0x00 Challeng Info It’s a web challenge, so it gives us a website and the source code for us to analyze. Let’s see the description first. Welcome back to Insomnia Factory, where you might have to work under the enchanting glow of the moon, crafting dreams and weaving sleepless tales. Well, although it’s not helpful, it’s still a romantic setting for this challenge (you know, programmers & hackers always work at night). 0x01 Reconnaissance Since it gave us the source code, we should check i ...

0x00 Challenge Info Hello hackers. Let’s see the encrypted message. c4a66edfe80227b4fa24d431 7aa34395a258f5893e3db1822139b8c1f04cfab9d757b9b9cca57e1df33d093f07c7f06e06bb6293676f9060a838ea138b6bc9f20b08afeb73120506e2ce7b9b9dcd9e4a421584cfaba2481132dfbdf4216e98e3facec9ba199ca3a97641e9ca9782868d0222a1d7c0d3119b867edaf2e72e2a6f7d344df39a14edc39cb6f960944ddac2aaef324827c36cba67dcb76b22119b43881a3f1262752990 7d8273ceb459e4d4386df4e32e1aecc1aa7aaafda50cb982f6c62623cf6b29693d86b15457aa76ac7e2eef6cf814ae ...

0x00 前言 終於到了 SCIST 課程結束後的季後賽。我知道我自己肯定還有很多不足的地方，不過依然是挺期待這次的比賽，希望可以再讓自己更進步點。不過沒想到居然只解出兩題…多多少少還是有點打擊自己的信心的。不知道是不是比較沒有天分，又或是說準備的方式有錯誤，總之就是對自己這種好像一直有在學習新知識但比賽卻都沒看見成效的狀態有點自責 + 受挫。不過還是先直接進 Writeup 看一下我的解題過程吧！ 0x01 Web formatter 這題是一個文字的格式化器，說是格式化，他其實只是把兩邊加上貓貓 XD。 如果你輸入了一些文字進去，他就會兩邊加上貓貓回傳回來。舉例來說，我先輸入Test然後點 Submit，就會出現😺 Test 😺。稍微查詢了一下後，發現這題可能是個伺服器模板注入（Server Side Template Injection, SSTI）。這種漏洞就是攻擊者把惡意的代碼注入伺服器端的模板並操控模板引擎執行那些惡意代碼。而這題好像也確實有這個漏洞的存在，因為當我們輸入 {% for c in config["SECRET_KEY"] ...

0x00 Challenge Info This challenge gives us an executable file, which is a binary file. And the challenge description is as follows. Did you know that racecar spelled backwards is racecar? Well, now that you know everything about racing, win this race and get the flag! Ok, nothing helps. It’s just a little fun fact. 0x01 Analyse So first of all, we can run the file first to see what this program works and where can be vulnerable. Enter ./racecar on the terminal to see what’s going on. As you ...

前言 本文章是在 1986 年 1 月 8 日，由 The Mentor (Loyd Blankenship) 在被逮捕後，發布在地下駭客電子雜誌 Phrack 上。為盡力保持當初作者寫作的時代背景且不破壞作者想傳達的信念，故原文會以當初發布的形式，也就是 ASCII 文字的樣態呈現。不會加以用 Markdown 排版、強調、渲染其原文的一切內容。 譯文的部分，請容許我不為各位翻譯。 一來是因為如果我翻譯了這篇文章，將會丟失原文所傳達出的意義（相信各位可以理解不同的語言的確會造成表達上的落差）；其次我也認為翻譯此文有違作者希望讀者們能夠擁有的那種絕對的好奇心。你應該要閱讀原文。駭客文化本身就和英文離不開關係，並且在這篇於電子報上所發布的文章更是如此。作者的每個換行與斷句，都有他的用意。所以你應該要閱讀原文。 最後，也要在此聲明本篇文章是轉載文章，僅為了個人喜好而收錄、分享。文章最底部有作者版權資訊。該文章的所有權利歸原作者所有。 原文 ==Phrack Inc.== Volume O ...

前言 從正在打這些字的今天開始算的話，距離網站架設起來的時間也有一個月了。 這段時間一直沒有好好的紀錄一下架站的過程，正好我身邊有一些朋友也想開始架自己的部落格，所以順便就來做個教學吧！ 如同文章的標題，這次主要使用的就是 Hexo、GitHub、HackMD，那事不宜遲，我們就開始吧！ Hexo 部署 在開始前，我們先來介紹一下 Hexo 是甚麼吧！Hexo 是一個很快速也很輕量的靜態網頁框架（大部分用來架設 Blog），它可以讓使用者利用 Markdown 寫作，Hexo 會自己幫你生成靜態文件。 總之就是個很方便的框架，一天內一定可以讓你的網站順利上線！（加上一些環境問題還有其他的依賴問題，最少一個禮拜內也一定可以完成的） 安裝 Hexo 在安裝前，有一些依賴環境需要先安裝，請先確保你的電腦上已經安裝了： Git Node.js（官方推薦 Node.js 10.0 及其以上的版本） 如果還沒安裝過，請先去安裝（網路上找有很多教學了，就先跳過）。確保有以上的軟體後，就可以安裝啦！Hexo 的安裝真的真的超級簡單（Mac 使用者可能會有環境問題，請看 官方說明文件）。首先，請打開 ...

前言 為甚麼會想寫這篇文 因為自己在學習的時候一直覺得密碼學是個很困難的領域，所以決定自己把一些筆記給記錄下來。一來是幫助自己以後可以回來翻，其次也希望可以幫助到正在學習密碼學的人！加油啦！ 柯克霍夫原則 Kerckhoffs’s principle “A cryptosystem should remain secure even if an adversary knows all the details of the system, except for the secret decryption key.” — Kerckhoffs’s principle 柯克霍夫原則是由 Auguste Kerckhoffs 在 19 世紀提出的，其內容主要就是說明一個好的加密系統即使其運作原理全部都是公開的，只要金鑰未公開，他就應該要是安全的。資訊理論的創始人 Claude Shannon 將其改說為以下說法。 “The enemy knows the system” — Claude Shannon 也就是說，永遠預設敵人知道你的整個加密系統是如何運作的，包括其中的算法以及各種原理 ...