第一次参加信息安全方面的比赛。抱着学习和打酱油的态度~~
从大赛报到直到今天比赛结束,挺愉快,CUIT的工作人员很热情。原来只搞过ACM算法以及类似的编程比赛。在比赛开始前准备的时候,搜到过BJTU的做题视频,第一次接触,看着挺神奇。于是也就慢慢开始学习,搞起。
从基础说,大一就是使用过傻瓜式的类似灰鸽子抓肉鸡的软件,懂点端口知识,知道点网络基础知识,会学着用点别人写好的工具,赤裸裸·纯小白一枚。
http://hi.baidu.com/new/casperkid ~~~~~ 这个作者很牛B。很多文章帮助很大,学习到很多东西。
比赛开始那天,先是50道的理论答题,先把有把握的题拿了,不太确定的我们三人讨论了下,算是猜个大家觉得还算靠谱的答案。理论这个东西,有点门外汉了,涉及到网络安全的基本只是听过名词,知道个大概,但是不知道具体选哪个了,自己没去学,连蒙带猜,大家一起弄完,大概50道对了个30道吧,看着挺凄惨。目测可能有队可以对40么?
然后开始做在线综合题,第一个是邮件的先把.zip压缩包下载下来,解压txt文件,编辑器查看,utf-7邮件类型,于是把后缀改了.eml,用outlook打开看,然后有三幅图也不知道要干吗,看了三幅图片的编码,仔细找了一遍也没找到关键点,还是经验不足,没思考到出题人的思路。
其次网页编码转换的最水,基本都过了。1分
LM hash破解,翔哥用彩虹表软件跑出来的。1分
在源文件中有注释的URL的编码,然后在网上随便找个在线的url解码,就ok了。1分
Cookie的暴字段,那道猜账户的题,发现输入admin,离成功更进一步提示,以及放在cookie的路径下,于是看提交cookie的内容,发现userID字段发生变化,于是想着输入的过长会发生什么,结果Key就爆出来了,到后面才做出来。2分
比较坑的是发送电子邮件的那道,用Opera浏览器导入.dat的Cookie文件,刷新126.com怎么木有登录进去,时间都浪费了,结果也没做出来,好多人交了,应该是一道顾名思义一步一步看着来就Ok的,不知道哪一个环节出了问题。蛋疼的我用那个CUIT_2020@126.com,直接去忘记密码看一下,惊现问题CUIT有游泳池吗?我就输着玩了,没戏。
Wifi破解,早上的时候用破解器,猜解的特别快,到后面就完全跑不动了,挂掉了。
神奇的社工题目,寻找蒋玲的手机号,没人做出来,找到了她的QQ号,人人没法加,估计也没手机号,在朋友网上找到了主页,分析找到了一些相邻关系的朋友,但是没去进一步寻找,放弃了。于是发现CUIT的贴吧里求电话贴,看着乐呵乐呵。
翔哥用工具扫到了铜牌1服务器的后台和数据表,网搜了ESHOP的漏洞,然后搞定账户密码,进后台传马,在根目录底下找到了Key文件,搞到6分。
就搞定上面这些,比赛也就这么滴了。SQL注入的不会搞,手工注入的经验太少,逆向的从来没搞过,我用工具调试了下,算是看着玩一下吧。最后在服务器上排名是20,没指导没经验,打个酱油还算凑活吧。以后要看下逆向这个呃,感觉很有用。
27号上午答辩,下午颁奖,各种领导致辞,然后颁奖,这个比赛的奖项估计比较水的,获奖的百分比很高,混到渗透组全国的二等奖和四川省的二等奖,然后SCU的队伍们一起合影留念。
总的来说,对于比赛这种真正的实战动手,才能发现不足和缺陷,原来有那么多知识点,这次的比赛,学到好多东西,多实践多进步,勤学习勤思考,希望以后SCU也像ACM一样的也搞下信息安全方面的竞赛,广涉猎开拓眼界。
向CUIT信息安全的大牛们学习~~~~
暑期要结束了。
明天DT的要赶车去华迪。
962
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
