[CTF]AliCTF-Final-2014-Writeup

::L Team:: http://l-team.org

0x00 前言

之前AliCTF线下决赛,因之前未参加过此类GameBox攻防的CTF决赛,经验不足,在此做一小结,同为分享.

竞赛官网: http://www.alictf.com/

决赛包括两类题目,以攻防为主的GameBox(对攻模式,分析自己GameBox文件找出漏洞,攻击其他团队获取flag文件得分和防御其他团队的攻击);以解题为主的NPC题目(根据题目说明,对指定环境进行攻击测试拿Flag).

0x01 GameBox

GameBox分Bin1/Bin2与Web1/Web2,......

PHP/Sqlite下常见漏洞浅析 - PHP/Sqlite Vulnerability Cheat Sheet

0x00 前言

SQLite作为一款轻型数据库,PHP开发人员一定不会陌生,PHP5后,其已默认集成这个轻巧的内嵌式数据库产品.对于采用PHP/Sqlite的CMS,也存在一些常见的安全威胁.笔者以下数例加以分析,欢迎指出不足与错误之处.

0x01 数据库下载

作为一个单文件的轻型数据库,存在与类似Access的问题,即数据库下载.在测试的几个CMS中,便存在固定/默认数据库名/地址的问题,可下载造成安全威胁.

而某些CMS即使设置有数据库随机文件名,但仍存在安全威胁,如XiaoCMS

看似防下载的#%使用URL编码即可绕过,而由于短文件名漏......

ISC2014互联网安全大会见闻 - ISC2014 Participant

先恭祝祖国生日快乐

上周AliCTF打完不久,正好被邀去ISC攻防挑(表)战(演)赛,就带上小伙伴们一起去ISC围观.

ISC,全称应该是"亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)",会议规模大,现场布置也蛮豪华,可见数字在其上投入不少精力.

逛了两天,内容就不多做记录.大会基本是围观下,找找朋友聊聊天,吃吃饭,唯一完整听的应该是美首任国土安全部部长Tom Ridge的Speak,没有翻译还是忍不住犯困.

24日下午表演赛还蛮有趣,走运拿了点名次坐等奖金.之后就是围观展台活动,认识了J神,又围观其破解......