最近 AIS3 2019 的課程正在進行中,於是想起堆在電腦中的 pre-exam 截圖還沒寫成 write-up,趕緊來寫篇文章。個人覺得今年度的 web 題目很優質,沒有太多通靈成分而且還帶到了許多實用知識,然而我其實沒有報名今年度的 AIS3,純粹是因為好奇而偷要到了題目玩玩看 XD 首先附上官方出題者的解答: * AIS3 2019 Pre-Exam 官方解法 by Yuankui Lee * AIS3-PreExam-2019 by Kaibro 這些解答在 pre-exam 結束後沒多久就公佈了,相信大家應該都已經看完,但我這邊還是再附上一次。 Simple Window 開啟首頁馬上就看到一個類似 Virtual Terminal 的畫面,不過這是假的。 view-source 一下就能發現 flag 的頁面在 http://ip/flag,但是直連該頁面會只看到訊息說「I catch…
太久沒寫文章,快速記錄一次簡單的 Web 題目。 題目敘述如下: Do you know ghost pepper? Let's eat. http://111.186.63.207:31337 點開網頁出現授權要求視窗,網站訊息提示:「karaf」,直覺猜預設帳密 karaf/karaf,即可成功通過授權驗證。 但是進去後,頁面顯示 HTTP 404,快速猜測一些常見路徑都無果。 回想起題目敘述提到「ghost pepper」,丟到 Google 搜尋,第一筆結果為維基百科「Bhut jolokia - Wikipedia」,Bhut Jolokia 是一種稱為印度鬼椒的辣椒。 於是嘗試輸入網址 http://111.186.63.207:…
Why so Serials? 是由 Orange 在前陣子剛結束的 HITCON CTF 2018 出的一道 Web 題目,題目架設在 Windows/IIS,其功能只有一個頁面 Default.aspx,題目有提供原始碼,現在可以在 Orange 的 GitHub 上找到。 該頁面有提供一個上傳功能,但幾乎阻擋了所有可能直接 RCE 的副檔名。 String[] blacklists = {".aspx", ".config", ".ashx", ".asmx", ".aspq", ".axd", ".cshtm", ".cshtml", ".rem", ".soap", ".vbhtm", ".vbhtml", ".asa", ".asp", ".cer"}; if (blacklists.Any(extension.Contains)…
Vulture 是一道出現在 DefCamp CTF Qualification 2018 屬於 Web 類型的題目。這題很有趣,雖然是黑箱但不用通靈、猜謎,整道題可以透過各種蛛絲馬跡有邏輯性地推敲並串出完整漏洞利用來解題。 題目敘述如下: We created an online service where you can upload pictures of vultures (or other birds). Each user has a feed so you can privately enjoy the photos you took of this majestic killing machines :) Target: https:…
最終解開這道題目時,發現其實並不困難,但因作者我還是個菜雞,且對這道題目的服務所使用的工具完全沒接觸過,過程中繞了許多圈子、走了許多歪路,不過也累積了不少有用的經驗,於是就來為這道題目寫篇 Write-up,同時也詳細記錄下我所走的各種歪路 (´; ω ;`) 原始的題目說明很單純: Criminals Hey, Rebellious member, let's hack this Bloodsuckers web app. I think they keep some secret. 點開網頁應用程式的連結,也是一個很單純的搜尋頁面: 簡單嘗試一下 /robots.txt、/.git/、/.svn/ 等路徑,發現都是 404 的結果,再配合題目敘述,推測可能是要打 SQL Injection。 嘗試 Fuzzing 所有的欄位,直接全部輸入一些奇怪符號「aaa'"'#,」,順利噴出一連串錯誤訊息,…