记录第一次线下final

ps:寒假前最后一篇。另外以后的更新就不在csdn了,会放到github上,贴个地址:k1ingzzz.github.io

记录第一次线下final

前言

总的来说被打的毫无还手之力,一路被锤,啥也不是,尤其是第一天。

第一次awd纪实

第一次awd就给我送了份见面礼,大概率是转接口的问题,等我连上服务器的时候已经过了三轮,我的web第一题已经被打掉了二百多分,rank来到29,而队里只有我一个web,所以我只能从头开始。一边down源码一边看根目录,已经多了几个.开头的php,打开一看,基本都是不死马。
down下来d盾杀一遍,挂杀马脚本,删后门,手忙脚乱。zz的我还删掉了index。。。。。。导致前期虽然干掉了大多数后门,但是check down了,每轮掉30。然而过了几轮我竟然惊奇的发现我们排名上升了?看榜才知道原来有的队伍是check down加hacked,一轮掉40+,于是我们慢慢的往上升,大致上来到了20出头的位置。
然后排名就开始波动,一会掉一会涨,我看了一下,check down的在减少,并且一队的dl开了另一个题,每轮多掉十分。所以我和队友赶紧等新一轮开始的时候重置了一下题目,在挂上杀马脚本,队友监控,我查杀,这次小心翼翼的没有删配置文件,于是我们check能过了,瞬间从check负三十变成了正的。
与此同时,新开了题目导致别的队伍开始乱,check down和hacked明显多了起来,但是我们稳住了,于是我们中期排名一路上涨来到15左右。这时候,我们发现了新的不死马,一般脚本杀不掉的那种。我代码能力水的一批,只能交给队友写专门的脚本来杀,发现是sleep(0)的那种,没办法,我们也只能sleep(0),试了一下好在没有宕机。然后我们继续上涨,最高的时候来到12。但是在最后,一队dl们down了一个题目全场服务器,并且我们的upload目录和cache目录下都多了图片的一句话,而且这个文件提权了,以我现在的水平还删不掉。在加上后面一个队伍开始疯狂得分,因此最后我们掉到了13。
这场awd一开始我完全被打蒙了,后面打着打着有了一点感觉,慢慢明白了点啥,总结一下,有时候防守也是一种进攻。

教训和不足

这可真是多了去了…
自身水平不足,要学的东西还很多。
web的题目,注入类占了很大一部分,各种注入的环境和特点见得太少,题做的太少,不能只会直接给个输入框明示有注入点的题目,现在真的是太少了…

经验主义害死人,很多时候题目给出的条件和工具都会有提示,不能用以前的经验做现在的题目,这样往往会缺失某个关键步骤。

漏洞利用能力和意识不足,发现漏洞不会利用。

不会用电脑,好多电脑信息的配置,linux的终端指令还会。

然后就是学习方向的局限,目前仅仅对phpweb一知半解,对于pythonweb和javaweb一窍不通,我甚至找不到java的web服务器(丢死个人)

最后就是代码能力严重不足,给以后难度较大的代码审计留下隐患。基本的python脚本不了解,写不来,这是硬伤,一定要补。

end

总的来说要学的东西还有很多很多,寒假一定得恶补一波。
最后放一波图
记录第一次线下final
记录第一次线下final
记录第一次线下final

上一篇:BTAJ大厂最新面试题汇集,绝对干货


下一篇:【Android Jetpack高手日志】ViewModel 从入门到精通