naari_3 https://blog.hatena.ne.jp/naari_3/ 名有りさんの日記 https://naari.hatenablog.com/ あ 数年ぶりにCTFをやりたい気持ちになって、身内のSlackで「なんかやりたい」って言ったらいつの間にか参加が確定していた。 突然投げられたチーム登録用パスワード Web Util pingを投げる対象にコマンドインジェクションできる部分があった。 r.POST("/util/ping", func(c *gin.Context) { var param IP if err := c.Bind(&param); err != nil { c.JSON(400, gin.H{"message": "Invalid parameter"}) return } commnd := "ping -c… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fnaari.hatenablog.com%2Fentry%2F2022%2F06%2F05%2F224238" title="SECCON Beginners CTF 2022 Write-up - 名有りさんの日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/n/naari_3/20220605/20220605223836.png Hatena Blog https://hatena.blog 2022-06-05 22:42:38 rich https://naari.hatenablog.com/entry/2022/06/05/224238 1.0 100%