最近不斷的在尋找資安相關的練習,也突然想到之前寫過解的 VulnHub 文章,題目是 Kioptrix Level 1.1 (#2) ,由於當時邊解邊筆記,僅僅寫在 Hackmd 上,現在稍作整理並且把內容公布出來,其實解法也跟大多數人相同,就當是讓站長把 Hackmd 上的筆記丟過來唄。
Read More[資訊安全] VulnHub – Kioptrix Level 1.1 (#2) Write-up
標籤: 資訊安全
[資訊安全] Hack-The-Box Invite Code
心血來潮想說註冊一下個 Hack The Box 來找找練習方向,才發現需要邀請碼才能註冊,此刻腦海閃過一個畫面,不知道多久以前曾經看過取得 Hack-The-Box 的邀請碼相關的文章,似乎是利用測驗的方式取得邀請碼,也就是 CTF 題目的概念,於是順手 F12 下去,並把找到驗證碼的過程記錄下來。
Read More[資訊安全] Red Alert 72 資安攻防 – 競賽紀錄與賽後心得
由於曾經 IRCON,寫了一篇文章 「[資訊安全]IRCON King of The Hill CTF 初體驗」,隨後被邀請一同參加企業級場的 Red Alert 72 的 資安攻防 電競賽,也對模式感到好奇,以往參與的 CTF 從解題模式到 King of The Hill,該次比賽提供類 Attack and Defense 模式的紅藍隊大隊抗,主要參賽隊伍為籃隊。
Read More[資訊安全] 從毫無基礎開始 Pwn – Shellcode 實作
自上一篇介紹 Buffer OverFlow 的實作後,接著往更深入的點探討 Shellcode 的利用方式,其利用方式也需要一些 BOF 的底子,此外也需要一些條件來達成,該文會逐一介紹相關的防禦機制,以及帶入實作來學習。
Read More[資訊安全] 從毫無基礎開始 Pwn – Buffer Overflow 實作
上一篇文章「[資訊安全] 從毫無基礎開始 Pwn – 概念」一文中,提及構成 Pwn 危害的原理,以及現有的防護方式,該篇文章會延續探討此議題,也會帶入簡單的實作,從實作中驗證 CTF 最基本的題型,Buffer OverFlow 的概念。
Read More[資訊安全] 從毫無基礎開始 Pwn – 概念
首先 Pwn 一直都是我畏懼接觸的主題,僅次於 Crypto,還記得第一次接觸 Pwn 時,是在 AIS3-Pre-exam-2015,當時毫無基礎概念,甚至不知道什麼是 Pwn,而第一次解出 Pwn 卻是三年後的 BreakAll-CTF,不過當時僅解出透過 Pwntootls 送資料就解得出的題目,而該篇文章也將有淺入深探討 Pwn 需要那些基礎知識,並且在下一篇文章中帶入實作。
Read More[資訊安全] XML External Entity (XXE) 漏洞實作練習 (二)
接續前一篇「XML External Entity (XXE) 漏洞實作練習 (一)」,一樣使用 PentesterLab 的靶機,但攻擊手法稍做改變,這是使用的是外部伺服器來當作 DTD 的存放點,接著將資料丟到外部的 RequestBin,目的是為了解決沒有實體 IP 主機的困擾,並且將過程依序記錄下來。
Read More[資訊安全] XML External Entity (XXE) 漏洞實作練習(一)
自從開始打站(HITCON ZeroDay)之後,就不斷的嘗試各種攻擊手法來練習,一路走來從 SQLi、XSS、AFD、CSRF,現在輪到 XXE,但實在沒辦法,對於 XXE 完全沒有實戰經驗,雖然之前在 All-CTF 中有一題,但也沒去研究,甚至不知道該如何解題,現在機會來了,就好好來研究一番吧。
Read More