2023年5月31日，“饶派杯”XCTF车联网安全挑战赛于江西省上饶市落幕。我院信息安全专业本科二年级及一年级同学组建的X1cT34m战队（王锦程、费新程、刘宇凡、田鹏瑞，指导教师：沙乐天）夺得冠军并…

第十六届全国大学生信息安全竞赛 初赛 Writeup

Web ezjava 整体思路就是通过先打register，然后注入内存马控制/blacklist/jdk/get的返回值为恶意反序列化数据完成对server的攻击 hessian的反序列化通过CVE…

Misc hacker 看看流量，发现就是写了个简单的加密逻辑，只要读懂了之后解dns数据就可以了 出题人不知道是故意的还是怎么的这个加密逻辑会导致没62位丢失一位，这直接先补个1然后再爆破就可以了 …

Web sign_in 1.js create div 地方 断点找到 用户名 密码 root 64df930a434235eaa34a987c7e715bef 2.登陆进去提示http3 3.使用支…

2023西湖论剑初赛 Writeup by X1cT34m

NCTF 2022 Official WriteUp WEB calc/calc_revenge 预期 这个题是在p神写了那篇环境注入的文章后不久发现的一个利用。当时仔细想了一下其他语言中是否也存在这…

Web ezjava 直接给了反序列化点，发现lib中存在CommonsCollections4，直接cc4梭，目标不出网，顺便写个内存马就行 InputStream inputStream = Te…

Web ezWeb 给了admin的密码admin888 直接登陆后台找一个approver用户和crawler用户连接的sql注入即可 发现该应用的issue https://github.com/…

Web crash 垃圾题 python 无R rce b= b'''(cos system S'sleep 10' o.''&#…