HITCON CTF 2015 Quals & Final 心得備份
14 January 2016 at 14:22
當初好像沒留底稿只發布在 Facebook 跟烏雲
今天睡醒發現又有人在轉貼這篇,想說留個備份好了XD
Facebook 連結
Wooyun 知識庫連結
HITCON KnowledgeBase 連結
----------
決賽 Attack & Defense 也出了一道 Web 題目
0ops 成員 5alt 也寫了一篇筆記 HITCON CTF 2015 Final Webful Writeup
寫的真棒XD
看得我自己心癢癢都想寫一篇來解釋各個洞為什麼要這樣設計了XD
出 Final 時候本意就是要把環境模擬成真實環境,讓平常 Web 狗的各種猥瑣流可以得心應手而不是淪為解題形式在實戰中派不上用場
除了各個 API 接口的互相影響 單點淪陷 = 全部淪陷 外
還有模擬 Discuz UC_KEY 的應用,SECRET_KEY 洩漏的各種利用方式順便防止 Replay