本文作者分享了参加CTF比赛的经验,指出实战与练习的差异,强调了代码审计、运维技术、流量分析、攻击与防御策略的重要性。作者认识到需要加强脚本编写、免杀技术的学习,并提出通过分析强队流量来提升挖洞能力。同时,对于比赛中的防守,提出了留后门和数据库备份的策略,以及完善团队框架的计划。
整体总结
关于比赛
实战起来和练习还是有很大的不同
到了比赛一上来遇到了3台web 有点手忙脚乱的
比赛是两个cms + 一个game
由于没有经验 一时不知道从哪里入手或从哪里去打 导致对团队做出的贡献很小 有点遗憾
所以要好好练一练代码审计 并且提高一下运维的技术?
关于攻击和防御
我们发现机器很快被上了马 于是决定把机全部宕掉
我觉得上来备份完后可以手动宕机 然后慢慢修
这里有个小问题就是 数据库的备份问题
这次比赛没有很简单能够打数据库的洞 所以数据库没被打 并且我们第一天三个web一直宕机 导致没被打(hh
但是下次要把数据库备份出来
并且练习一下防守的技术 一旦被打直接查流量去修洞
关于流量的利用
成一gg 写了个查流量的软件 以后可以利用起来 tql
然后就是 打比赛的时候并没有认真分析流量导致很多该拿的分并没有拿到
下次要找到最强的几个队伍的流量 认真分析 这样会对挖洞有很大的帮助
当然这个需要好好练习
关于攻击
随便找一位幸运观众 如果是没来参赛的那就更棒了 hh
由于平时写脚本很少 导致挖到洞也没有好好地利用起来 很遗憾
下次要自己联系一下上免杀马的技术
但有一个坏处就是 可能会被别人上车???
关于上车 我们还要读流量 试着可不可以上别人的车???
然后就是去学一下流量加密之类的
或者当时想出来的一个好方法
我发100 个包 其中只有一个包是有用的 这样别人就上不了车了 是不是很坏?
这次很遗憾的是平时做题脚本写的太少 导致当场都是rabbit在打 我负责修。。。
所以以后无论做什么题目都要写脚本
并且要练一下速度
还有就是当场很难静下心来去挖洞 并且一旦漏洞很大 就很难利用 很烦。。。
这点以后还要多加考虑
后来想到的
有几支队伍没来或放弃了比赛, 由于积分规则是如果一台机被打扣100分,打了这台机的人会平分这100分,所以我们可以给这台机留个后门然后删站,这样就只有我们可以打,岂不美哉?
当时并没有去实操 有点遗憾
关于框架
我们自己的框架感觉还有很多地方需要完善 所以暑假去完善一下???
472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
