RCTF 2022 筆記

2022年12月14日 Security

簡單記一些自己有打的題目，沒有打的就不記了。

依照慣例先附上關鍵字：

Python os.path.join 的利用
YAML & JS polyglot
strace & LD_PRELOAD

幾個與 Web 跟 JS 相關的 CTF 題目小記

2022年12月8日 Security

前陣子有幾個 CTF 都很不錯，像是 SECCON 跟 HITCON，但可惜我前陣子剛好出國玩了，回來以後就懶得寫完整 writeup 了。原本其實連記下來都懶得記，可是一旦時間久了，要找相關的資料就會變得很難找，所以還是決定簡單記一下。

除此之外，順便記一下幾題我覺得以前應該要記下來，但不知道為什麼卻沒記下來的題目。

關鍵字：

Node.js prototype pollution gadget to RCE (Balsn CTF 2022 - 2linenodejs)
取得 JS proxy 的原始值 (corCTF 2022 - sbxcalc)
瀏覽器 back 行為的 cache (SECCON CTF 2022 - spanote)
利用 svg 做出同步的 XSS (HITCON CTF 2022)
讀到 shadow DOM 的資料 (HITCON CTF 2022)

Hack. lu CTF 2022 筆記

2022年10月31日 Security

被 web 題電得亂七八糟，基本上什麼都沒解出來。題目的品質都很不錯，學到很多新東西，值得記錄一下。

關鍵字：

Electron relaunch to RCE
利用 Python decorator 執行程式碼
透過特殊檔名讓 Apache 不輸出 content type header
GIF + JS polyglot
繞過 SQLite 不合法欄位名稱
JS 註解 <!--
superjson

SekaiCTF 2022 筆記與 concurrent limit

2022年10月8日 Security

上個假日隨意地玩了一下 SekaiCTF 2022，不得不說視覺風格滿讚的，看得出來花了滿多心思在這個上面，很有遊戲的感覺。

這次我只玩了兩題 web，其中一題 xsleak 的 safelist 拿了 first blood，另外一題沒解開，說實在有點可惜（當 justCatTheFish 解開的時候我想說是誰這麼猛，賽後發現原來是 terjanq lol）

這篇寫一下 safelist 跟 Obligatory Calc 的解法，如果想看其他 web 題，可以看 lebr0nli 的 blog：SekaiCTF 2022 Writeups

關鍵字：

xsleak
lazy loading image
6 concurrent request limit
socket pool
null origin
null e.source

用 CSS 來偷資料 - CSS injection（下）

2022年9月29日 Security

在上集裡面，我們知道了基本的 CSS 偷資料原理，並且以 HackMD 作為實際案例示範，成功偷到了 CSRF token，而這篇則是要深入去看 CSS injection 的一些細節，解決以下問題：

HackMD 因為可以即時同步內容，所以不需要重新整理就可以載入新的 style，那其他網站呢？該怎麼偷到第二個以後的字元？
一次只能偷一個字元的話，是不是要偷很久呢？這在實際上可行嗎？
有沒有辦法偷到屬性以外的東西？例如說頁面上的文字內容，或甚至是 JavaScript 的程式碼？
針對這個攻擊手法的防禦方式有哪些？

用 CSS 來偷資料 - CSS injection（上）

2022年9月29日 Security

在講到針對網頁前端的攻擊時，你我的心中浮現的八成會是 XSS，但如果你沒辦法在網頁上執行 JavaScript，有沒有其他的攻擊手法呢？例如說，假設可以插入 style 標籤，你能夠做些什麼？

在 2018 年的時候，我有寫過一篇 CSS keylogger：攻擊與防禦，那時剛好在 Hacker News 上面看到相關的討論，於是就花了點時間研究了一下。

而 4 年後的現在，我從資安的角度重新認識了這個攻擊手法，因此打算寫一兩篇文章來好好講解 CSS injection。

這篇的文章內容包含：

什麼是 CSS injection？
CSS 偷資料的原理
如何偷 hidden input 的資料
如何偷 meta 的資料
承上，並以 HackMD 為例

自動化尋找 AngularJS CSP Bypass 中 prototype.js 的替代品

2022年9月1日 Security

在我之前的文章：從 cdnjs 的漏洞來看前端的供應鏈攻擊與防禦裡面有提過可以藉由 cdnjs 來繞過 CSP，而有其中一種繞過手法必須搭配 prototype.js 才能成功。

在理解原理之後，我開始好奇在 cdnjs 上面是否還有其他 library 可以做到類似的事情，因此就開始著手研究。

這篇會從 cdnjs 的 CSP 繞過開始講，講到為什麼需要 prototype.js，接著再提到我怎麼從 cdnjs 上找到它的替代品。

UIUCTF 2022 筆記

2022年8月1日 Security

其實沒有參加這一次的 CTF，但有稍微看到兩題跟 content type 有關的題目覺得有趣，來記一下解法。

GoogleCTF 2022 筆記

2022年7月9日 Security

第一次參加 GoogleCTF，這次解了一題 web（HORKOS），然後另外一題偏接近但沒解出來（POSTVIEWER），依照慣例簡單寫一下每一題的 web 的解法，以解出人數來排序。

附上關鍵字如下：

log4j
ReDoS
hop by hop
JavaScript magic function(?)
async/await and Promise
race condition

justCTF 2022 筆記

2022年6月14日 Security

這個假日有 justCTF 跟全部都是 web 的 WeCTF，我本來想說兩個都打，一邊卡住的話可以跳到另一邊，殊不知兩邊都卡住XD

這次 justCTF 滿多不錯的 web 題，依照慣例寫一下筆記並且記一下關鍵字：

zip/tar symlink
Velocity SSTI
Golang path
git 原理
scp 原理
xsleak, STTF + :target selector

底下的順序以解開的數量排序，越前面越多人解開。