今天只是简单写下心得和体会
平时工作很忙 留给学习的时间更加珍少宝贵。
重点说下第二天的攻防比赛吧 。
三波web题 。涉及jsp,php,py、
前期我们打的很猛。第一波jsp的题看到有首页预留后门,和css路径下一个非常隐蔽的马,我们利用这个马打了一大波flag,后面审计发现后台也是弱口令,存在上传。
而在后面,我们也利用几个马打了很大一波,名次很靠前,却没有好好防守,犯了一些致命错误,源码直接被人家删完,分数一点点拖后。到最后只有省3的名次。
不记录多的,一个是平时练习不够确实和人家前面的学校有差距,有的别的队是大三的职业ctf,二个是没有经验和吃了很多不懂赛制的亏(例如一个flag可以提交三次),三个就是战术没有到位,只有两个人去打这场比赛(别的是三个人)
立个flag,下学期大三了还会参加,到时候会锤回来。
简单说下awd比赛需要注意的点。
- 拿到ssh密码后不要想着第一时间打,首先是备份全部源码,包括web的上级目录,这次我们就是被全部目录删除,恢复的很惨。
- 备份后首先是看预留后门,这是官方给的第一波机会,删后门,写脚本打一波,脚本一定要提前写好,现成写来不及的,我们就是没有准备好。
- 后门的打好了后,就是审计,不要一个点一个点的细看,要快速审计,没有那么多时间给你方方面面的审计,要根据功能去审计,比如一个参数,你结合源码看看有没有注入,后台你看看有没有上传,再者就是小源码可以上网搜下现成的洞,涉及到框架的洞也要重视。还有的就是会的要多,要是只会php,给你jsp的题你就等着挨打。