[crypto] OX9OR2 [forensic] Alien Communication [forensic] Heaven [forensic] Hidden File [misc] World's Greatest Detective [rev] How to defeat a dragon [rev] Keygen [rev] Pulling the strings [rev] warmup [web] Colour Cookie [web] Extractor …

[web] Jsonify [web] Unis Love Code [cloud] Cloud 9*9 [web] Jsonify この問題解いたら謎の人物から解き方教えてDM来ました。 GET /するとphpコードがもらえる。 改行と空白が消されているのでPHP Beautifierとか使ったり、見た感じで復元する。 なぜこん…

[web] cigarette [web] Rosin [web] world [web] viska [web] cigarette GET /をすると以下のような応答が帰ってきて、フラグが含まれている HTTP/1.1 200 OK Date: Wed, 10 Aug 2022 16:14:28 GMT Server: Apache/2.4.25 (Debian) X-Powered-By: PHP/5.6.40…

[forensic] whack a frog [web] jsonquiz [web] msfrog generator [forensic] whack a frog ぱらぱら見ていくと GET /anticheat?x=18&y=11&event=mousemove というのが連なっている。 適当にダンプしてきて、GETリクエストの内容を見てみる。 GET /anticheat…

[Forensic] Persistent Ghost [forensic] Walk Down Memory Lane (2) [forensic] Warmup 1 [forensic] Warmup 2 [forensic] Weird FS [web] konan [web] Drunken Developer [web] Evil Volunteer [web] Kenzy [web] Doctor-X CTFtime.org / Arab Security Cy…

[crypto] BASIC [crypto] MAFIOSO [crypto] OBSCURE [crypto] TRAIN TO PADDINGTON [forensics] BBBBBBBBBB [forensics] ADDING IN PARTS [misc] PATTERN [pwn] RANDOM [reverse] SOURCE [web] ROBOTS AND MUSIC [web] PONG [web] ARE YOU THE ADMIN? [web] …

[crypto] obp [crypto] pem [crypto] kfb [misc] orphan [rev] slices [rev] sequence [rev] super anti scalper solution 9000 [web] secure-page [web] reverser [web] flag-viewer [web] pastebin [web] point [web] oeps 終わりに CTFtime.org / DiceCTF…

[Web] Sanity Check [Forensic] Portal Savior [Forensic] Roblox 1 [Forensic] Roblox 2 [Crypto] Recovery [Misc] Hexahue Hate! 2336点で65位/635。 んー、Web問… [Web] Sanity Check Burpで与えられたURLを開いてソースを眺めると、フラグが書いてある c…

Dino Run Grafana Google Wayback Dino Run (Extra Hard) Dino Run 恐竜で遊ぶゲームが起動する。 フラグが右下にあるようなので移動しよう。 盤面がそれほど大きくないこともあり、フラグマスに到達でき、表示されたフラグが答え Grafana Grafana v8.3.0 (9…

復習しましたー、環境生かして頂いてて、ありがとうございます。 解説元のみなさんもかなり勉強になりました…ありがとうございます。 https://score.beginners.azure.noc.seccon.jp/ [pwn] BeginnersBof 作問者 https://feneshi.co/ctf4b2022writeup/ https:…

Util [web] textex [web] まずはLFIできることを確認 flagという文字列チェックの回避 なぜか取り出せない問題の解決 gallery [web] フラグが書かれているファイル名の特定 ファイルサイズ制限の回避 serial [web] SQL Injectionを発現する Error-Based Blin…

ナレッジ共有です。 OSCPを受ける前に HackTheBoxを少なくとも数個は完了させておくこと HackTheBoxのVIPはOSCPに比べたら信じられないくらい安いのでVIPを契約して、少なくともWriteupを見ながらEasyが攻略できるか確認しておくといい。見ながらでも良く分…

CTFtime.org / LINE CTF 2022 自分の復習用に集めた情報をまとめておく。 gotm https://twitter.com/y0d3n/status/1507881366523813891 https://blog.maple3142.net/2022/03/27/line-ctf-2022-writeups/#gotm SSTI可能。idに{{.}}を与えてやるとJWTの秘密鍵…

Renzik's Case Xorua How to Breakdance Blue Magic Plagueis the Wise jdata 解けなかった Class Project 解けなかった Kernel Infernal 1 CTFtime.org / UMDCTF 2022 久々に出たので、備忘録レベルで残しておく。 Renzik's Case USBの論理イメージが与えら…

この記事はCTFのWebセキュリティ Advent Calendar 2021の25日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 脆弱性を…

この記事はCTFのWebセキュリティ Advent Calendar 2021の24日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 オープン…

この記事はCTFのWebセキュリティ Advent Calendar 2021の23日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 パスワー…

この記事はCTFのWebセキュリティ Advent Calendar 2021の22日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 大前提「…

この記事はCTFのWebセキュリティ Advent Calendar 2021の21日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 CORS CORS…

この記事はCTFのWebセキュリティ Advent Calendar 2021の20日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 ASP.NET …

この記事はCTFのWebセキュリティ Advent Calendar 2021の19日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 使えるコ…

この記事はCTFのWebセキュリティ Advent Calendar 2021の18日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 JavaScrip…

この記事はCTFのWebセキュリティ Advent Calendar 2021の17日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Webサーバ…

この記事はCTFのWebセキュリティ Advent Calendar 2021の16日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 レースコ…

この記事はCTFのWebセキュリティ Advent Calendar 2021の15日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Template …

この記事はCTFのWebセキュリティ Advent Calendar 2021の14日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 RCE/コマ…

この記事はCTFのWebセキュリティ Advent Calendar 2021の13日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 DNS DNSの…

この記事はCTFのWebセキュリティ Advent Calendar 2021の12日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 サイドチ…

この記事はCTFのWebセキュリティ Advent Calendar 2021の11日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 SSRF: Ser…

この記事はCTFのWebセキュリティ Advent Calendar 2021の10日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 インフラ…