每一次尝试不管是成功还是失败都是有意义的,在乎过程而不是结果
为什么这么久才发第一条Blog
我的blog已经搭起来快半年了,一开始是看到Moyuin同学的blog才想建一个,建好之后一直感觉似乎没什么可以写的。之后又看了l1uyun学长和cry学长的blog,感觉我好像写不出有足够深度的思考又或者是高端的技术分析,故而一直没发。现在这次借比赛有较多的想法发第一次blog😂,其实也有很多东西都在我的obsidian里面后续看看深入思考一下。
赛前
知道比赛前
大概从十月中旬开始基本上每天一节小迪加一些实战化尝试,进度不算很快而且开始的有点晚了。
有我自己的原因也有其他因素。对我来说,学网安其实真的挺迷茫的,大一很多次搜索网安应该怎么学习,之后依葫芦画瓢总是无法坚持,我觉得大概还是“焦虑”和“孤独”。“焦虑”:网络安全是需要一定前期投入的,大一开始只有高中自学的一点计组和Cpp但是对网安来说好像作用不大。在学完计算机网络和Linux基础以及web基础后去对比一些大佬,做一些题目,就会感觉到很挫败,这确实有点消磨我对网安的热情。(其实在现在看来是没必要的,和自己比就好了,现在基本上每天都有在写东西,每天都学到了新的东西,这样挺好)再加上第二点“孤独”,那个时候找不到一个可以和我讨论相关话题的人,一直都是一个人苦学,还是小白且宿舍环境不是很好,有时候学的真的很累。在大一的时候我甚至感觉这一届就只有我一个是真的想学网安,hhh,不过现在又多了Moyuin同学还有一群大一的同学,他们还是很有热情的😊。然后其他因素,有一件事对我影响挺大的,总结起来感觉其实和“失恋”差不多,导致我很长一段时间都很消沉,什么事都没有干而且情绪也不是很稳定😭。现在也想明白了,性格不合也没有办法,谁没谁不能好好过呢。
知道比赛后
看到比赛还是挺兴奋的,毕竟那段时间本来每天都在学,想着有一次好的实践机会。报名成功后,每天学习的时间基本上是翻倍了,每天可能有六个小时以上,最长可能有十个小时,不过就以时间来衡量学习效果不行(学习效果=学习时间* 学习效率)学的时间太长效率确实会下降。在这段时间里,和Moyuin同学商量了很多事宜,甚至已经想象蓝天白云了(长这么大了还没坐过飞机😭)。之后就是比赛方临时变卦,突然加了一个线上赛,看到之后每天又在ctfshow刷一些题目做准备。一直到24号晚上开始比赛。
比赛
比赛一开始就卡的不行,被选手DDos了说是。因为是晚上在床上回忆才想到要写blog,平台已经关闭了,题目没办法复现,只能文字写写思路了。
Web
第一道web题,给了一个附件是ruoyi-4.7.8.jar,题目进去是一个若依的登录系统,若依之前在看小迪的时候好像提到过,在尝试了弱密码和常规sql之后,直接上网搜到了这个版本的漏洞(RuoYi 4.7.8 执行任意SQL语句导致RCE漏洞),不过还没怎么尝试,比赛网站就彻底崩了。之后长达二十分钟一直无法进入,题目也看不到。之后尝试解包但是因为Java环境问题失败了,应该是之前换了最新的版本后burp没用了,因此又改回原来的配置,但是好像改的也不太对,就导致Java环境异常。
第二道是php反序列化,一开始进去是404,刷了好几次还以为题目就是这样😂,以为是某种提示,之前做过一个有点类似的就是像服务器突然崩了然后文件会有一个备份,要我们自己去找源代码,在尝试了一些常规的文件名后无果,用御剑开始扫描,然后还没扫完容器就被关了😓。之后再看的时候发现源代码已经给出来了,攻击链其实不算很复杂,就是还要自己写config.php和调用open方法,这两个还不是很会。
第三道逻辑漏洞,没怎么做过,跳过
第四道后面只能开一个容器,队员一直在做pwn,没有做到
pwn,re
这两类确实不是很会,现在电脑里ida好像都没了😂。(对pwn其实还是挺感兴趣的,后续可能会多研究一下)
Game
一开始有两道之后就只有一道了,也是被做出来最多的题。第二道好像是ai。
“我勒个超级马里奥”,进去是一个正常的游戏界面。在看到是游戏后想到试试CE能不能修改,后来扫了几次没什么结果,而且好像也没有提示说金币或者分数达到多少就可以过,于是放弃。转换思路关掉马里奥想从终端去找,然后我的环境又被关了😓。(看了wp后,这个思路是对的,可惜没有尝试到,但是他们直接打通了拿到了flag😂)
Misc
第一道misc是流量分析,关于bb84。所有的流量都是由同一台发送的TCP,一共一百条从40000端口发到40099。前三条给出seed,xor_key以及一段基序列,从理论上来讲有这些或许可以推出密钥,然后去解密,把这些数据丢给ai后得到密钥,用脚本把所有后续的data提取出来解密,解出来的都是乱码。Emmm,只能说还是不太理解bb84(这个谐音感觉有点抽象)。(后续看群里甚至有直接把流量包丢给ai直接问出flag的)
第二道misc是一张图片,先010editor看了一下,没有直接的信息,感觉可能是藏了其他图片,丢给随波逐流分析发现确实有,不过那个时候另一队说是二维码什么的,方向应该是这样就先没做。
CDF
电子取证,之前警察学院的朋友有比赛,所以有所耳闻,但是没有深入研究。这次比赛看了一下给出的文件全部都是.log,数据量挺大的,这种关键就在于怎么去过滤出有效信息,我手里没有可以用的工具,好像取证大师能做?了解不多就先没做。
Infosec
看题目就感觉是要上网去找CVE,然后进行利用。之前看红队笔记打靶机就是在一些常规的信息收集后以及初步尝试后然后发现服务器的某一个服务软件的版本信息,之后去找是否存在可以利用的漏洞。我都没怎么深入的看,没有容器😓。
总结💡
学的不够深不够广,虽然有在刷题但还是不够。用的是普通的gpt和国产ai还是太弱了。这次的比赛方也有很大问题,卡爆了不说而且限制只能开一个容器再加上我们队伍分工不太行,在一开始两个容器的时候还可以做一下题目,在限一个容器且他们开了pwn的情况下,就只能看看了。
后续,我们两队最后虽然没有达到规定的标准但是可能秉持着最初邀请赛的初心,比赛方邀请了Moyuin的队伍,我的比赛虽然结束了,他们的才刚刚开始。虽有遗憾但是祝福🙏,也请带上我的眼睛。
