这是一个创建于 1825 天前的主题,其中的信息可能已经有所发展或是发生改变。
虽然 CTF 结束之前不应该分享和公开 Write Up 和题解,不过 Bilibili 这 CTF 既然这么离谱,那我也没必要按照常理出牌。
全文地址:https://blog.skk.moe/post/2020-bilibili-1024-ctf-write-up/
Quote:
无厘头的题目、加上混乱的活动页面( Vue 和 jQuery 齐飞、Element UI 共 Bootstrap 一色),再联想起 Bilibili 中间件源码泄漏、Anankke 在新年活动上 只用两小时就刷出了 11 亿美食值,我们大体上可以猜测的出 Bilibili 内部混乱的管理、松散的组织,和极度不重视信息安全、乃至极度不重视技术的风气。Bilibili 这一次的 CTF 暴露出来的问题,远不止选手用
/blog/end.php读取/dev/urandom和/dev/random耗尽靶机性能导致题目 404 这么简单了。
(乳完 B 就跑,真刺激)
 | 1 naoh1000 2020-10-25 20:04:27 +08:00 源码都读了一遍,为什么第 6 、7 、9 没几个人做出来 |
 | 2 across 2020-10-25 20:06:55 +08:00 甲方办活动自己出题,我觉得没啥问题 而且虽然偏门,知识点也没逼人干啥,这么为自己解释太勉强了。 |
 | 3 isukkaw OP @naoh1000 就只有那些逃逸出去的战队做了 90 分、80 分了啊,不知道怎么构造 Payload 的大家只有 70 分啊。 |
 | 4 mxT52CRuqR6o5 2020-10-25 20:32:17 +08:00 不是说 url 里包含 flag.txt 就行吗,结果代码里真的用 file_get_contents 去读了文件? |
 | 5 ihciah 2020-10-25 20:50:54 +08:00 via iPhone 说模仿有点过,感觉是标准考法了 |
 | 6 Mitt 2020-10-25 21:18:2 +08:00 你的文章最大的问题就是太多主观批判 |
 | 7 alphatoad 2020-10-25 21:21:36 +08:00  1 「不过 Bilibili 这 CTF 既然这么离谱,那我也没必要按照常理出牌」 尊重是相互的,这就和「既然高考这么歧视性,我作弊也没啥」一样 |
 | 8 anguiao 2020-10-25 21:30:28 +08:00 做到“Administrator”那题之后,我就不想做了,过于无厘头了。 不是 CTF 玩家,不知道其他 CTF 是不是也是这样的。 |
| 9 mxT52CRuqR6o5 2020-10-25 21:31:08 +08:00 1 @alphatoad 本来就不是什么正经 ctf,就是图一乐 |
 | 10 rmb1222 2020-10-25 22:07:12 +08:00 1 这几天大部分选手都去打 geekpwn ctf 和 bytectf 了 (x |
 | 11 reiji 2020-10-25 23:46:31 +08:00 4 别的不说,Vue 和 jQuery 齐飞、Element UI 共 Bootstrap 一色这句笑到我了 |
 | 12 locoz 2020-10-26 01:29:31 +08:00 via Android 第三题那个纯靠猜真的是离谱,之前看的时候还以为有线索之类的,翻了好长时间… |
 | 13 fuxiuyin 2020-10-26 01:34:38 +08:00 via iPhone 我发现我的脑回路跟他们对不上,第四题我试了一串 adminsuperuser super 之类的,最后看别人的答案知道是 Administrator,然后就不想做了 |
 | 14 mingl0280 2020-10-26 07:55:25 +08:00 via Android 做到第三题发现这玩意儿根本是电波系就没往下做了,题目真的太离谱了…… |
 | 15 lijialong1313 2020-10-26 09:41:47 +08:00 @fuxiuyin 这个是真的脑筋急转弯,主要 a 还要大写。 |
 | 17 SaigyoujiYuyuko 2020-10-26 18:00:05 +08:00 @anguiao 简直就是阴间 ctf |
 | 18 NSAgold 2020-10-26 18:31:48 +08:00 第六题太阴间了 谁能想到出了个 refer 注入 |
Select Language