CTF: Best Web Challenges 2022
· 9 min read
この記事はCTF Advent Calendar 2022 17日目の記事です。
16日目はLaikaさんの「Wani HackaseのSlackにあるスラッシュコマンドの紹介」です。CTFtimeからシュッと情報を取ってきて選ぶ形式はおもしろくていいですね。
さて、本日は今年見たweb問で特に好きな問題を紹介します1。
SECCON CTF 2022 Quals: Author writeups - English
· 36 min read
Thank you for playing SECCON CTF 2022 Quals! Just like last year, I wrote some challenges for this CTF.
- 日本語writeupはこちら!
My challenge list:
| Challenge | Category | Difficulty | Keywords | Solved |
|---|---|---|---|---|
| skipinx | web | wamup | query parser, DoS | 102 |
| easylfi | web | easy | curl, URL globbing, LFI | 62 |
| bffcalc | web | medium | CRLF injection, request splitting | 41 |
| piyosay | web | medium | Trusted Types, DOMPurify, RegExp | 19 |
| denobox | web | medium-hard | prototype pollution, import maps | 1 |
| spanote | web | hard | Chrome, disk cache, bfcache | 1 |
| latexipy | misc | easy | pyjail, magic comment | 8 |
| txtchecker | misc | medium | magic file, ReDoS | 23 |
| noiseccon | misc | medium-hard1 | Perlin noise | 22 |
I added the source code and author's solvers to my-ctf-challenges repository.
Footnotes
SECCON CTF 2022 Quals: Author writeups - 日本語
· 44 min read
SECCON CTFに参加いただいたみなさん、ありがとうございます。感想やwriteupなどをたのしみにしています! 去年に引き続きSECCON CTF 2022 Qualsでいくつか作問したので、それらのwriteupです。
- The English version is here!
今年は以下の問題をつくりました:
| Challenge | Category | Difficulty | Keywords | Solved |
|---|---|---|---|---|
| skipinx | web | wamup | query parser, DoS | 102 |
| easylfi | web | easy | curl, URL globbing, LFI | 62 |
| bffcalc | web | medium | CRLF injection, request splitting | 41 |
| piyosay | web | medium | Trusted Types, DOMPurify, RegExp | 19 |
| denobox | web | medium-hard | prototype pollution, import maps | 1 |
| spanote | web | hard | Chrome, disk cache, bfcache | 1 |
| latexipy | misc | easy | pyjail, magic comment | 8 |
| txtchecker | misc | medium | magic file, ReDoS | 23 |
| noiseccon | misc | medium-hard1 | Perlin noise | 22 |
この記事では各問題の問題概要と解法のみ書きます。作問感想や裏話は別記事として書く予定ですのでお楽しみに(?)
なお、各問題のソースコードやソルバはmy-ctf-challengesのリポジトリに追加しています。
Footnotes
UIUCTF 2022 writeup - web/spoink
· 18 min read
UIUCTF 2022に ./Vespiary で出てチームとしては27位でした。
- ctftime: https://ctftime.org/event/1600
UIUCTFはSIGPwny主催のCTFで、スコアページのデザインまで凝っていて好印象でした。ロゴデザインがかなり好きです。問題についてはjailカテゴリがあったのが印象的でした1。また、中難易度CTFだと思って気軽に参加したら非常に難しい2問題もちらほらあって、来年はもっと腰を据えて挑みたいです。
解いた問題の中でもwebのspoink3という問題が特におもしろく、また、SSTIやSpringに対する知見も得たので、共有の意味も兼ねて久しぶりのwriteupです。
Footnotes
LINE CTF 2022 writeup (web challs)
· 12 min read
LINE CTF 2022 に ./Vespiary で参加して13位でした!
解いたweb問のwriteupを書きます。
SECCON CTF 2021 作問感想
· 8 min read
English writeup is here.
他の人が参加記を書いてていいなと思ったので、自分も書きます。作問の感想や背景を書いているだけなのでちゃんとしたwriteupを読みたい人はこちらを参照ください。
今年は作問メンバーの一員としてSECCONに関わることになりました。./Vespiaryからは私とXornetが作問に加わりました。
作問の打診を受けたときに、作問したことがない自分がSECCONという大舞台(?)で作問してもいいのかという不安があったのですが、初心者だからという理由で遠慮してたら一生作問やらないだろうなと思ったので、参加表明をしました。最初はみんな初心者ですし。とは言っても、参加表明したからには自信もった問題を準備する責任は当然あるわけで、がんばって作問しました。問題を見てくださった方々、解いてくださった方々ありがとうございます。観測したwriteup・感想は全部読んでます。
今回はwebカテゴリで4問つくりました。
- [web] x-note: 3 team solved / 428 pts
- [web] Cookie Spinner: 7 team solved / 322 pts
- [web] Sequence as a Service 1: 20 team solved / 205 pts
- [web] Sequence as a Service 2: 19 team solved / 210 pts
SECCON CTF 2021: Author writeups (4 web challenges)
· 19 min read
Thank you for playing SECCON CTF 2021! I hope you had fun. I created the following web challenges in the CTF:
- Sequence as a Service 1
- Sequence as a Service 2
- Cookie Spinner
- x-note
This post describes author writeups and unintended solutions1 for the above 4 challenges. If you know other solutions, please report to me.
I added the source code and author's solvers to my-ctf-challenges repository.
Footnotes
RTACTF (SECCON Speedrun Challenge) crypto writeup
· 11 min read
今年のSECCONではRTACTFという早解きCTFが開催されました。
- コンテストページ:
https://speedrun.seccon.jp/ - RTACTF実況動画: https://www.youtube.com/watch?v=VXaROnAmAiY
- kurenaifさん視点動画: https://www.youtube.com/watch?v=tDkNKz0qMW4
- 問題リポジトリ: https://github.com/ptr-yudai/RTACTF-2021
ジャンルはpwnとcryptoの2つで、pwnはできないのでcryptoだけ外野で走ってました:runner:
結果です(順位は執筆時点):
| Challenge | Rank | Time |
|---|---|---|
| Sexy RSA | 11th | 229.03 sec |
| Proth RSA | 6th | 741.37 sec |
| Leaky RSA | 🥈 | 1582.89 sec |
| Neighbor RSA | 9th | 1957.66 sec |
思ったより良い結果になってうれしいです。 cryptoは普段あまりやってないのですがRSA問はたまに解いたりしてたので問題セットに恵まれました。
TSG CTF 2021 writeup - Udon
· 8 min read
TSG CTF 2021 に ./Vespiary で参加して3位でした!
自分はweb問のUdonしか解いていないのでチームメンバーに感謝です。以下ではUdonのwriteupを書きます。
My short writeup in English is here.
CakeCTF 2021 writeup
· 15 min read
CakeCTF 2021 に ./Vespiary で参加して2位でした!