ISCC2019线下赛的总结

头天晚上通宵写一个批量的python脚本，思路就是在别人未修改靶机密码的时候，通过ssh端口爆破进去，通过wget下载一个我写好的shell文件，5分钟运行一次，下载msf的马子和自动复制到根目录的一句话木马，用于维持访问后期刷flag，凌晨五点写完，六点半起床去比赛了，一个头都是懵懵的，比赛九点开始，先是第一阶段线上答题，一个队伍三个人，各给一个账户，登陆上去后在后台设置队名和修改初始密码后就开始写选择题，一个人100道题，题目类型大多是信息安全专业的东西，完全不晓得，大家玩渗透都是哪里不懂百度哪里，也没仔细研究过加密算法有多少位多少key，结局是100道题错了一半，对了一半的成绩，实在是丢人，然后一个人一个项目题，分别是安卓逆向，PWN,MISC类型的题目，一道题一千分，当然了我们队伍一个没做出来，misc还能研究研究，PWN就太难了，完全没有头绪，中午12点结束了线上赛，下午1点吃了饭后开始线下赛，给了一个账户，问靶机是什么，结果监考的让自己找，后来他也不知道咋回事，让我们登陆比赛平台自己看，过了一会比赛平台出现我们的靶机IP，两个WEB服务器，第一个是登录框，SQL注入过去显示一个傻逼GIF头像，我真是sa了他，估计是设置的waf是这样来搞我们的，只要sql被它的waf规则拦截了，就弹一张恶心人的gif图像，手工做了几个bypass waf的语句，结果都不行，sqlmap上了几个常见的tamper也不行，apache服务器版本都是没有漏洞能打进去的，第二个网站是一个helloword页面，其他什么内容也没有，目录一个扫不到，什么都没有，漏扫软件也都上了，一点信息都没有，估计只能靠手工，post，get注入都试了，我web还是太菜，只会基础的渗透逻辑概念，结果就看着别人打进去我们的靶机，没有任何办法，防护都做不了，比赛规则是先通过技术手段进入自己的靶机，换句话说就是自己日自己的靶机，然后通过自己的靶机作为跳板去日其他队伍的靶机，结果我们连自己的靶机都没日进去，结局还是很悲惨的，排名是第17名，一共是50个队，可能其他队和我们一样很水吧，假如，假如，上午的阶段如果能做出来一道题1000分加到手的话，估计就不会那么惨了，之前比赛准备的时候完全是根据AWD模式准备的，以为会先给靶机，结局是每年线下的ISCC都不一样，还是自己菜，结束，也没有明年了，大三了，CTF算是告辞了，打了4次比赛都是凉凉，没关系，怪我不能一拖二