This is a writeup for AlpacaMark, a challenge I created for AlpacaHack Round 11 (Web). Due to an unintended solution, I released a revised version called "AlpacaMark Revenge" after the CTF.
Result:
Congratulations to icesfont for the first blood!
Keywords:
credentialless attributeThank you for playing ASIS CTF Finals 2024!
There were 7 web challenges and the authors are @maple3142, @Strellic_, @_splitline_, @kevin_mizu, @_Worty, and me.
I made 2 challenges:
| Challenge | Category | Intended Difficulty | Solved | Keywords |
|---|---|---|---|---|
| fetch-box | web, misc | easy | 19 | fetch, sandbox |
| fire-leak | web | medium-hard | 1 | XS-Leak, ReDoS |
You can see the source code and author's solvers at my-ctf-challenges repository.
AlpacaHackは個人戦のCTFを継続して開催する新しいCTFプラットフォームです。今回はst98さんと一緒にWeb回であるRound 7の作問を、担当しました。ご参加いただいた方々、ありがとうございました。
AlpacaHackにはwriteupを投稿する機能があるので、ぜひwriteupを書いて投稿してみてください。upsolveもOKです。AlpacaHackは常設CTFでもあるので、終わったCTFも実際にリモート環境でテストすることが可能です!
さて、今回は以下の問題をつくりました。本記事はそのwriteupになります。
| Challenge | Category | Keywords | Solved |
|---|---|---|---|
| Treasure Hunt | web | URL encoding | 71 |
| minimal-waf | web | XSS | 4 |
| disconnection | web | browser behavior | 5 |
| disconnection-revenge | web | browser behavior | 1 |
AlpacaHackは個人戦のCTFを継続して開催する新しいCTFプラットフォームです。keymoonとminaminaoが中心メンバーとなって動いており、最近リリースされました🎉
今回はWeb回であるRound 2の作問を担当しました。ご参加いただいた方々、ありがとうございました。参加登録した人数を数えると300!?ありがたすぎる...1
AlpacaHackにはwriteupを投稿する機能があるので、ぜひwriteupを書いて投稿してみてください。upsolveもOKです2。また、今後の作問・運営のためにもGoogleフォームでのfeedbackをいただけると非常に助かります。単純にモチベーションにもつながります。SNS上での感想も大歓迎です。
さて、今回は以下の問題をつくりました。本記事はそのwriteupになります。
| Challenge | Category | Keywords (spoiler) | Solved |
|---|---|---|---|
| Simple Login | web | SQL injection | 84 |
| Pico Note 1 | web | CSP bypass, JavaScript | 10 |
| CaaS | web | RCE, Perl | 13 |
| Pico Note 2 | web | Import Maps | 3 |
I wrote 4 web challenges and 1 misc challenge for SECCON CTF 2023 Finals. I hope you enjoyed the CTF and want to read your feedback and writeups.
My challenges:
| Challenge | Category | Intended Difficulty | Solved / 12 (Internatinal) | Solved / 12 (Domestic) | Keywords |
|---|---|---|---|---|---|
| babywaf | web | warmup | 8 | 4 | WAF bypass |
| cgi-2023 | web | medium | 5 | 2 | XS-Leak, SRI |
| LemonMD | web | medium | 2 | 1 | Islands Architecture |
| DOMLeakify | web | hard | 1 | 0 | CSSi on style attributes |
| whitespace.js | misc | easy | 2 | 2 | JavaScript sandbox |
I added the source code and author's solvers to my-ctf-challenges repository.
Thank you for playing SECCON CTF 2023 Quals! I created some challenges for this CTF, just like 2021 and 2022. I hope you had fun and I'm looking forward to reading your writeups.
My challenges:
| Challenge | Category | Intended Difficulty | Keywords | Solved / 653 |
|---|---|---|---|---|
| blink | web | easy | DOM clobbering | 14 |
| eeeeejs | web | medium | ejs, XSS puzzle | 12 |
| hidden-note | web | hard | XS-Leak, unstable sort | 1 |
| crabox | sandbox | warmup | Rust sandbox | 53 |
| node-ppjail | sandbox | medium | prototype pollution | 5 |
| deno-ppjail | sandbox | hard | prototype pollution | 2 |
I added the source code and author's solvers to my-ctf-challenges repository.
zer0pts CTF 2023 に./Vespiaryで参加して8位でした!
guess要素が一切なく、各問題もよく構成されたものが多く、例年通りとてもたのしいCTFでした。
I wrote all the web challenges in SECCON CTF 2022 Finals, following the Quals round. Thank you for participating in the CTF and I was glad to receive positive feedback at the after-party and on Twitter/Discord.
In this post, I describe my solution for the following challenges:
| Challenge | Category | Intended Difficulty | Score (static) | Solved / 10 (Internatinal) | Solved / 12 (Domestic) |
|---|---|---|---|---|---|
| babybox | web | warmup | 100 | 6 | 4 |
| easylfi2 | web | easy | 200 | 10 | 8 |
| MaaS | web | medium | 300 | 3 | 1 |
| light-note | web | medium | 300 | 0 | 0 |
| dark-note | web | hard | 500 | 0 | 0 |
I added the source code and author's solvers to my-ctf-challenges repository.
この記事はCTF Advent Calendar 2022 17日目の記事です。
16日目はLaikaさんの「Wani HackaseのSlackにあるスラッシュコマンドの紹介」です。CTFtimeからシュッと情報を取ってきて選ぶ形式はおもしろくていいですね。
さて、本日は今年見たweb問で特に好きな問題を紹介します1。
「おもしろかったxxx問の紹介」系の記事を誰かが書くと、他の人が同じジャンルで似た記事を書きにくくなるのでは?と若干危惧しています。いろいろな人のその人視点の「おもしろかった問題」を知りたいので、ツイートでもいいのでどんどん書いてほしいです! ↩
Thank you for playing SECCON CTF 2022 Quals! Just like last year, I wrote some challenges for this CTF.
My challenge list:
| Challenge | Category | Difficulty | Keywords | Solved |
|---|---|---|---|---|
| skipinx | web | wamup | query parser, DoS | 102 |
| easylfi | web | easy | curl, URL globbing, LFI | 62 |
| bffcalc | web | medium | CRLF injection, request splitting | 41 |
| piyosay | web | medium | Trusted Types, DOMPurify, RegExp | 19 |
| denobox | web | medium-hard | prototype pollution, import maps | 1 |
| spanote | web | hard | Chrome, disk cache, bfcache | 1 |
| latexipy | misc | easy | pyjail, magic comment | 8 |
| txtchecker | misc | medium | magic file, ReDoS | 23 |
| noiseccon | misc | medium-hard1 | Perlin noise | 22 |
I added the source code and author's solvers to my-ctf-challenges repository.
Because of my lack of consideration, many players solved this challenge by unintended solutions 😢 ↩