picoCTF2019
- 中高生向けの教育的コンテスト
- そのうちWeb関連の問題を全て解いて(最後の最後だけギブ…)解説をまとめた。
- picoCTFサイトにもHintはあるし、以下の要求知識もHintにしながらまずは解いてみるといいと思う。
- 自分も勉強しながら解いた。全体的にkusanoさんのQiitaを参考にしている。
- 使ったコードはここに置いてある
解説一覧
点数 | 問題名 | 要求知識(白色にしてあるので選択して見て) | 解説 |
---|---|---|---|
50 | Insp3ct0r | ソースの読み方が分かるか | 解説 |
100 | dont-use-client-side | javascriptの読解能力 | 解説 |
100 | logon | Cookieの確認方法 | 解説 |
100 | where are the robots | robots.txt | 解説 |
200 | Client-side-again | javascriptの読解 | 解説 |
200 | Open-to-admins | Cookieの編集方法 | 解説 |
200 | picobrowser | User Agent偽装 | 解説 |
300 | Irish-Name-Repo 1 | 最低限のSQLインジェクション知識 | 解説 |
350 | Irish-Name-Repo 2 | SQLインジェクション | 解説 |
400 | Empire1 | SQLインジェクション | 解説 |
400 | Irish-Name-Repo 3 | SQLi(SQLインジェクション) | 解説 |
400 | JaWT Scratchpad | JWT, 暗号化ハッシュによる認証のクラック | 解説 |
400 | Java Script Kiddie | バイナリデータに関する導入知識 | 解説 |
400 | Empire2 | Flask, SSTI: Server-Side Template Injection, base64, url-encoding | 解説 |
450 | Java Script Kiddie 2 | javascript読解, バイナリに対する導入知識 | 解説 |
450 | cereal hacker 1 | SQLi | 解説 |
500 | Empire3 | SQLi,Flaskのセッション偽装 | 解説 |
500 | cereal hacker 2 | ディレクトリトラバーサル、LFI(:Local File Inclusion), Blind SQL Injection | 解説 |