虽然 CTF 结束之前不应该分享和公开 Write Up 和题解,不过 Bilibili 这 CTF 既然这么离谱,那我也没必要按照常理出牌。
全文地址:https://blog.skk.moe/post/2020-bilibili-1024-ctf-write-up/
Quote:
无厘头的题目、加上混乱的活动页面( Vue 和 jQuery 齐飞、Element UI 共 Bootstrap 一色),再联想起 Bilibili 中间件源码泄漏、Anankke 在新年活动上 只用两小时就刷出了 11 亿美食值,我们大体上可以猜测的出 Bilibili 内部混乱的管理、松散的组织,和极度不重视信息安全、乃至极度不重视技术的风气。Bilibili 这一次的 CTF 暴露出来的问题,远不止选手用
/blog/end.php读取/dev/urandom和/dev/random耗尽靶机性能导致题目 404 这么简单了。
(乳完 B 就跑,真刺激)
 |
1
naoh1000 Oct 25, 2020
源码都读了一遍,为什么第 6 、7 、9 没几个人做出来
|
 |
2
across Oct 25, 2020
甲方办活动自己出题,我觉得没啥问题···· 而且虽然偏门,知识点也没逼人干啥,这么为自己解释太勉强了。
|
 |
4
mxT52CRuqR6o5 Oct 25, 2020
不是说 url 里包含 flag.txt 就行吗,结果代码里真的用 file_get_contents 去读了文件?
|
 |
5
ihciah Oct 25, 2020 via iPhone
说模仿有点过,感觉是标准考法了
|
 |
6
Mitt Oct 25, 2020
你的文章最大的问题就是太多主观批判
|
 |
7
alphatoad Oct 25, 2020  1
「不过 Bilibili 这 CTF 既然这么离谱,那我也没必要按照常理出牌」
尊重是相互的,这就和「既然高考这么歧视性,我作弊也没啥」一样 |
 |
8
anguiao Oct 25, 2020
做到“Administrator”那题之后,我就不想做了,过于无厘头了。
不是 CTF 玩家,不知道其他 CTF 是不是也是这样的。 |
|
9
mxT52CRuqR6o5 Oct 25, 2020 1
@alphatoad 本来就不是什么正经 ctf,就是图一乐
|
 |
10
rmb1222 Oct 25, 2020 1
这几天大部分选手都去打 geekpwn ctf 和 bytectf 了 (x
|
 |
11
reiji Oct 25, 2020 4
别的不说,Vue 和 jQuery 齐飞、Element UI 共 Bootstrap 一色这句笑到我了
|
 |
12
locoz Oct 26, 2020 via Android
第三题那个纯靠猜真的是离谱,之前看的时候还以为有线索之类的,翻了好长时间…
|
 |
13
fuxiuyin Oct 26, 2020 via iPhone
我发现我的脑回路跟他们对不上,第四题我试了一串 admin superuser super 之类的,最后看别人的答案知道是 Administrator,然后就不想做了
|
 |
14
mingl0280 Oct 26, 2020 via Android
做到第三题发现这玩意儿根本是电波系就没往下做了,题目真的太离谱了……
|
 |
15
lijialong1313 Oct 26, 2020
@fuxiuyin 这个是真的脑筋急转弯,主要 a 还要大写。
|
 |
17
SaigyoujiYuyuko Oct 26, 2020
@anguiao 简直就是阴间 ctf
|
 |
18
NSAgold Oct 26, 2020
第六题太阴间了
谁能想到出了个 refer 注入 |
Select Language