簡單介紹 EKS Cluster Games 平台順便解一下最簡單的第一題,後面的部分等到我有心得陸續再慢慢說明。 writeup 部分可以參考 先知社區...
前言 沒開玩笑,真的要猜拳。今天選的是 picoCTF 的 RPS,本來以為是什麼 per second,點進去看才知道是 rock, paper, sciss...
今天再來做一題 CTF 吧 今天同樣做 pwnable.tw 的題目,第二題 orw。 先確認一下檔案類型跟記憶體保護機制,發現同樣是 x86 並且有開啟 C...
前言 原本 D28 和 D29 預計是要寫 MISC 主題,但發現兩天好像也沒辦法把 MISC 介紹完整,乾脆再寫兩題 Pwn 的題目好了,這次在 picoCT...
接續上一篇 題目是 pwnable.tw 的第一題 start 上一篇寫到我們要把 esp 的值改為我們 shellcode 的位置,這樣在 ret 時,...
前言 經過了一段時間的研究,我終於搞懂了這題 Hackme CTF 的 homework,在開始之前我得先說,我最後是直接對答案,再來理解為什麼要這麼寫 XD,...
勘誤: quiz-5 的部分因為 minikube 使用多節點結構導致無法做 arp spoofing,所以可以略過。或是改用單一節點進行解題。 期中...
PHP代碼注入漏洞 這是一種非常常見的網絡安全漏洞。一般成因是應用程式對於用戶輸入的處理不當,以致用戶輸入的內容沒有經過足夠嚴格的驗證及過濾、使用者提供的PHP...
任意文件上傳漏洞 今天要介紹的就是任意文件上傳漏洞:這是一種在CTF比賽中頗為常見的牽涉的安全漏洞之一。如同其名,這種漏洞能讓我們上載任意文件到網頁的伺服器中,...
XSS是甚麼? 所謂XSS就是跨網站指令碼 Cross-site scripting 的簡稱,屬於指令碼注入的一種。基本上,XSS就是攻擊者在網頁插入惡意指令碼...
來到第五天,讓我們實際進入探討Web題有機會牽涉的第一個技術——SQL注入。 甚麼是SQL 在講SQL注入之前,讓我來簡單講講甚麼是SQL吧!Structure...
正式進入到CTF實戰技術的篇章,我將會首先講一講網絡安全,也就是CTF中WEB題所牽涉的範疇。 WEB安全類型的題目在CTF中非常常見,在CTF之中非常熱門,也...
CTF 的題目類型 CTF的挑戰可按照所涉及的網絡安全範疇分成幾類。以下將會介紹各種比較常見的CTF類型:Web、Reverse、Pwn、Crypto、Fore...
『工欲善其事,必先利其器』 要學好 CTF,當然要有適當的工具!以下為大家整理了一下普遍的CTF資源,助大家如虎添翼,「資源破萬則,奪旗如有神」 0. 綜合網...
學習一個新技能的時候,往往會不知道從哪邊開始、要怎麼開始,剛好我也是!所以我決定參考前人的學習路徑,從中找出自己比較有興趣或資源比較多的部分開始。 那麽,新手的...
🚩 唷!初次見面,我是一名來自香港的高中生。—— 啊,等等,先別看到「高中生」就急著滑走,聽我說一說吧! -w- 是的,我僅是一位學生,並沒有任何網絡安全相關的...
沒啦, 我一開始也不怎麽會 xD就練一下就覺得有些蠻簡單的 我自己是覺得啦所有事情都能做到, 就看你自己有沒有恆心, 如果沒有, 別説ctf, 一件普普通通的事...
第23天放鬆一下來個期中考(?),畢竟也過了23天順便檢視一下自己到底收穫了多少,於是我就把前面的幾個可以結合的弱點做成一個 CTF 題目。所以今天就來複習...
好啦!十天的實體找駭客介紹文再來介紹網路上可以練習 學習 怎麼找駭客的資源吧! CTF CTF (Capture The Flag)奪旗競賽,駭客界常見的比賽...
Q1. 什麼是 Javascript ? Javascript 是一種腳本語言,可以動態的更新頁面內容、控制多媒體... 網頁前端主要由三個部分組成 組織頁...
Q1. 什麼是 php 反序列化? 為了讓程式中的物件可以在保存到 persistent database,或者能夠傳輸到其他程式,程式可以將物件的屬性與狀態...
本篇要介紹的是讀者在大四上學期所修的一門課,也因為這門課的關係我才開始接觸網路安全以及 AIS3,如果剛好有北科大的學弟妹看到這篇文章,也可以考慮修看看這門課喔...
Q1. 什麼是命令執行 指令是與電腦互動的一種方式,一般來說作業系統會包含至少一個 Shell 程式,例如 Linux 常見的 bash 、 Windows...
Q1. 什麼是文件讀取漏洞? 駭客可以透過一些手段讀取無授權的檔案,時常作為資訊收集的一種手段,例如伺服器的配置、密鑰、伺服器資訊等 工程師開發時,若文件讀取...
Q1. 什麼是 XSS? 跨網站指令碼(Cross-Site Scripting,通常簡稱為XSS) 駭客在瀏覽器插入惡意 Javascript,一旦受害者的...
Q1. 什麼是 SSRF? SSRF (Server Side Request Forgery),也就是服務端請求偽造 一般情況下,企業內部會有 server...
Q1. 什麼是 堆疊型 SQL注入? 堆疊型 SQL注入也稱為 堆查詢注入,英文為 stacked injection 一般 SQL 注入都是 SELECT...
Q1. 什麼是時間型SQL 注入? Time-based sql injection 是指利用 SQL Injection 造成查詢時的時間延遲,透過時間差來洩...
Q1. 什麼是 報錯型SQL注入? 在一些網頁程式出錯時,會直接將錯誤訊息顯示到前端,而部分錯誤訊息會夾帶導致錯誤的資料內容,報錯型 SQL 注入便是利用此...
Q1. 布林盲注型 SQL 注入是什麼 布林(boolean)盲注型在中國,也稱為布爾盲注 在一些網頁中,並不會顯示資料,只會根據 SQL 語法顯示兩種頁面...