2016 天翼杯信息安全竞赛决赛的一些经历 得益于初赛我们的好人品,今年又去决赛水了一波。然而最终我们只拿到了第八名,居然还是个二等奖,难道所有的信安竞赛都是 3-5-8 的奖项分配么?比赛的时候没有好好记录做题经过,但是感觉还是蛮刺激的,所以就凭仅剩的记忆,尽可能复原当时的场景吧! 决赛的形式是渗透测试,断网,禁止与外界交流,手机等设备都需要寄存,现场也没有任何可用的无线网(破掉密码也不敢用,万一是主办方的蜜罐呢)。每个队伍都是一个独... 2016-09-07 安全
2016 全国大学生信息安全竞赛决赛的一些经历 得益于初赛的人品,我们有幸入围了决赛。但是对于决赛的比赛方式:攻防赛,我们并不了解,事先也不知道需要准备哪些东西,只是配了几个扫描器,然后就是之前用的 IDA 之类的工具和各种语言环境。经过两天的比赛,最终成绩是第 12 名(如果没有赛后的名次变动的话)。这次比赛确实让我学到了一些东西,下面我就来说一说吧~ 各组选手维护相同的一系列服务,每五分钟(第二天改为了三分钟)为一轮,有一个flag 文... 2016-08-14 安全
测试工程师的梗,你了解多少? 众所周知,写代码的时候要考虑各种可能的情况。网上一直流传着“一个测试工程师走进一家酒吧”的梗,在让人捧腹大笑的同时,这个梗你又了解多少呢? 本篇文章的引用部分经再三审核,没有明显的错别字和字序问题,请大家认真思考这是什么梗。 一个测试工程师走进一家酒吧,要了一杯啤酒 两个测试工程师走进一家酒吧 正常需求。 一个测试工程师走进一家酒吧,要了一杯咖啡 一个测试工程师走进一家酒吧,... 2016-07-13 安全
2016 全国大学生信息安全竞赛初赛 Writeup (by Asuri) Asuri 团队(官方主页: Asuri Team )是戒贤学长组建的一支南航信息安全团队,我是团队中的一员。之前我们曾经参加过江苏省的天翼杯信息安全竞赛,并且拿到了决赛第五名。其实团队成员大部分还是野路子出身,在一次次比赛和实战中提升自己的水平。 这两天我们又参加了今年的全国大学生信息安全竞赛,规模比上一次大了好多,因此我们更多是抱着学习的心态参加的。在比赛中,我们见识到了好多之前没见过的题... 2016-07-11 安全
让老司机纷纷翻车的“悄悄话查看器”究竟有啥名堂? 0x00 Introduction 相信大家一定被所谓的“QQ悄悄话查看器”刷屏了吧?从上个月开始我就郁闷,有人给我发悄悄话,然而我又猜不到是谁。有了这么一个 APP,岂不是可以调戏回去?然而大家的反应似乎不是这样的: “这一切来的太快” “强行上车 车速过快 引发多起事故” “这很强势,很清真” “逸夫楼教室此起彼伏” “对不起,我们不认识” 就是这... 2016-06-17 安全
NUAACTF 2016 官方 Writeup Web1 签到题,打开浏览器的Console即可找到flag: 下面那行带有中文的句子是我早上修改界面的时候加上去的,同样的彩蛋在网页源代码中也有,就是每个页面查看源代码之后显示的那个佛祖,23333。 Web2 仔细看会发现题干中百度的链接有点奇怪: 根据题目提示,用百度搜索“一只苦逼的开发狗”,发现出题人的博客,第一篇文章有提示: 看起来是base64编码,解码... 2016-04-26 安全
JCTF2015非官方writeup 这次水平有限,所以只做出了四道题……请大家尽情鄙视我们吧…… 0x1 在资源文件夹中有一个bababa.wav的文件,用AU打开,发现是四声道,下面的两个音轨是二进制波形。按照高低不同分为01记下后,每八位一组,转换为char,即可得到flag。 0x2 根据提示可得栈226有问题, 发现所有记录中均使用DES-EBC加密,key为stringWi。从github上down一个des解密... 2015-11-27 安全
对QQ空间自动转发/加好友的研究 前几天,QQ 空间的一大批好友转了所谓“优衣库”的一个视频,不用说,肯定是QQ空间有什么XSS漏洞了。有学弟让我去研究,其实我是拒绝的,因为我当时在搞别的事情,随便看了看源码没发现问题,于是就放到脑后了。 昨天晚上发现空间里又有好友转发的现象,甚至有自动加好友的问题。正好大半夜一个人有安静的时间,于是就顺便研究一下。 一开始没有头绪,在想是不是QQ空间有直接的XSS漏洞,于是看到... 2015-08-15 安全