日,为期7天的“华为杯”极客出发XMan冬令营在哈尔滨工业大学落下帷幕。结营赛上,37名来自全国各地的移动安全爱好者上演一场精彩的CTF夺旗大战,经过7个小时的激烈比拼,弗莱格扫荡小分队战队获得了比赛的第一名。随着比赛的结束,XMan冬令营的极客冰雪之旅也告一段落。由XCTF国际联赛组委会主办,哈尔滨工业大学、赛宁网安承办,蓝莲花战队技术支持,华为冠名赞助的“华为杯”极客出发XMan冬令营于1月17日正式开启。XMan冬令营面向全国高校在校的网络安全学生,以移动安全为主题,通过渐进式课程教学、企业实战案例分享、CTF模拟演练、产品模块实操等形式,强化学员技术水平。
发布时间:2018-01-25 18:58 | 阅读:221051 | 评论:0 | 标签:厂商供稿 CTF XMan 冬令营

CTF常见加密方式汇总

1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题。 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码。对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔。用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码。凯撒密码在外界也有很多种解法。这里我用在国外CTF平台WeChall一道凯撒密码来讲解 密码术可以大致分为两种,即移位和替换,当然也有两者结合的更复杂的方法。在移位中字母不变,位置改变;替换中字母改变,位置不变。将替换密码用于军事用途的第一个文件记载是恺撒著的《高卢记》。
发布时间:2017-12-20 02:15 | 阅读:557430 | 评论:0 | 标签:专栏 CTF ctf试题 加密

PwnLab挑战技术解析

概要 这是一个boot2root的叫做Pwnlab的挑战。 我把拿到flag过程记录了下来: 过程 用vbox运行Pwnlab,并用nmap扫描下,扫描结果如下: 我们可以看到开放了80端口,打开发现运行着一个web应用。 这个应用程序包含一个登陆页面,主页和上传页面。我尝试浏览robots.txt文件,然而并不存在。所以我们使用dirb来枚举存在的目录。 打开config.php,页面是一片空白。 对网站进行扫描后,找到了一个本地文件包含漏洞,通过php://filter的方式加以利用。
发布时间:2016-08-22 16:55 | 阅读:240350 | 评论:0 | 标签:Web安全 burpsuite ctf flag nc nmap php://filter PwnLab robots

Backdoor CTF 2013 Writeup

电子取证 150 0x00 题目 H4x0r决定给他的城堡添加一个额外的先进安全身份检验层。他的访问密钥是一个二维码且是唯一的,并一直放在他的钱包里。然而不幸,当他离开他的城堡护城河时一不小心把二维码弄到了河里,二维码被弄湿损毁了。现在他不能回到自己的城堡,迫切需要一个黑客帮助,他在craigslist网站发布了求助,描述了情况,这是你露一手的绝佳机会。 这是损毁的二维码 flag是隐藏在二维码里密码的最后13个字符的MD5值。 0x01 解题 使用PS打开二维码,调整图片色阶,使图片大致恢复原样,从图中大致可以推出图片做了蒙版处理。
发布时间:2016-08-09 09:50 | 阅读:814673 | 评论:0 | 标签:CTF 4ido10n Audacity bakdor flag H4x0r PS修复二维码 stegsolve 基于J

全国高校网安联赛X-NUCA邀您报名参赛

网络安全是国家安全的重要一环!各行各业对网络安全的需求日益增长,建设网络强国事业离不开网安人才。目前,我国网安人才严重空缺已是不争的事实。 作为人才输出的排头兵,学校肩负着网络安全人才培养的重任。面对网络安全技术与应用领域的快速更迭,面对层出不穷的安全风险,面对对抗日益激烈的网络攻击与防护,社会对网安技术人才的要求更加严苛。
发布时间:2016-07-23 01:15 | 阅读:253510 | 评论:0 | 标签:CTF X-NUCA 合天智汇信息技术

美国和阿联酋的高中生怎样打CTF

这些孩子们都在网络安全竞赛中奋勇拼争。要赢得比赛,他们必须具备与对手黑客相当的技术。大约35名高中生排排坐在大学体育馆里,另外115名大学级参赛者环绕着这些高中生。很安静,只有纽约地铁隧道偶尔传出的声响会切入他们的低语。没什么能让这些孩子从他们的电脑屏幕上分心,对不懂行的观察者而言,这些屏幕看上去充斥着不知所云的东西。但其实,这是一场犯罪追猎游戏。来自美国和阿联酋的12支高中队伍仔细研究那些杂乱的电子碎屑,最终目标是破获一起虚构的谋杀案。想达成目标,他们必须像黑客一样思考。这在10年前还是可能招致大问题的技能,现在嘛,安全专业人士必备技能。每个人都应该知道网络安全,安全应融入更多的软件。
发布时间:2016-05-20 17:20 | 阅读:141384 | 评论:0 | 标签:牛闻牛评 CSAW CTF 渗透测试

Google CTF WEB部分 Writeup

5月不减肥,6月徒悲伤…(╯-_-)╯╧╧,5月的第一个周末就哪也没去,打了google第一年办的比赛,整体还可以,就是月到了很多奇怪的东西。。。也不知道是我们脑洞太小了,还是说google的程序员什么洞都写过。。。 WEB Wallowing Wallabies 题目是一个系列的xss题目,有趣的是,最开始刚刚开始的时候,这个题目不是这样的…好像是把另一题的环境搭了过来,结果开始就误导了很多。
发布时间:2016-05-04 18:35 | 阅读:163279 | 评论:0 | 标签:CTF 独家 CTF,Google Ernst Echidna Flag Storage Service ggctf20

一个CTF“赛棍”的独白

近年来,CTF夺旗赛异常火爆。全球每年共有近100余场国际赛事。我国举办的高水平CTF赛事也渐渐增多。刚刚结束的0CTF就是由BCTF演变为来的“XCTF”全国联赛之一。除此以外,值得我们关注的还有360计划在今年6月初举办面向全球的WCTF大师邀请赛。鉴于此,此次安全牛第六期在线技术讲座将邀请有深厚渗透测试功底及CTF比赛参赛经验、现长亭科技高级安全研究员洪宇(redrain)带来主题为《“赛棍”的自我修养》的分享。
发布时间:2016-04-26 14:30 | 阅读:186838 | 评论:0 | 标签:活动集中营 CTF 安全牛

10个问题帮您厘清什么是CTF

1. 什么是CTF?Capture The Flag(简称CTF),直译为“夺旗赛”,起源于1996年举办的DEF CON全球黑客大会,最早是交流安全技术的重要途径。随着时间的推移,CTF竞赛逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球范围网络安全圈的流行比赛,但其比赛形式与内容依然拥有浓厚的黑客精神和黑客文化。近年来,CTF竞赛活动蓬勃发展,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为了学习锻炼信息安全技术,展现安全能力和水平的绝佳平台。2. CTF的目标是什么?从字面上来看,CTF参赛队伍的目标是获取尽可能多的flag(旗帜)。
发布时间:2016-03-03 15:15 | 阅读:191012 | 评论:0 | 标签:活动 CTF

2016SSCTF全球来袭,期待你的加入

春意盎然,寒冷的冬天已经过去,2016西安SSCTF大赛距离开赛也只有短短的几天时间了,各位,你们准备好了吗? 根据大赛官网的统计,从大赛官网开放注册到现在,短短的几天时间里就吸引国内外众多的网络安全爱好者的积极响应。
发布时间:2016-02-24 12:30 | 阅读:207214 | 评论:0 | 标签:安全 CTF SSCTF XCTF联赛

CTF工具集合安装脚本操作姿势

这是一个创建各种搜索工具的安装脚本。当然,这并不难,但是把他们整合起来是一件非常给力的事儿,因为这样在新的机器上部署这些东西就会变得很简单了。
发布时间:2016-02-02 16:00 | 阅读:584442 | 评论:0 | 标签:工具 CTF

第二届XCTF联赛:ZCTF-writeup

第二届XCTF联赛郑州站比赛(“ZCTF”国内联赛)暨”赛客”杯网络安全对抗赛现已正式开启,“赛客”杯网络安全对抗赛是由云安信息安全产业联盟、河南省软件服务业协会、河南省信息安全保密协会主办,河南赛客信息技术有限公司承办。ZCTF比赛分为线上初赛和线下决赛,其中线上初赛将于2016年1月23~24日在线上进行,历时36小时,ZCTF线上初赛我们将决出10支强队,ZCTF线下决赛我们还将邀请几支国内顶级强队前来参与征战。
发布时间:2016-01-31 03:00 | 阅读:211391 | 评论:0 | 标签:WEB安全 CTF Writeup XCTF

SECCON 2015 CTF精选:一道400分的Android APK逆向题

这是一道SECCON 2015 CTF挑战赛中“Android APK 逆向”的第二道题目,分值400。提示为:“key 就存储在应用程序中,但是你需要hack掉服务器。”首先,我安装了APK文件想看看它到底能做什么,结果发现只有两个功能:注册和登录。这个应用程序的名称是“kr.repo.h2spice.yekehtmai”。APK文件登录显示在使用应用程序时,我发现当我在“电子邮件”栏输入一个单引号时,消息框中会显示有个JSON错误。这表明服务器或许存在SQL注入漏洞。尽管,我很快意识到这是个盲注。这样一来,如果在这个安卓程序中打字输入的话,就太麻烦了。
发布时间:2015-12-18 16:00 | 阅读:163543 | 评论:0 | 标签:其他 CTF seccon Android

台湾黑客大赛结束:韩国天才黑客问鼎 中国两队入围前5

据台湾媒体报道,HITCON CTF决赛落下帷幕,韩国队展现出超强战力,天才少年Lokihardt领军的韩国队夺冠,中国蓝莲花和0ops实力不凡,均在前五名内,俄罗斯联队获得第三名,美国队PPP令人大跌眼镜只拿到第五名。韩国“天才黑客” LokihardtHITCON CTF 是台湾首度举办的世界级网络安全攻防竞赛,进入决赛的都是全世界排名前10名的高手团队。由韩国天才黑客Lokihardt领军的韩国队Cykorkinesis最终获得 HITCON CTF 决赛冠军宝座,并成为全世界第一个以种子赛冠军身分入围明年 DEF CON CTF 决赛的队伍。
发布时间:2015-12-13 07:00 | 阅读:141745 | 评论:0 | 标签:动态 行业动态 CTF HITCON 蓝莲花

第七届HCTF杭电网络攻防大赛

第七届HCTF杭电网络攻防大赛 初赛阶段 初赛规则 1.比赛总共分为初赛和决赛,决赛时选取初赛前10支队伍,若前10名中有队伍因其他原因不能按时参加决赛,则依次后延。 2.初赛时,每支队伍初始分数为0分,采用线上答题制,每道题目有不同的分值,答出该题目即可获得对应分数,比赛按照队伍得分进行排名。得分相同的队伍,按照达到该分数先后顺序排名。 3.比赛中每道题目的flag均为hctf{xxxxxx}的形式,提交时仅需提交括号中的内容,若flag为非标准形式,则会在题目中说明。 4.对于每道题目,每支队伍仅有30次提交flag的机会。
发布时间:2015-12-01 07:55 | 阅读:219803 | 评论:0 | 标签:CTF HCTF hctf.io hctf{xxxxxx} hctf2014 HCTF2014 Writeup HCTF

CSAW2015决赛:使用vDSO重写绕过SMEP

今年的CSAW决赛中有几个不错的内核挑战,今天我们解决的是来自Michael Coppola的StringIPC。我们的实验环境为内核版本3.13的64位ubuntu 14.04.3虚拟机,并且开启SMEP,kptr_restrict和dmesg_restrict。这里加载了一个"StringIPC"内核模块,但是源在home目录下,你可以在这里查看源代码。分析内核模块StringIPC模块实现了一个进程间的基本通信系统,其允许设备的ioctl存储到/dev/csaw并且通过不同通道读取数据。
发布时间:2015-11-21 00:20 | 阅读:135953 | 评论:0 | 标签:系统安全 CSAW2015 CTF SMEP vDSO

因在CTF比赛违规,巴西陆军遭报复导致数据泄露

本周早些时候,巴西陆军的服务器被攻击,导致大约7000军事官员的个人资料被盗。 黑客迅速公布了这些私密数据,其中包括国家保险号码和用于访问官方军事网站的ID和密码以及其他的一些详细资料。 巴西军队已经证实了他们的服务器受到了攻击,他们也发布了官方声明,他们组织使用的战略防御系统的完整性不受此次事件的影响,同时他们也正对此事件进行调查。 看起来,这次攻击是一次报复,因为之前巴西军队曾参加Capture the Flag/CTF 网络安全竞赛。 黑客认为巴西陆军的团队在比赛中有不恰当的行为,他们的这次攻击行动是为了表示抗议。
发布时间:2015-11-18 16:15 | 阅读:105888 | 评论:0 | 标签:安全 CTF

中国·西安2015“华山杯”网络安全技能大赛

  中国·西安2015“华山杯”网络安全技能大赛即将开赛,通过网络攻防技能大赛,旨在增进技术交流,强化技术能力,挖掘网络安全优秀技术人才,为网络安全工作提供有效支撑,为“互联网+”保驾护航。 大赛邀请全国网络安全从业人员、广大网络安全爱好者共同参与。 中国·西安2015“华山杯”网络安全技能大赛欢迎各路英才齐聚西安,各显所能、交流思想、切磋技术,不断提升国内网络安全界技术人才能力,为实现安全的“互联网+”共同努力。 大赛规则 线上赛规则 本次比赛是陕西省互联网信息办公室指导,面向全国的信息安全大赛。赛前请仔细阅读此规则及竞赛说明。

CTF writeup:HITCON – PhishingMe

‍‍如果你发送一个主题为"HITCON 2015"的.doc文档我会打开!在我的文件系统中找到flag注:我会为你开启宏^_________________^phishing.me.hitcon.2015@gmail.com.PhishingMe有趣的介绍告知我们可以在.doc中定义一个VBScript宏钓鱼,Here we go!准备恶意文件第一件事,我们需要一个Microsoft Word,这个 .doc文件需要在打开的时候自动运行脚本。过程如下:创建一个.doc文件。
发布时间:2015-10-23 20:05 | 阅读:128487 | 评论:0 | 标签:系统安全 CTF hitcon PhishingMe Writeup

2015年第六届全国网络安全大赛(XDCTF)

【比赛简介】 XDCTF是一项面向全国在校大学生的信息安全类比赛,由西电信息安全协会与网络攻防实训基地联合举办。旨在增强学生对网络知识的兴趣,提高学生学习网络技术的积极性,培养学生的创新 意识、协作精神和理论联系实际的能力。
发布时间:2015-10-01 01:15 | 阅读:211356 | 评论:0 | 标签:CTF Crypto L-Team Misc phithon pwn Web安全 writeup XDCTF XDCTF

绿盟科技网络攻防赛NSCTF WriteUp

NSCTF西北高校网络安全攻防大赛第一阶段线上赛落下帷幕,Azure以9350的高分暂居第一。大赛共吸引了1136名选手参加比赛,包括0ops成员、Insight-Labs成员、网络尖刀团队成员、cubesec团队成员等,还有各大学信息安全团队HDUISA、DUTSEC等成员。本文对线上赛进行总结,并开放所有赛题答案下载。 赛程介绍 大赛分为两个部分,第一阶段资格赛采用线上答题模式,筛选TOP 20进入第二阶段线下决赛。
发布时间:2015-09-29 18:55 | 阅读:349764 | 评论:0 | 标签:CTF 0ops Azure cubesec DUTSEC ExploitMe HDUISA insight-labs

ISG2015技术挑战赛报名及比赛规则

  为办好中国信息安全技能竞赛(ISG)技术挑战赛2015,确保此次赛事活动的公开、公平和公正进行,特制订此规则。    竞赛对象 全国范围内各界人士、在校学生、信息安全从业人员及安全爱好者可以用个人名义或自由组队参赛。    竞赛时间 报名时间:2015年9月22日-10月16日 比赛时间:2015年10月17日-10月18日 采用线上答题形式,线上答题系统开放时间为 9:00 - 24:00,系统开放2天共30小时。    题目类型 参赛个人或团队通过报名系统的资格审查后,在比赛时间段使用收到的帐号登陆竞赛平台进行线上答题,比赛形式参考CTF竞赛模式。
发布时间:2015-09-29 03:45 | 阅读:168735 | 评论:0 | 标签:CTF 2015技术挑战赛比赛规则 chinaisg Crypto ctf@e365.org Forensics ISG

CTF writeup:CSAW CTF 2015 Web200解题过程

‍‍问题Lawn Care Simulator是一个用来显示小草生长过程的简单网页应用。它包含了许多有价值的内容,但是需要我们进行登录才能获取。然而,无法进行注册操作,如果我们不能进行注册那么就没有其他方法去登录。0×01 探寻.git仓库从index.html的源代码中我们发现有一个AJAX请求Git仓库,接着我们可以在远程服务器利用.git文件。随着下面SHA-1 Git objects hash,我们可以找到并下载源文件(不幸的是,并非全部)。
发布时间:2015-09-25 19:45 | 阅读:128817 | 评论:0 | 标签:其他 csaw CTF

极棒特训营打造王牌黑客战队DEFCON CTF

7月15日-17日,由GeekPwn(极棒)智能生活安全社区创办的极棒特训营将在南京开营。参与特训的皆为网络安全技术对抗联赛XCTF中的顶尖高手,他们将接受以“点化”和“打通任督二脉”为精髓的高段位黑客技术进阶指导,备战世界最高水平的DEFCON CTF 总决赛。 本次极棒特训营中,GeekPwn发起及创办人“大牛蛙”王琦将携安全圈众神秘高手,以新颖的形式面授黑客绝技。不同于极棒公开课面向全国的信息安全爱好者,极棒特训营对学员有着严苛的筛选。极棒特训营的学员均来自XCTF总决赛的最强战队,只有40人能够拿到极棒特训营的门票。GeekPwn组委会表示,万里挑一,高手进阶是极棒特训营的原则。
发布时间:2015-07-08 07:40 | 阅读:114453 | 评论:0 | 标签:业界 CTF Defcon 极棒 黑客

网络攻防竞赛的新形式--AWD

2015中国网络安全攻防大赛于5月26日落下帷幕,经全国范围层层选拔并进入决赛共有38支代表队,经五个小时的激烈对抗,一等奖得主为紫禁城战队。另外,在4月29日首都网络安全日的攻防赛中表现不俗的长亭外、PowerTime与ADLab战队均各有斩获。撇开各参赛队伍的表现不谈,安全牛关心的是这种新型的网络安全竞赛形式。与传统主流的网络安全竞赛CTF(夺旗赛)的人机攻防不同,这种攻防是人人攻防,这也是得名AWD(Attack With Defence,攻防兼备)的由来。在AWD的竞赛环境中,每支队伍有一个小型的虚拟网络,在虚拟网络的边界上会放一个虚拟的防火墙,一台防守机、一台Flag机。
发布时间:2015-05-27 23:25 | 阅读:529178 | 评论:0 | 标签:动态 AWD CTF 攻防比赛 永信至诚

ALiCTF 2015 Writeup

安全脉搏之前发过EvilMoon的《Alibaba CTF 2015 – XSS400 WriteUP》,这回Ricter和EvilMoon带来了完整的WriteUp 0x00 Cake Cake 是一题 Android 题,具体流程就是一个输入一个字符串然后,初始化一个长度为16的数组,然后将字符串与这个数组 xor 。所以我们只需要再 xor 一下就 ok 了。
发布时间:2015-04-07 21:26 | 阅读:239304 | 评论:0 | 标签:CTF 010editor 5408031 ::INDEX_ALLOCATION ALiCTF ALiCTF 2015

Alibaba CTF 2015 – XSS400 WriteUP

周末两天都在疗养睡眠,恰逢 AliCTF 与 0ctf 的夺旗赛,其实我都快睡到周一了,可惜下午被 R29 叫起来说阿里出了道 XSS400 分的题还没有队伍做出,另外
发布时间:2015-03-31 04:45 | 阅读:252142 | 评论:0 | 标签:CTF Alibaba CTF 2015 Alibaba CTF 2015 WriteUP document.body.

BCTF 2015 WEB题目通关攻略(Writeup)

关于bctf: BCTF是由蓝莲花战队举办的网络安全夺旗挑战赛,去年只面向国内,从今年开始,我们将向全世界开放,欢迎全球各地的小伙伴们参加!我们将为优胜者提供奖励。 今年的BCTF也是全国网络安全技术对抗联赛XCTF的分站赛之一,获胜的中国XCTF队伍将直接晋级南京的XCTF总决赛(决赛也由蓝莲花战队命题)。其他参赛的XCTF队伍也将获得积分,来竞争XCTF决赛的其他席位。 2015年战况:217, PPP 和 tomcr00se赢得了前三。
发布时间:2015-03-25 04:50 | 阅读:356561 | 评论:0 | 标签:CTF $ nc 146.148.60.107 6666 $ nc 146.148.79.13 55173 217 ba

ADS

标签云