簡單記一些自己有打的題目，沒有打的就不記了。

依照慣例先附上關鍵字：

1. Python os.path.join 的利用
2. YAML & JS polyglot
3. strace & LD_PRELOAD

閱讀更多

前陣子有幾個 CTF 都很不錯，像是 SECCON 跟 HITCON，但可惜我前陣子剛好出國玩了，回來以後就懶得寫完整 writeup 了。原本其實連記下來都懶得記，可是一旦時間久了，要找相關的資料就會變得很難找，所以還是決定簡單記一下。

除此之外，順便記一下幾題我覺得以前應該要記下來，但不知道為什麼卻沒記下來的題目。

關鍵字：

1. Node.js prototype pollution gadget to RCE (Balsn CTF 2022 - 2linenodejs)
2. 取得 JS proxy 的原始值 (corCTF 2022 - sbxcalc)
3. 瀏覽器 back 行為的 cache (SECCON CTF 2022 - spanote)
4. 利用 svg 做出同步的 XSS (HITCON CTF 2022)
5. 讀到 shadow DOM 的資料 (HITCON CTF 2022)

閱讀更多

被 web 題電得亂七八糟，基本上什麼都沒解出來。題目的品質都很不錯，學到很多新東西，值得記錄一下。

關鍵字：

1. Electron relaunch to RCE
2. 利用 Python decorator 執行程式碼
3. 透過特殊檔名讓 Apache 不輸出 content type header
4. GIF + JS polyglot
5. 繞過 SQLite 不合法欄位名稱
6. JS 註解 <!--
7. superjson

閱讀更多

上個假日隨意地玩了一下 SekaiCTF 2022，不得不說視覺風格滿讚的，看得出來花了滿多心思在這個上面，很有遊戲的感覺。

這次我只玩了兩題 web，其中一題 xsleak 的 safelist 拿了 first blood，另外一題沒解開，說實在有點可惜（當 justCatTheFish 解開的時候我想說是誰這麼猛，賽後發現原來是 terjanq lol）

這篇寫一下 safelist 跟 Obligatory Calc 的解法，如果想看其他 web 題，可以看 lebr0nli 的 blog：SekaiCTF 2022 Writeups

關鍵字：

1. xsleak
2. lazy loading image
3. 6 concurrent request limit
4. socket pool
5. null origin
6. null e.source

閱讀更多

在上集裡面，我們知道了基本的 CSS 偷資料原理，並且以 HackMD 作為實際案例示範，成功偷到了 CSRF token，而這篇則是要深入去看 CSS injection 的一些細節，解決以下問題：

1. HackMD 因為可以即時同步內容，所以不需要重新整理就可以載入新的 style，那其他網站呢？該怎麼偷到第二個以後的字元？
2. 一次只能偷一個字元的話，是不是要偷很久呢？這在實際上可行嗎？
3. 有沒有辦法偷到屬性以外的東西？例如說頁面上的文字內容，或甚至是 JavaScript 的程式碼？
4. 針對這個攻擊手法的防禦方式有哪些？

閱讀更多

在講到針對網頁前端的攻擊時，你我的心中浮現的八成會是 XSS，但如果你沒辦法在網頁上執行 JavaScript，有沒有其他的攻擊手法呢？例如說，假設可以插入 style 標籤，你能夠做些什麼？

在 2018 年的時候，我有寫過一篇 CSS keylogger：攻擊與防禦，那時剛好在 Hacker News 上面看到相關的討論，於是就花了點時間研究了一下。

而 4 年後的現在，我從資安的角度重新認識了這個攻擊手法，因此打算寫一兩篇文章來好好講解 CSS injection。

這篇的文章內容包含：

1. 什麼是 CSS injection？
2. CSS 偷資料的原理
3. 如何偷 hidden input 的資料
4. 如何偷 meta 的資料
5. 承上，並以 HackMD 為例

閱讀更多

在我之前的文章：從 cdnjs 的漏洞來看前端的供應鏈攻擊與防禦裡面有提過可以藉由 cdnjs 來繞過 CSP，而有其中一種繞過手法必須搭配 prototype.js 才能成功。

在理解原理之後，我開始好奇在 cdnjs 上面是否還有其他 library 可以做到類似的事情，因此就開始著手研究。

這篇會從 cdnjs 的 CSP 繞過開始講，講到為什麼需要 prototype.js，接著再提到我怎麼從 cdnjs 上找到它的替代品。

閱讀更多

其實沒有參加這一次的 CTF，但有稍微看到兩題跟 content type 有關的題目覺得有趣，來記一下解法。

閱讀更多

第一次參加 GoogleCTF，這次解了一題 web（HORKOS），然後另外一題偏接近但沒解出來（POSTVIEWER），依照慣例簡單寫一下每一題的 web 的解法，以解出人數來排序。

附上關鍵字如下：

1. log4j
2. ReDoS
3. hop by hop
4. JavaScript magic function(?)
5. async/await and Promise
6. race condition

閱讀更多

這個假日有 justCTF 跟全部都是 web 的 WeCTF，我本來想說兩個都打，一邊卡住的話可以跳到另一邊，殊不知兩邊都卡住XD

這次 justCTF 滿多不錯的 web 題，依照慣例寫一下筆記並且記一下關鍵字：

1. zip/tar symlink
2. Velocity SSTI
3. Golang path
4. git 原理
5. scp 原理
6. xsleak, STTF + :target selector

底下的順序以解開的數量排序，越前面越多人解開。

閱讀更多