记一次360众测仿真实战靶场考核WP

0x00 考核主要分为两部分

• 第一部分为客观题：分为单选题，多选题，和判断题。

  我记录了一道有趣的题，也是不清楚正确答案的群

• 第二部分为操作题：

0x01客观题

我记录了一道有趣的题，也是不清楚正确答案，有大佬知道吗

0x02:操作题

• 源码分析题，给你源码提及一个数据

PHP == 弱语言绕过 ，因为没弄过CTF也是印象比较深刻

• 网站被黑，可以下载整站，找后门

下载源码，找见后门webshell，看一眼，变形的一句话，连上

• 一个加密的一句话木马

就普通一句话各种decode

• IP伪造登陆 X-FORWORD

只能客户端登陆

• 一个弹幕网站

进去发现是Struts2的，有工具一把梭

• xxx系统的数据库系统。postgresql

识别出来是postgresql，但是连上了啥也没找到，没做出来。。。

• 一个登录框

点点发现有注入，sqlmap直接跑了

• wireshark分析数据包的

有人改了数据库密码 找到修改的 数据库密码

• wireshark分析数据包的

删除数据库记录的ip

• wireshark分析数据包的

找上传者的ip

0x03 总结：

1、感觉是给我分的题不是很难，所以还行感觉

2、wireshark稍微看一下，其实有技巧，搜索关键字就行

3、主要是题型的分辩，知道考啥就好说，常见的CVE多复现，多练练就好了