抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

TARI TARI

告别2021

本来想着春节在写的,看到大家都写了,跟风一下,2333 3-5月 毕设&论文年后先回公司两周,实习期满3月后回校开始做毕设和写论文,因实习期间做Python代码审计较多,想着能否编写一个静态代码扫描工具提升工作效率甚至挖出多点洞,这个想法其实在去年年末就有了,开题报告也整的这个但是一直没开始,想着实习走人后开始进行。 3月6号,差不到回到学校门口就下起大雨,然后伞在实习那会,刚好...

2021第四届“强网”拟态防御国际精英挑战赛 Writeup

又和几个**”社会”**人士一起组队参加了这次比赛 这次 Web 和队友一起 AK了,开心 23333 (想起来以前一个题都做不出来的画面… 部分题目下载链接: 2021nitai-misc.7z 2021nitai-web.7z 2021nitai-crypto.7z Web0x1 zerocalc@tari @DEADF1SH-CAT 把能下的都下下来,特别是 package.jso...

2021羊城杯部分 Writeup

和几个**”社会”**人士(@DEADF1SH-CAT、 @Oah、 @小火车)一起组队参加了这次比赛,终于不用在高校组卷了,哈哈 部分题目下载链接: 2021ycb-misc.7z 2021ycb-web.7z 2021ycb-crypto.7z 9.17更:官方WP:https://mp.weixin.qq.com/s/BqLTX3au1GIPn3cz9xZISA MISC0...

HackTheBox | CrossFit (未完待续)

Web XSS CSRF JavaScript CORS SFTP信息泄漏 内网子域收集 第一次刷 Hack The Box,因为看到别人写的WP,好像很好玩,然后就心里痒痒的~ 然后随便调了个顺眼的…结果玩着玩着才发现是 insane 难度。。。。 吐槽:卡死了…加载一些静态资源….特别是和google有关的,所以直接 SwitchyOmega 安排上,把google相关的挂代理,...
HTB

人工智能在网络安全领域的技术和应用

前言事情起因:老师让我帮忙找一些人工智能在网络安全领域涉及到的技术和应用,刚好来个我接触过的小总结~ 然后在前沿网络安全领域的应用(3-5),主要是一个在读研同学提供的,他们的实验室主要是搞AI安全,感谢~ 一、用到的人工智能相关技术用到的人工智能技术太多了,这里适当列举一些学习过的~ 生成对抗网络 KNN 朴素贝叶斯 多层感知机 循环神经网络 卷积神经网络 LSTM TF-IDF 词向量...

2021红帽杯线下赛WEB upload题解

虽然没参加,不过有个师傅跑过来讨论了,就顺便搞搞,第一题是opensns的nday,这里主要分析下第二题upload。还挺有意思,原来一开始想着用像 [CVE-2021-3129](https://tari.moe/2021/06/03/laravel8-debug-rce/ 的方式写入可控的 session文件,结果 h 被过滤了。。 upload源码 upload.7z 源码分析关键文...

2021强网杯 Web Writeup

今年题目质量还不错,竟然还有内网渗透部分,2333,因为平常CTF比较少 毕设刚好是做代码审计相关的,刚刚好又在 POP链这个题用上了,还挺开心~ 0x1 Hard_Penetrationby Challenger 发现这是 shiro n day漏洞 顺便写了个内存马 连上去发现权限比较小,需要提权 然后尝试了 msf自带的,无果 尝试 https://github.com/mz...

Laravel8 CVE-2021-3129 复现分析

1. 前言由于参加两次CTF都遇上了反序列化+PHP各种filter过滤器的利用,然后对一些不常见filter的利用不是很熟悉,因此复现分析一下 CVE-2021-3129,因为这个CVE对一些filter利用的比较巧妙 ignition组件是Laravel5.5及其之后的使用的自定义错误页面美化组件,2.5.2 版本之前因 file_get_contents() 和 file_put_co...

Web writeup | 2021年第一届广东大学生网络安全攻防大赛-晋级赛

前言实力吐槽这次比赛 初赛环境老是炸,最后30多分钟都炸了,答案都提交不了 晋级塞,,题目也偶尔会出现断开的问题,,第二个web题,,竟然一开始直接返回空,后来又可以了??不知道是不是只有我遇到这个问题,,晕 而且,,晋级赛竟然不是uuid式动态flag。。。。? old 任意文件读取,不过flag.txt 读不了,但可以看 hint.txt,smali 字节码,提示了 fastjs...

面白i安全小记 | 中国菜刀之连不上的奇怪马

本栏目前言以前总是和别人一起研究过许多平常没咋注意,但是又非常有意思的小姿势,然后弄完后,但过了许久不用细节可能就忘的差不多了。所以想着开了个小栏目来记录一下一些我平常没咋注意到的、有趣的安全相关内容,可能更新也不是特别的频繁,毕竟不是天天都能遇到这些奇奇怪怪的点的,哈哈。 不过栏目的初衷是:在接触新东西时,遇到不理解或者感觉理解不透彻的,可以给自己或别人解答一波,顺便记录一下,以后可以...