【置顶】SELF-INTRODUCTION

Who am I 颖奇L’Amore 比赛用名Y1ng 信息安全专业 Routing&Switching思科认证互联网专家(CCIE#52XXX) Hillstone认证安全工程师(HCSA#27XX) 渗透测试工程师 iSafe安全攻防实验室无线WLAN/LTE安全研究员、无线安全视频作者 业余WEB CTFer,现于Nepnep联合战队 大菜鸟 目前在某211高校的实验室进行深度学习与工业互联网的漏洞挖掘技术结合的相关研究 二进制安全、软件安全、操作系统 阅读更多…

🇮🇳Deep CTF 2020 Writeup

Author:颖奇L’Amore Blog:www.gem-love.com 这比赛没上CTFTime,所以可能没什么人知道,我是被认识的国际友人拉过去打的 When you feel that you are lost, do not give up, fight and move on. Being a hacker is not easy, it requires effort and sacrifice. But remember … we ar 阅读更多…

🇷🇺VolgaCTF 2020 Qualifier Writeup

Author:颖奇L’Amore Blog:www.gem-love.com 题很难,CTFTime上的权重也很高,周末的比赛,但是周末一直在打MRCTF和MUST-CTF,这个就算打了感觉也没太多输出,菜是原罪 趁着部分环境还没关,把题目详细研究一下,又学到不少新姿势 WEB Library(150pt) We have written a pretty useful library website where you can find all our books 阅读更多…

MRCTF 2020 Writeup

Author:颖奇L’Amore Blog:www.gem-love.com Ezpop_Revenge 考点:代码审计、SOAP反序列化、SSRF、CRLF 难度:难 这个题对payload要求太严格了,导致做了好几个小时,本地可以题目就是一直不行,心态崩了 题目打开是个typecho博客,www.zip泄露,下载得到源码,flag.php的代码暗示这是一个SSRF题: <?php if(!isset($_SESSION)) session_start(); 阅读更多…

武汉科技大学WUST-CTF 2020 Writeup

Author:颖奇L’Amore Blog:www.gem-love.com Checkin 考点:Recon 难度:简单 打开之后是个输入框,问Who’s the Author,题目描述可知题目作者为52HeRtz,审查元素修改maxlength和disabled后提交 提交得到了一个弹窗,是52HeRtz的博客,其他的经测试都不会验证成功,扫描题目也不再有可用信息 于是来到出题人博客,第一段flag直接查看网页源代码得到,第二段flag在出题人的某个 阅读更多…

第二届BJDCTF 2020 全部WEB题目 Writeup

Author:颖奇L’Amore Blog:www.gem-love.com 虽然作为部分题目的出题人,本wp依然是作为选手角度来写的,非官方wp。 出题笔记:点我查看 官方wp:链接1 链接2 Element Master 出题人:我 考点:信息收集、联想、Python 难度:简单 打开题目是个漫画: 可以看到,右下角的小人站在了俄罗斯🇷🇺国旗上,上面写着Дми́трий Ива́нович Менделе́ев(德米特里·伊万诺维奇·门捷列夫),就算不知道这个俄 阅读更多…

一道Node.js类型混淆污染与字符逃逸实现SQL注入的题目分析

Author:颖奇L’Amore Blog:www.gem-love.com 近日在参加🇺🇸ångstromCTF 2020时做了一个比较好的Node.js的题目 名称:A Peculiar Query 链接:https://peculiarquery.2020.chall.actf.co/ 考点:Node.js代码审计、类型混淆污染、SQLi 难度:Medium Code 是本次比赛质量比较高的一个题,打开之后是个搜索的界面,同时给了源码: const expre 阅读更多…

第二届BJDCTF出题笔记

Author:颖奇L’Amore Blog:www.gem-love.com 本文仅为题目分析,详细WP请访问:https://www.gem-love.com/ctf/2097.html 这次比赛我主要出了3个web和一些杂项题(都是凑数的) Web Element Master 文件探测 假猪套天下第一 Crypto 签到 燕言燕语 Y1nglish 灵能精通 Misc 小姐姐 最简单的MISC TARGZ 圣火昭昭 Reverse guessgame Elem 阅读更多…

🇮🇷SuSeC CTF 2020 Writeup & 基于Node.JS的sha1绕过分析

Author:颖奇L’Amore Blog:www.gem-love.com 是周末的比赛,这个周末同时进行了b01lers/confidence/angstorm/susec这四场比赛,这个比赛没怎么看,就做了一道solves最多的web题目,但是质量还挺高的 等其他题目wp出来后,复现一下,如果有比较好的题目再更新上来 web 0 题目链接:http://66.172.11.208:1337/ 代码分析 打开题目,得到Node.js源码: 1function s 阅读更多…