2018年12月23日に開催されたSECCON CTF 2018 国内決勝にTeam Enuのメンバーとして出場してきました。 結果は去年と同じ6位でしたが、獲得点数は今年の方がだいぶ高かったのでよかったです(?)。バイナリ系の問題は全く手を出さなかった（できないので）のです…

2018/11/23 23:00 (JST) ～ 2018/11/24 23:00 (JST)に開催されたKaspersky Industrial CTFの予選を1問だけ解いた（1問だけしか解けなかったともいう）のでWriteupを置いておく。 expression (web) 問題文 http://expression.2018.ctf.kaspersky.com/ 解き方 …

問題文 https://www.youtube.com/watch?v=sTKP2btHSBQ Writeup 問題文のURLにアクセスすると約9時間のビルと空を撮影したお天気カメラ的なビデオであることがわかる。 一瞬Flagが表示されるのかもと思い、youtube-dlを使ってダウンロードしたあとにffmpeg -i…

はじめに この問題は2つのステップでFlagを入手することができる。 CSSインジェクションでCSRFトークン（=セッションキー）を抜き出しローカルユーザーとしてログイン ローカルユーザーだけが使える、RCE脆弱性のあるImageMagickを使った画像変換機能でFlag…