https://hack.lug.ustc.edu.cn/

入了这个坑的十几天后第一次打比赛,没想到自己居然还能答6道题,趁着刚开始人不多居然还能有70左右的名次()就这样,写个总结。。。

(10.23补充:原本前天就该搞好的文章结果拖到了现在,果然我已经懒癌晚期了。。。快结束的时候居然又多做了一道题,结束时总分900.看了其他题的wp,果然我的知识还是太匮乏了。。。)

0x01 签到题

题目描述:签到题就在这里~

最简单的一道题了,只要把button的属性改一下点击就可以得到flag。

甚至官方已经在题目中给出了flag(

0x02 白与夜

题目描述: 这是一个关于白猫,嗯不对,关于黑猫的故事。

打开后发现是一个网页文档,有个图片,提示猫是黑的,然后下载下来不知道怎么的就稀里糊涂的看到flag了,等官方wp吧(

0x03 信息安全 2077

题目描述:

2077 年很快到来了。此时正值祖国 128 周年华诞,中国科学技术大学也因其王牌专业信息安全,走出国门,成为了世界一流大学。作为向信息安全专业输送人才的重要渠道,第 64 届信息安全大赛也正在如火如荼地开展着。

千里之行,始于足下。作为一名渴望进入信息安全专业的学生,你的第一个任务是拿到第 64 届信息安全大赛的签到题的 flag。我们已经为你找到了签到题的入口,你只需要把 flag.txt 的内容读出来就可以了。

注:为了照顾到使用黑曜石浏览器的用户,第 64 届信息安全大赛的签到题决定沿袭之前 63 届信息安全大赛的惯例,仍然基于 HTTP 1.x。当然了,使用其他浏览器也是可以顺利完成任务的。

进入入口后提示还没到时间

刚开始以为要搞js什么的,后来一想直接改系统时间就行了,再然后发现win系统只能改到2076,害得我只好拿出kali去改时间,再访问网页,得到flag。(懒得截图了,之后补吧)

0x04 宇宙终极问题

题目描述:(直接上图)

连接后要求输入三个数立方和等于42,直接百度即可。再往后就不会做了,等wp吧。。。

0x05 网页读取器

题目描述:

今年,刚刚学会网络编程的小 T 花了一点时间,写了一个非常简单的网站:输入一个 URL,返回对应的内容。

不过小 T 想对用户访问的站点进行一些限制,所以他决定自己来解析 URL,阻止不满足要求的请求。这样也顺便解决了 SSRF(Server-Side Request Forgery, 服务器端请求伪造)的问题。

想象很美好,但小 T 真的彻底解决了问题吗?打开/下载题目

打开之后输入url可以访问网页,但只能输入example.com。下载源代码:

阅读判断的部分,发现@前的部分都不管,所以可以把目标网址放到@前面。

http://web1/flag?@example.com
访问即得到flag。?的作用是把后面的东西当成参数避免404.

0x06 达拉崩吧大冒险

题目描述:某一天,C 同学做了一个神奇的梦。在梦中,他来到了蒙达鲁克硫斯伯古比奇巴勒城……打开/下载题目

非常有意思的一个题目,打开是一个冒险的游戏的界面。要求攻击大于恶龙的攻击。游戏过程中发现料理大市场处可以发送负值。于是ws.send(-922337203685477588),成功数据溢出,打龙得到flag

0x07 Happy LUG

从这里开始就不会了qaq,等着wp吧