记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

SP eric靶机通关攻略

大家好,今天给大家带来的靶机是SP eric,这个靶机有两个flag,我们的目标就是把它们都找出来,flag的位置已经提供,如下:· /root/flag.txt· /root/eric/flag.txt靶机下载地址:https://www.vulnhub.com/entry/sp-eric,274/渗透方法· 网络扫描· 访问HTTP服务端口· 使用dirb遍历目录· 使用gitdumper来下载git文件· 使用extractor来提取git文件· 遍历登录凭证· 上传PHP反向shell· 获取用户flag· 利用
发布时间:2019-04-29 12:25 | 阅读:85638 | 评论:0 | 标签:Web安全 CTF writeup

渗透测试靶机fowsniff通关攻略

介绍大家好,今天我们的靶机是fowsniff,这是一个boot2root的挑战,目的是获取root权限。靶机下载地址在这里。废话不多说,直接进入实际操作。目录· 端口扫描和IP发现· 测试80端口· 在pastebin上找到哈希值· 解码哈希· 暴力破解pop3登录· 连接到pop3· 找到ssh用户名和密码· 找到提权的方法· 利用系统配置不当· 获取root权限· 获取flag实战过程我们先开始进行端口扫描,使用netdiscover命令:netdiscover发现目标IP地址是192.168.1.29接下来用nma
发布时间:2018-12-20 12:20 | 阅读:117631 | 评论:0 | 标签:系统安全 CTF writeup

n0js case1 writeup

前言 跟着蘑菇老师学前端安全第一弹[二哈] 地址: http://server.n0tr00t.com/n0js/case1.html 主要代码: 解题过程 查看页面源码可以看到我们需要分析的js。 代码分析 做类似的题目第一步都是要理清js的逻辑。这一次的题目可以把代码分为四部分来看。 I. test函数定义:第二个参数a2传入eval执行,可能就是我们要利用的点 II. 获取hash生成变量进行处理,第一个变量l1进行了escape编码,会转化为unicode编码值,因此不能包含部分特殊符号 III. 第三部分算是过滤,如果执行到判断体中的未定义变量,js就不能往下执行了。所以不能使任意一个条件满足。 IV. 主要考察点,把第二个hash放入数组v的第二个元素,前后拼接另外两个hash字符串传入te
发布时间:2016-12-16 15:50 | 阅读:117126 | 评论:0 | 标签:Web安全 n0js writeup 前端安全

第四届通信网络安全知识技能竞赛心得与部分writeup

2016年10月26日-27日,由工业和信息化部网络安全管理局指导,中国通信企业协会主办,中国通信企业协会通信网络安全专业委员会承办,陕西省通信管理局支持的第四届通信网络安全知识技能竞赛的决赛在古都西安举办。 决赛为攻防实战,26日比赛内容为笔试、个人上机挑战,27日为网络靶场及团队混战。赛场有基础电信运营企业赛场和综合赛场,综合赛场为基础电信运营企业和安全企业共同参加。参赛选手电信运营企业的55支队伍和安全企业的10支队伍共165安全白帽子。通过笔试、个人上机挑战、网络靶场及团队混战层层难关,历经三轮激烈比拼最终角出个人奖:一等奖5名,二等奖10名,三等奖15名,优秀奖20名;团队奖(综合赛场):一等奖1支队伍,二等奖3支队伍,三等奖6支队伍,优秀奖10支队伍;团队奖(基础赛场):一等奖3支队伍,二等奖6支
发布时间:2016-11-09 19:15 | 阅读:174957 | 评论:0 | 标签:独家 writeup 第四届通信网络安全知识技能竞赛 通信网络安全

第二届XCTF联赛:ZCTF-writeup

第二届XCTF联赛郑州站比赛(“ZCTF”国内联赛)暨”赛客”杯网络安全对抗赛现已正式开启,“赛客”杯网络安全对抗赛是由云安信息安全产业联盟、河南省软件服务业协会、河南省信息安全保密协会主办,河南赛客信息技术有限公司承办。ZCTF比赛分为线上初赛和线下决赛,其中线上初赛将于2016年1月23~24日在线上进行,历时36小时,ZCTF线上初赛我们将决出10支强队,ZCTF线下决赛我们还将邀请几支国内顶级强队前来参与征战。http://www.nbitsec.com/官网网址http://www.nbitsec.com/scoreboard 最终排名Misc类Misc10-签到题直接新浪微博搜下:开始完全没思路,解压word得到的document.xml发现一堆烫然而并没有什么思路,后来根据提
发布时间:2016-01-31 03:00 | 阅读:188403 | 评论:0 | 标签:WEB安全 CTF Writeup XCTF

第七届HCTF杭电网络攻防大赛

第七届HCTF杭电网络攻防大赛 初赛阶段 初赛规则 1.比赛总共分为初赛和决赛,决赛时选取初赛前10支队伍,若前10名中有队伍因其他原因不能按时参加决赛,则依次后延。 2.初赛时,每支队伍初始分数为0分,采用线上答题制,每道题目有不同的分值,答出该题目即可获得对应分数,比赛按照队伍得分进行排名。得分相同的队伍,按照达到该分数先后顺序排名。 3.比赛中每道题目的flag均为hctf{xxxxxx}的形式,提交时仅需提交括号中的内容,若flag为非标准形式,则会在题目中说明。 4.对于每道题目,每支队伍仅有30次提交flag的机会。 5.比赛中不允许对题目以及平台进行DDOS攻击,不允许对赛题题目以及服务器进行任何形式的扫描。各参赛队伍之间不允许交换flag或交流解题思路。一旦发现有交换flag,交流思路的行为
发布时间:2015-12-01 07:55 | 阅读:192134 | 评论:0 | 标签:CTF HCTF hctf.io hctf{xxxxxx} hctf2014 HCTF2014 Writeup HCTF

CTF writeup:HITCON – PhishingMe

‍‍如果你发送一个主题为"HITCON 2015"的.doc文档我会打开!在我的文件系统中找到flag注:我会为你开启宏^_________________^phishing.me.hitcon.2015@gmail.com.PhishingMe有趣的介绍告知我们可以在.doc中定义一个VBScript宏钓鱼,Here we go!准备恶意文件第一件事,我们需要一个Microsoft Word,这个 .doc文件需要在打开的时候自动运行脚本。过程如下:创建一个.doc文件。并从开发选项单中找到宏选项创建一个新的宏我们创建的这个宏需要尝试通过cmd.exe运行一个简单的命令Sub Auto_Open()    &
发布时间:2015-10-23 20:05 | 阅读:107431 | 评论:0 | 标签:系统安全 CTF hitcon PhishingMe Writeup

2015年第六届全国网络安全大赛(XDCTF)

【比赛简介】 XDCTF是一项面向全国在校大学生的信息安全类比赛,由西电信息安全协会与网络攻防实训基地联合举办。旨在增强学生对网络知识的兴趣,提高学生学习网络技术的积极性,培养学生的创新 意识、协作精神和理论联系实际的能力。  <初赛>:每年10月初,线上选拔赛  <决赛>:每年10月中旬,线下攻防 第六届西电信息安全大赛(XDCTF2015) http://xdctf.com 正式开放注册!   【比赛时间】 比赛将在2015/10/01 09:00am 正式开始 官方QQ群:179357070 【XDSEC】  XDSEC是由西电学生自发组织的安全团体,成员以本科生为主,研究生为辅(基本为原本科成员),致力于培养、发掘本科优秀学生加入信息安全的队列。 【贴近实战】  从XDCTF举办以来,
发布时间:2015-10-01 01:15 | 阅读:187989 | 评论:0 | 标签:CTF Crypto L-Team Misc phithon pwn Web安全 writeup XDCTF XDCTF

网络尖刀107团队:NSCTF绿盟西北高校网络安全攻防大赛Writeup

大赛简介 NSFOCUS-CTF是由绿盟科技研发中心主办,面向西北高校的网络安全技术攻防大赛,旨在普及网络安全知识,提高网络攻防意识,发现才华横溢的您,给予丰厚奖励以及Offer。   网络尖刀107团队也参加了本次比赛,虽然没有打进前十名,但NSCTF作为107团队的“处女赛”,无论是技术上还是团队合作上收获还是颇丰的。但以下是由107团队总结的Writeup,分享给大家。   MISC:   MISC1 Flag:NSCTF_nsfocus666 MISC2   一个rar压缩包,winHex取出来另存一个rar 打开发现需要密码,回去看发现下载页 密码是nsfocus+5位数字,生成字典爆破 打开压缩包看到flag flag{NCTF_R4r_Cr4
发布时间:2015-09-30 23:15 | 阅读:345250 | 评论:0 | 标签:技术 107 NSCTF WriteUp

绿盟科技网络攻防赛NSCTF WriteUp

NSCTF西北高校网络安全攻防大赛第一阶段线上赛落下帷幕,Azure以9350的高分暂居第一。大赛共吸引了1136名选手参加比赛,包括0ops成员、Insight-Labs成员、网络尖刀团队成员、cubesec团队成员等,还有各大学信息安全团队HDUISA、DUTSEC等成员。本文对线上赛进行总结,并开放所有赛题答案下载。 赛程介绍 大赛分为两个部分,第一阶段资格赛采用线上答题模式,筛选TOP 20进入第二阶段线下决赛。截止第一阶段线上赛结束时止,各战队排名情况如下(详见大赛主页http://www.nsctf.net/ ) 赛题答案 线上赛总共24道题,包括Web题12道,逆向题6道,加解密题3道,综合题3道。解出最多的为Web#100 Careful,有284人解出,解出最少的为逆向Reverse#3
发布时间:2015-09-29 18:55 | 阅读:312235 | 评论:0 | 标签:CTF 0ops Azure cubesec DUTSEC ExploitMe HDUISA insight-labs

ALiCTF 2015 Writeup

安全脉搏之前发过EvilMoon的《Alibaba CTF 2015 – XSS400 WriteUP》,这回Ricter和EvilMoon带来了完整的WriteUp 0x00 Cake Cake 是一题 Android 题,具体流程就是一个输入一个字符串然后,初始化一个长度为16的数组,然后将字符串与这个数组 xor 。所以我们只需要再 xor 一下就 ok 了。 就是看代码逆向下,关键是有两个 Key 找对就 ok 直接上代码a = [0, 3, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42] b = 'bobdylan' s = '' i = 0 for x in a: s+= chr(x ^ ord(b[i % len(b)])
发布时间:2015-04-07 21:26 | 阅读:179894 | 评论:0 | 标签:CTF 010editor 5408031 ::INDEX_ALLOCATION ALiCTF ALiCTF 2015

BCTF 2015 WEB题目通关攻略(Writeup)

关于bctf: BCTF是由蓝莲花战队举办的网络安全夺旗挑战赛,去年只面向国内,从今年开始,我们将向全世界开放,欢迎全球各地的小伙伴们参加!我们将为优胜者提供奖励。 今年的BCTF也是全国网络安全技术对抗联赛XCTF的分站赛之一,获胜的中国XCTF队伍将直接晋级南京的XCTF总决赛(决赛也由蓝莲花战队命题)。其他参赛的XCTF队伍也将获得积分,来竞争XCTF决赛的其他席位。 2015年战况:217, PPP 和 tomcr00se赢得了前三。 主要有下面一些题目   Checkin 10 Desc: Please checkin at IRC IRC: http://webchat.freenode.net/ Channels: bctf Bulletin board:[BCTF 2015
发布时间:2015-03-25 04:50 | 阅读:322792 | 评论:0 | 标签:CTF $ nc 146.148.60.107 6666 $ nc 146.148.79.13 55173 217 ba

0CTF 2015 Quals下周末拉开帷幕

0CTF 2015 Quals 0CTF (0ops Capture The Flag) 2015下周末拉开帷幕 安全脉搏持续关注并放出后续的赛题writeup 简介 第二届0CTF,暨首届XCTF联赛上海站选拔赛,由上海交通大学信息网络安全协会、0ops战队组织,分为线上初赛和线下决赛。 线上初赛采取Jeopardy的模式,时间为48小时。从xctftime注册的国内队伍中取前十二名进入线下决赛。 初赛时间 2015年3月28日 8:00 am (GMT+8) – 2015年3月30日 8 am (GMT+8) 初赛奖品 第一名:8192 元 第二名~第三名:4096 元 第四名~第五名:2048 元 第六名~第十名:1024 元 初赛奖品和决赛奖品分开设置 初赛地址 https://
发布时间:2015-03-15 22:55 | 阅读:106893 | 评论:0 | 标签:CTF 0CTF 0CTF 2015 0CTF 2015 Quals 0ops Capture The Flag 0op

XSS挑战第一期Writeup

0×00起因    这期XSS挑战的起因是在阅读“Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters”过后,在其中发现了一个很有趣的话题。那就是在圆括号被过滤的情况下,如何去执行javascript。测在文中笔者给出来了这样的解决方案:<a onmouseover="javascript:window.onerror=alert;throw 1>  这是一个通过抛出异常的方式来执行alert()的方案。那么,还有没有别的办法可以让我们在没有圆括号的情况下执行Javascript呢?众神们经常说,没有具
发布时间:2014-01-26 00:00 | 阅读:178604 | 评论:0 | 标签:WEB安全 Writeup xss 跨站

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云