关于参加AWD攻防比赛心得体会
2024-08-24 20:36:29
今天只是简单写下心得和体会
平时工作很忙 留给学习的时间更加珍少宝贵。
重点说下第二天的攻防比赛吧 。
三波web题 。涉及jsp,php,py、
前期我们打的很猛。第一波jsp的题看到有首页预留后门,和css路径下一个非常隐蔽的马,我们利用这个马打了一大波flag,后面审计发现后台也是弱口令,存在上传。
而在后面,我们也利用几个马打了很大一波,名次很靠前,却没有好好防守,犯了一些致命错误,源码直接被人家删完,分数一点点拖后。到最后只有省3的名次。
不记录多的,一个是平时练习不够确实和人家前面的学校有差距,有的别的队是大三的职业ctf,二个是没有经验和吃了很多不懂赛制的亏(例如一个flag可以提交三次),三个就是战术没有到位,只有两个人去打这场比赛(别的是三个人)
立个flag,下学期大三了还会参加,到时候会锤回来。
简单说下awd比赛需要注意的点。
- 拿到ssh密码后不要想着第一时间打,首先是备份全部源码,包括web的上级目录,这次我们就是被全部目录删除,恢复的很惨。
- 备份后首先是看预留后门,这是官方给的第一波机会,删后门,写脚本打一波,脚本一定要提前写好,现成写来不及的,我们就是没有准备好。
- 后门的打好了后,就是审计,不要一个点一个点的细看,要快速审计,没有那么多时间给你方方面面的审计,要根据功能去审计,比如一个参数,你结合源码看看有没有注入,后台你看看有没有上传,再者就是小源码可以上网搜下现成的洞,涉及到框架的洞也要重视。还有的就是会的要多,要是只会php,给你jsp的题你就等着挨打。
最新文章
- [从产品角度学EXCEL 01]-EXCEL是怎样运作的
- HTML5入门(CSS样式-------------------(CSS基础知识点----------------------------))
- Delphi 完整的Bug决议工具EurekaLog的使用
- 软将工程课设day1与day2
- [Java面试三]JavaWeb基础知识总结.
- hdu1024 Max Sum Plus Plus
- UIViewAnimationOptions swift 2
- Demo Swig
- where, group by, having
- 怀念的东西:Pirka咖啡,芬兰的味道
- Asp.Net集群中Session共享
- HDU--2024
- koala 编译scss不支持中文(包括中文注释),解决方案如下
- 每CPU变量
- GodMode
- 剑指offer(6)
- 主从复制跳过错误(未采用GTID)
- IdentityServer4授权类型(GrantType)对应的返回类型(ResponseType)
- Qt_阴影效果
- Python开发一个多并发的FTP SERVER