我是靠谱客的博主 谨慎手机,最近开发中收集的这篇文章主要介绍安天杯HIT CTF 赛后总结,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

赛题详情:
本次比赛是赛题与AWD结合的形式,进行网络攻防的同时会陆续放出题目。
AWD的时间为8小时,也就是周六一整天,第一天放出了所有的赛题,周日一上午就用来解答赛题(周六跟周日都可以提交赛题结果)。

AWD模式:
共有四个服务器,全部都是linux操作系统,拥有用户的权限均为普通用户。
两个布置成pwn服务器,两个为web服务器。
首先对web服务器采取了指纹,发现为第一个为dmz的CMS,上网上搜索了dmz的漏洞,发现了dmz有一个远程删除代码漏洞,可以利用此漏洞删除dmz的安装文件,重新安装该web服务器,获取webshell。
第二个服务器没有分析,直接删站(因为我发现了有其他队伍删站了,询问裁判后并没有定为犯规,所以我们也直接删站了)
然后是两个pwn服务器,pwn服务器在home下有两个pwned文件,对pwned文件进行反编译,找到其中的溢出漏洞并利用,最后进行了提权。

解题模式:
第一题是签到题,隐写术,简单题,直接解决。
本次解题模式均为安天公司基于真实发生事件出的题目,涉及到exe反编译,android反编译,磁盘恢复,代码混淆分析,数据加密与解密,流量包分析,java虚拟机分析。
这次比赛更多是对汇编的考察,难度较大。

比赛总结:
这是我第一次参加CTF,从9月中旬开始接触,到这次比赛也是一次历练吧。这次比赛没有想到给的服务器的权限都是普通用户,提权基本难以实现,因为服务器内核版本都是4.4,打过补丁。所以只能靠攻击别人获取flag了。这次的网络拓扑比较简单,没有进行选手网段隔离,也就意味着有更大的发挥空间。
裁判不会管太多东西,所以基础硬件设施也可以操作一下,例如使用arp诈骗,建立钓鱼提交网站等等操作,如果有机会的话可以试试(笑笑),路由器漏洞可以进行利用哦。

PS:
这次比赛拿到了最佳人气奖,用python写了一个脚本,基于selenium,一个用shell写了脚本,用了两种方法实现的功能效率也不一样,最后也是拿到了奖品的。
今后再接再厉。

最后

以上就是谨慎手机为你收集整理的安天杯HIT CTF 赛后总结的全部内容,希望文章能够帮你解决安天杯HIT CTF 赛后总结所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(52)

评论列表共有 0 条评论

立即
投稿
返回
顶部