百度杯全国网络攻防大赛——初来乍到

       百度杯全国网络攻防大赛初赛采用的是国际通用的CTF模式,即capture the flag(夺旗大赛)。每队5-15人,在一定时间(一般48小时)内解决:MISC、PPC & CRYPTO、PWN、REVERSE四个安全方面的问题,问题的答案以“BCTF{flag}”的形式隐藏在某个地方,发现该模式的字符串以后,在竞赛网站提交flag就可以,注意flag是大小写敏感的。


第一题:

描述
      米特尼克刚到中国人生地不熟,想要找到一些中国的黑客朋友帮助他,他知道Capture The Flag夺旗竞赛是黑客云集的地方,于是也报名参加了中国第一次全国性的CTF大赛 @BCTF百度杯网络安全技术对抗赛。而要进入BCTF圈交流,米特尼克需关注并@BCTF百度杯网络安全技术对抗赛,才能找到一个密语。


       这一题明显是水题,阅读几次题目以后就可以知道大概的问题解决方向。“关注并@BCTF百度杯网络安全技术对抗赛”,显然是说SNS公众账号,那么我们就可以有理由猜测BCTF的账号可能是新浪微博、腾讯微博、微信公众账号、人人网、开心网....(FB、TW这些就不考虑啦,反正也上不去^v^)

      上面罗列的账号太多了,但是我们可以通过搜索引擎缩小查找范围。用谷歌搜索“@BCTF百度杯网络安全技术对抗赛”可以发现大部分都是关于新浪微博的消息,因此可以将目标确定为BCTF新浪微博账号上的相关信息。

       登录新浪微博搜索“BCTF百度杯网络安全技术对抗赛”并关注该账号,进去大概浏览了发布的相关状态,刚开始我猜测Flag应该是BCTF发布的状态或者回复别人的评论,找了一圈以后发现状态和回复都没有线索,我又怀疑是不是发布的图片中隐藏了Flag?但是隐约总觉得BCTF不能这么残忍,第一题应该是水题呀,不能搞得这么复杂吧?那么Flag到底隐藏在哪儿呢?
       于是我开始思考,如果我是微博账号管理员,除了状态和评论、图片以外哪儿还可以隐藏Flag呢
突然,我想到个人信息是用户可以编辑的啊!我因此查看了BCTF的用户信息,终于在地址处发现了

BCTF{W31c0m3_T0_BCTF},即Flag之所在。


第一题水过。

展开阅读全文

没有更多推荐了,返回首页