TCTF Ghost Pepper WriteUp

TCTF / 0CTF Ghost Pepper

这个题做出来我个人觉得还是有些扯淡的,应该是非预期解了,不过拿到flag就完事了\龇牙

I still think this challenge is solved by accident, that I don’t think my solution is the official solution.

2018 SWPUCTF-Web WriteUp

前言

蜜汁啊,这个比赛为啥有这么多神仙

差一道题ak,最后Rank2感觉还行,澜洲学长他们还有二进制选手实在太强了

我太菜了只能水一道简单Web

BCTF2018-Web Checkin WriteUp

Checkin WP

毫无疑问,BCTF是我打的第二场极其自闭的比赛

第一个签到题死活做不出来,完全没有思路。直到最后一小时阿霖告诉我有思路了,然后去搭了一波环境结果不行。。。

确实当时最后有点急,现在静下来慢慢写确实写出来了。

顺便:Web是真的坑,简直无底洞一样,临时去学了一波Beego。。。

好在比赛结束后一小时58分钟拿到了flag。。。好歹算是迟到

NCTF2018-Web部分题WriteUp

NCTF2018

南邮的CTF比赛,Web题做起来感觉还行,比上次LCTF的舒服多了。总体难度还行吧,有些题有小坑。

最后拿了Rank5还算不错感觉。

深入SSTI-从NCTF2018两道Flask看bypass新姿势

简述

什么是SSTI

SSTI全称Server-Side-Template-Injection,即服务端模版注入攻击。

攻击成因是服务端模版引擎将用户的输入直接渲染进模版,而未做过滤或者对象关系映射(ORM)

这样,攻击者可以控制渲染进模版的内容。通过直接输入模版渲染的关键词例如{{ }},即可将恶意代码注入模版中执行。最严重的后果是getshell。

现在有很多常见的模版渲染引擎,而最常用也最长出问题的Web框架就是基于Python的Flask框架了。

具体SSTI的概念和成因分析此处不再赘述。

LCTF Web Travel复现

关于比赛

这场CTF可以说打的非常怀疑人生了,上次护网杯还能挖点东西出来,这次可以说是被按在地上摩擦,毫无游戏体验。。。

看了大神的WP才发现还有这么多东西,Web题还能这么玩。。