ISCC2012信息安全对抗竞赛题目分析

本文详述了ISCC2012安全对抗技术竞赛的各项关卡,包括基础关、脚本关、破解关、溢出关和内核关的解题思路。作者通过实例分析,展示了如何应对各种安全问题,如SQL注入、跨站脚本、程序逆向分析、内存溢出等。文章旨在分享解题技巧和知识,提高安全对抗能力。
摘要由CSDN通过智能技术生成

此文为简单分析绿盟&北理工安全对抗技术竞赛ISCC2012年线上赛,算是个笔记记录整理一下取key的过程。
此文公开时线上赛已结束。题目包含以下关卡:
基础关 各种类型的最简单的题目,最简单的得分点,考察各个方面的基础知识
脚本关 脚本注入、欺骗和跨站
破解关 一个编译好的程序,我怎么知道它是怎么工作的?
溢出关 软件漏洞的分析、利用及发掘技术,探索二进制代码背后的秘密
内核关 考察内核驱动的编写,探究内核安全的奥秘
真实关 真实的环境,没有硝烟的战场
其中个人完成所有取key题目,需要上传源文件的题目全部忽略。
如下为各关心得,仅代表个人思路。有文件的题目未上传,有需要的朋友可Mail联系。
=-=-=-=-=-=-=-=-=-=
基础关[共10关]:
第一关:船票制造商
在去找寻王小明的其他信息之前,我们先要知道船票的制造商是谁。经过一番调查,我们知道了制造商的名称。我们藏到了这个页面下,作为抢夺船票活动的热身,大家找出它来吧。
Key:一个保留节目,查看源码查找即可。

 

第二关:登船地点
小明发现,登船的地点是一个负有盛名的景点,他想提前去那里看看,住一段时间,等待世界末日的到来。于是他上到一个他一直喜欢的自助游的网站——“www.yododo.com”,查找以前人们的攻略游记,发现一个叫“想流浪”的驴友写的游记很好看,照的照片也很美。这篇游记上传于“2010年8月10日”,而“想流浪”的出游日期是“2010年6月12日”。
那么,小明的登船地点(名字有5个字呦)到底在哪里呢?
Key:到网站找,留意关键词为五个字

第三关:登船日期
王小明时常出国,他在国外游玩期间还申请了个facebook。他偏偏又爱炫耀,有什么都要说出去。据说他买完了船票就跑到脸书上把自己的要登船的事情说了出去,引来了众人羡慕的眼光。现在,我们需要找到他发的那条状态,应该能得到一个登船日期,请以“YYYY-MM-DD”的格式发给我们。(据说他的ID是Shellming Wong,头像是个囧,居住在北京。)
Key:会翻墙就能找到。

第四关:放弃了别人,只为了自己
保存所有登船人员的数据库的信息外泄了,小强(uid=345)拿到了权限。他想把自己的信息加进去,所以他打算偷梁换柱,替代小明(uid=564),使自己拥有小明的权限,一个包含人员信息的表名称为person,编号所在列名为uid.
Key:一个简单的sql语句
update person set uid=345 where uid=564

第五关:购买船票的具体地点
你也许需要知道这张船票的购买地,以便能够进一步了解它的相关信息,下面这个貌似正则表达式的式子,也许会提供你足够的信息哦。
表达式:

?[Copy to clipboard]View Code HTML1
 (?<a>h)(?<b>u)(?<c>a)i\s+\k<a>\k<b>\k<c> 0\d{2}5

Key:
看到这个题目难下不少朋友。关于正则表达式略有头疼。
(?exp) 匹配exp,并捕获文本到名称为name的组里,也可以写成(?’name’exp)
可以自己指定子表达式的组名。要指定一个子表达式的组名,请使用这样的语法:(?\w+)(或者把尖括号换成’也行:(?’Word’\w+)),这样就把\w+的组名指定为Word了。要反向引用这个分组捕获的内容,你可以使用\k,所以上一个例子也可以写成这样:\b(?\w+)\b\s+\k\b。
故匹配出来应该为
huai hua 0??5
??为数字,由于题目说数字不是随意的。百度得到怀化(区号0745)。结果就出来了。

第六关:领取船票还需要身份证号
王小明在网上购买船票时最重要的信息就是身份证号了,同时网站给了他一个程序用来算出一个用来替代身份证号的号码,这之后他在网上提交的就都是转换过后的密码了。小白无奈之下,从网站那里拿来了程序,又截到了小明跟网站联络时使用的号码:172680739204438579。程序里有一段这样的代码:“B311 F6E3 B30A F6F3 8AC4”。
细看起来,如果把0到9分别放到寄存器AL中去,将会得到10个不同的

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值