网络安全比赛翻车记

By | 10月 30, 2017

最近参加了一场网络安全比赛,下面分享自己的心得体会,与大家共勉。

先介绍一下这场比赛,本届比赛的赛制为一天三场比赛。上午为CTF解题模式竞赛,下午为AWD模式竞赛、CTF夺旗竞速模式竞赛。上午的CTF解题模式赛包含逆向、漏洞挖掘与利用、Web渗透、密码、隐写、安全编程等多个类别,综合考察各参赛队的技术操作能力,最终成绩优秀的30支队伍晋级下午的对抗模式(AWD)竞赛,晋级的队伍将在靶场环境中相互对抗,挖掘网络服务漏洞和对手服务器漏洞得分,修补自身服务漏洞进行防御来避免丢分,最终以得分直接分出胜负。其余50几名队伍进行夺旗赛,另外,比赛中还有六只NPC队伍。

上午的CTF解题竞赛共有九题,其中web两道,两道python编程,一道算是杂项,其余的应该都是逆向,记不太清楚。虽然说赛前做了一些准备,但是题一拿到手还是一脸茫然。按照惯例,浏览了一遍所有的题后发现了一件悲伤的事,没有签到题!!!别无他法,只能一道一道研究了。团队三人分工还是很明确的,A研究逆向,B研究web题,C(ME)研究其他。拿到第一题,发现是.pcapng文件,二话不说就开始用Wireshark分析查看,然而看了一遍并没有任何的头绪,经过n久的研究后,突然灵光一现,研究ICMP数据包,发现flag被分割藏在数据包中,这个flag也顺利把我们队送进了下午的AWD比赛。

期间,A队友将某个exe文件逆向出文件结构,我发现似乎是base64加密,直接工具跑一波,然而发现了flag的前半部分和后半部分,中间不知道缺少了什么。B队友找到web1题的漏洞上传马获得webshell,进入web服务器的目录后并没有发现flag,而实际上flag应该就在那个目录下,也发现了其他队伍上传的马,猜测可能是被别的参赛队伍删了,往年也有这种情况。后面估计是主办方看不下去了,开始不断发tips,然而我们只能在距离flag一步之遥的地方看着自己的队伍被其他的队伍超过。

上午比赛结束十分钟后立刻开始了AWD比赛,每支队伍提供了两台web防守机,其中一台是一个web网站,估计所有队伍的漏洞都是一致的,第一次接触AWD比赛因为赛前没有准备也是一脸懵逼,只能看着自己的队伍被以某国内前十的团队为主的队伍打得很惨很惨,观战很久后才想起来改页面,改掉系统中的漏洞,而其中两只队伍一开始就改了页面,凭原始分排在前面,正应了那句话,打不过我还躲不起吗!

总结一下这次的网络安全比赛,参赛经验还是太少,对于各种题型做的还是太少需要进行系统的训练;准备还是不充分,上午虚拟机出问题,物理机的python环境安装的还不是python2.X,结果sql注入题就崩了;实际动手操作还少,搞安全这一块必须得实际操作。当然参加这些比赛,还有最重要的一点,那就是脑洞,脑洞必须得大。骚年,继续努力吧!安全,不简单!

发表评论

您的电子邮箱地址不会被公开。