首先 Pwn 一直都是我畏懼接觸的主題,僅次於 Crypto,還記得第一次接觸 Pwn 時,是在 AIS3-Pre-exam-2015,當時毫無基礎概念,甚至不知道什麼是 Pwn,而第一次解出 Pwn 卻是三年後的 BreakAll-CTF,不過當時僅解出透過 Pwntootls 送資料就解得出的題目,而該篇文章也將有淺入深探討 Pwn 需要那些基礎知識,並且在下一篇文章中帶入實作。
Read More分類: 資訊安全
[資訊安全] XML External Entity (XXE) 漏洞實作練習 (二)
接續前一篇「XML External Entity (XXE) 漏洞實作練習 (一)」,一樣使用 PentesterLab 的靶機,但攻擊手法稍做改變,這是使用的是外部伺服器來當作 DTD 的存放點,接著將資料丟到外部的 RequestBin,目的是為了解決沒有實體 IP 主機的困擾,並且將過程依序記錄下來。
Read More[資訊安全] XML External Entity (XXE) 漏洞實作練習(一)
自從開始打站(HITCON ZeroDay)之後,就不斷的嘗試各種攻擊手法來練習,一路走來從 SQLi、XSS、AFD、CSRF,現在輪到 XXE,但實在沒辦法,對於 XXE 完全沒有實戰經驗,雖然之前在 All-CTF 中有一題,但也沒去研究,甚至不知道該如何解題,現在機會來了,就好好來研究一番吧。
Read More「資訊安全」IRCON King of The Hill CTF 初體驗
以往參加的的 CTF 類型都是 Jeopardy,屬於解題式,碰巧在寫學校的爬蟲,翻翻學校的網頁意外發現 IRCON Summer Camp 2018,最後一天有 King of The Hill 的 CTF,想說機會難得,但又找不到隊友…,只好持著當砲灰的心態一人參戰。
[資訊安全] 2015 HITCON 大會 簡易心得
這連續三個禮拜的上台北燒錢計畫,讓我徹底了解什麼叫做南北物價差,以北部來說,食物幾乎都是高價位大份量(部分),然後南部當然就是俗又大碗,一趟三個禮拜的台北包含交通費、報名費就足足花上了一萬多,還包含參加 HITCON 三天住飯店的費用(約三千多),也感謝我的高中老師,讓我參與 AIS3 課程的時候願意提供我住所。
[資訊安全] 人生第一次打 CTF 就絕望 (AIS3 pre-exam 2015)
在過去 CTF 只是常在資安領域聽到的一個名詞,沒想到這次機遇讓他出席在我的生命中,本次 AIS3 CTF 是由台灣科技大學主辦,其目的原因是為了讓更多對資安有興趣,且有些微底子的人加入這次的資型態資安暑期課程,會由歷經 CTF 世界大戰的戰隊將領來負責演講、授課,所以站長也藉此心動,並踏上戰場。