ps：寒假前最后一篇。另外以后的更新就不在csdn了，会放到github上，贴个地址：k1ingzzz.github.io

记录第一次线下final

前言

总的来说被打的毫无还手之力，一路被锤，啥也不是，尤其是第一天。

第一次awd纪实

第一次awd就给我送了份见面礼，大概率是转接口的问题，等我连上服务器的时候已经过了三轮，我的web第一题已经被打掉了二百多分，rank来到29，而队里只有我一个web，所以我只能从头开始。一边down源码一边看根目录，已经多了几个.开头的php，打开一看，基本都是不死马。
down下来d盾杀一遍，挂杀马脚本，删后门，手忙脚乱。zz的我还删掉了index。。。。。。导致前期虽然干掉了大多数后门，但是check down了，每轮掉30。然而过了几轮我竟然惊奇的发现我们排名上升了？看榜才知道原来有的队伍是check down加hacked，一轮掉40+，于是我们慢慢的往上升，大致上来到了20出头的位置。
然后排名就开始波动，一会掉一会涨，我看了一下，check down的在减少，并且一队的dl开了另一个题，每轮多掉十分。所以我和队友赶紧等新一轮开始的时候重置了一下题目，在挂上杀马脚本，队友监控，我查杀，这次小心翼翼的没有删配置文件，于是我们check能过了，瞬间从check负三十变成了正的。
与此同时，新开了题目导致别的队伍开始乱，check down和hacked明显多了起来，但是我们稳住了，于是我们中期排名一路上涨来到15左右。这时候，我们发现了新的不死马，一般脚本杀不掉的那种。我代码能力水的一批，只能交给队友写专门的脚本来杀，发现是sleep（0）的那种，没办法，我们也只能sleep（0），试了一下好在没有宕机。然后我们继续上涨，最高的时候来到12。但是在最后，一队dl们down了一个题目全场服务器，并且我们的upload目录和cache目录下都多了图片的一句话，而且这个文件提权了，以我现在的水平还删不掉。在加上后面一个队伍开始疯狂得分，因此最后我们掉到了13。
这场awd一开始我完全被打蒙了，后面打着打着有了一点感觉，慢慢明白了点啥，总结一下，有时候防守也是一种进攻。

教训和不足

这可真是多了去了…
自身水平不足，要学的东西还很多。
web的题目，注入类占了很大一部分，各种注入的环境和特点见得太少，题做的太少，不能只会直接给个输入框明示有注入点的题目，现在真的是太少了…

经验主义害死人，很多时候题目给出的条件和工具都会有提示，不能用以前的经验做现在的题目，这样往往会缺失某个关键步骤。

漏洞利用能力和意识不足，发现漏洞不会利用。

不会用电脑，好多电脑信息的配置，linux的终端指令还会。

然后就是学习方向的局限，目前仅仅对phpweb一知半解，对于pythonweb和javaweb一窍不通，我甚至找不到java的web服务器（丢死个人）

最后就是代码能力严重不足，给以后难度较大的代码审计留下隐患。基本的python脚本不了解，写不来，这是硬伤，一定要补。

end

总的来说要学的东西还有很多很多，寒假一定得恶补一波。
最后放一波图