CISCN作为国内CTF比赛中最具含金量的比赛(大概),初赛题目对我还是很有难度的,这下真是拼尽全力无法战胜了(笑),好在结果还算不错,不出意外可以进到半决赛,所以也算是记录一下吧。
由于我在比赛中只做了web和取证,而取证部分又基本完全由队友完成的,就姑且记录一下做出来的两道web题吧。
个人WPWebsafe_proxy这是出的第一道web题,考点在于无回显的SSTI注入
源代码如下:
...
起因是看到学长训练的战队猫娘,又想到近来遇到的越来越多的大语言模型应用安全的题目,于是就想着汇总一下猫娘调教经验大语言模型学习成果。
从猫娘开始既然要开始调教猫娘,那当然要先有一只猫娘了。
在本地运行大语言模型,一般需要首先下载或获取一个预训练的语言模型,再通过相关库来加载和运行模型。最常用的方法应该是通过docker部署。
以下是docker部署的一个简单流程:
编写Dockerfile...
似乎高考之后,就再少接触文字了。如今有了自己的博客,貌似也可以稍稍拾起,恢复一下早已被琐碎的生活浇灭的表达欲。
有时候确实会想起高中的生活,那时候我很喜欢看书——虽然大概是因为看书是唯一的放松途径——有的时候会在自习课上看,有时候会在早读时假装读书,有时候甚至会在语文课上看。看的书大抵也是来者不拒,无论是杂志还是名著,也总想翻来看看。不过老师们说的大概确实正确,在这种情况下读的书,又能留下多...
0xGame作为新生赛,难度曲线还是非常友好的,但本来参加比赛是冲着能把webAK了来的,但没想到后面的题目竟然都开始考rust和js了,我就在第三周溜了(想AK要学的东西也太多了吧)
Week1第一周都是入门题,没有太大记录的必要
但是官方WP里给的一些工具网站 学习博客 都还挺好用的
记录一下
Week2第二周就开始上强度了
picture这道题与平时见到的入门级的文件上传漏洞基本差不多...
鹏城杯好难,累死累活一天也只写出一道(〒︿〒)
等之后仔细学习一下别人的WP,希望能学到更多有用的知识
个人WPpython口算-pcb2024又是一道小猿搜题的题(果然哪里的CTFer都是一样对热梗毫无抵抗力)
请求/calc路由可以获取到算式信息,直接利用eval()函数就能直接计算了
发送正确的计算结果之后,就可以获取到提示,下载网页源码
分析源码,发现有SSTI注入点,不过不确定黑名...
个人WPHackergame作为中科大举办的CTF比赛,赛题都很有水平和研究价值(而且都很有梗),确实是一次玩的很开心的比赛(虽然做出来的题并不多)
挑出几道我做出来且觉得有记录价值的题来写一写
Web比大小王自从小猿口算火了之后,各大CTF都开始出类似的题了(我们CTFer真是不肯放过任何一个热梗呢)
所以用类似的思路
首先分析前端脚本,发现题目首先请求了/game路由获取游戏数...
这是我第一次正式随战队参加正规的CTF比赛,虽然没能顺利进入线下比赛,也算一次难忘的经历了。(也见识到了闲鱼的真正恐怖之处)
虽然是初赛,比赛的难度也是挺高的,web只做出来一道。
web02首先进行登录,对账号密码都没有要求
登陆到后台,看到输入框,发现输入内容可以回显,先进行SSTI测试,发现不行,于是测试XSS,可以弹出提示框,于是尝试XSS注入(页面中“点击提交当前页面,boss会审...
