Pr0ph3t

char nick[7] = "Pr0ph3t";

printf("https://github.com/%s\n",nick);

printf("%s\x40pr0ph3t\x2e\\\bcom\n","admin");

puts("91B6 191A C2C3 285C 201D  801B B5A3 6B56 8528 E140");

[XMAN] 线下赛总结

Aug 16, 2017 • CyberSecurity,Attack&Defense,old Page view:

emmmmmm第一次打线下,很多都不熟悉,被大佬们按在地上摩擦了。。。。而且一开始主办方checker估计是出了问题初始分数莫名少了20分。。。 首先是没有提前准备好,没有监督好各位队友的分工,导致比赛的时候需要工具却找不到,也没有提前准备好网线,没有接触过用私钥直接登陆服务器的操作,导致耽误了许久,包括对环境里账号权限的不熟悉。所以一到环境上的时候没有很好的备份好源码和修改各种默认密码,包括题目中admin的弱密码(还没研究出第一题admin的作用),之后要好好审计一下。并且代码审计的经验不足,工具使用不熟练(后面队友下好了工具简单审计了一下才发现其实很多很多洞。。。其中很明显就包括抄作业的那几个洞)虽然抄作业的速度很快,也很快速的写出了自动化提交脚本,但是发现洞还没有patch好,考虑到又patch又写脚本的速度可能不够快,所以索性就直接down掉了,其实down这方面还是有待商榷,因为down的时候还是不是很多人在打我们,还是少数队伍,down的话直扣20分并且那时候已经被耗子哥哥留了后门,还没有注意到,分数方面可能会比较亏。我们全程就一直把web服务down掉,查流量抄作业。但是分数还是一直在倒扣,估计是一直没有找出babyblog后门的原因,然后后面想到耗子哥哥可能把后门写在内存里面了。。考虑到脚本可能是使用绝对路径查flag的,所以后面直接把flag的文件夹名称改掉了,然后就没有被打了。然后103的web是没有数据库的,考虑到是直接从文件中校验admin账号密码,然后后面在一个xml翻到了admin的账号密码,但是那时候估计有点晚,估计这个洞已经被绝大多数队伍patch掉了,尝试不了。并且抄作业的效果从一开始的能拿到两题共30+个flag的出类拔萃效果到后面大家都把服务down掉只能拿到零零碎碎10多个flag苟一苟。。总的来说全程划水。。。感谢各位队友心态一直都棒棒的,还有感谢自己从小到大抄作业能力非凡(误)


以后线下赛要注意的地方:

  1. 上去之后第一时间备份整个源码
  2. 修改默认服务密码(如mysql)
  3. 修改App中默认管理员密码(或直接删掉管理员)
  4. 跑审计工具,打patch,写自动化攻击、交flag脚本(加上混淆流量)
  5. 有机会的话尽情挂不死马
  6. 命令执行可以尝试rm -rf /
  7. 。。。。。。

加油!

Did you like the post? Subscribe to the feed.

Thx!