QueZ 发布于 03月05, 2019

CTF-神仙系列 1 CSAW CTF Qualification Round 2016 wtf.sh

开始做一些世界级比赛的真题,这个系列的题目全部超出我的能力范围,故叫做神仙系列。

吃透了 writeup 后,写此篇博客记录下自己的理解,为以后的比赛做储备。

个人觉得光做做之前那样的“糖果题”收获不了多少东西,所以来找找虐,被虐得多了自然就强了。

就像某传火游戏一样,一开始玩的时候死十次才打过古达老师,现在我就算不翻滚也能无伤虐他~

阅读全文 »

QueZ 发布于 02月07, 2019

NewBugku 水题 writeup

NewBugku

平台链接:https://new.bugku.com/

Bugku 出新平台了,今天找管理员大大 py 了一个邀请码来玩。

为什么叫“水题”呢?因为我能做出来的题都挺水的嘛~~~

第一次刷在网上找不到 writeup 的平台,记录一下自己的成长,此篇长期更新,题目按我做出的时间顺序出现。

阅读全文 »

QueZ 发布于 02月05, 2019

AntSword 执行代码分析

开始填新坑了,打算自己写一个 PHP webshell,找一些现有的例子进行分析。

老掉牙的菜刀在 PHP7 下连接都有问题,于是打算从 Cknife 和 AntSword 入手。

先用抓包的方式分析蚁剑的请求,如果以后有时间再啃一啃源码。

AntSword

阅读全文 »

QueZ 发布于 01月14, 2019

对 Firekylin 的一些小修改

最近 Firekylin 又出新版本了,我看了看,没有关乎安全方面的更新。考虑到我已经做了一些花里胡哨的小修改,就没有升级到新版本。

(2019-01-21) 感谢公子学长的提醒!!!打包成主题就可以更新了。

阅读全文 »

QueZ 发布于 12月31, 2018

写在2018

不动明王

封面画师:KzcJimmy

这一年对我来说非常特殊,我想不到什么好的词语来形容,便以简短的“写在2018”为标题吧。想在去年年底的时候没有什么合适的地方让我瞎逼逼叨叨,便在今年3月搭起了我的第一个博客,于是我也成了一个啰嗦的“中年老男人”?

还记得去年跨年的时候,我发了这么一条朋友圈:“2018,做想做的事。”

确实,整整一年,我都是这么做的。

阅读全文 »

QueZ 发布于 12月14, 2018

CTF-web 笔记 12

骇极杯 2018 web3

题目给出了源码,比赛的时候看了几眼觉得麻烦没做,但是源码一直被我留着。

最近还原了一下题目环境,由于本地 Windows 环境下 PHP 的unlink()绕过方式在这题不适用,就放在服务器上了。

阅读全文 »