“西湖论剑杯”比赛体会

写在前面：

这次连续参加了个人赛与团队赛，感觉被大佬压制了。。。＞﹏＜

这次就写一些心得总结一下这次比赛中的不足好了<(＿　＿)>

2018/5/7 更新：

唔呀呀~好像被认粗来了啦⊙﹏⊙∥

小萌新慌的一批~~>_<~~

夺旗赛（个人赛）：

WEB方向：

作为一只刚刚入门的二进制dog。。。web方向做的我是一头雾水，音Yue台那个题找到了注入点id=。但是没有外网我也不会利用。。。（老阔生疼.jpg）（PS：结果主办方放出了tips：windows系统的漏洞。。。。唔。。。没有外网依然是一头雾水。。。。老阔疼的想掉头发.jpg）接下来简单的科技公司。。主办方放出了文档欸~（突然开心(*^▽*)）提示是XML注入。。。结果再次找到了注入点q=。但是利用了好几次依然失败，这就很迷。。（老阔疼的想重新掉头发.jpg）正义举报平台就没有看了，，，现在就要坐等大佬发WP了。。。

RE/PWN方向：

作为一只刚刚入门的二进制dog。。。我发誓我真的好好的看了这个方向的题。。。牛刀试试是唯一的一个RE题，我一脸开心的打开，结果。。。ARM架构。。。emmmm。。没有指令集玩个锤子系列。。。并且还有一个函数的sp不平衡。。。。F5大法顷刻失效。。。。后面那两个PWN没来得及看。。。。。并且文件运行不起来，后来听队友说用chmod 777 *。。。。。

IOT方向：

这个旭东小哥哥说和PWN一样。。。我一打开。。。额。。MIPS架构。。闹呢。。。（头顶发凉.jpg）但是好像出了非预期解，就是那个文件可以提取出一个bin文件，之后转base64即可。。。不行不行。。焦急地等WP中。

MISC方向：

那个特别可惜的。。。论工具的重要性。。。

mark

还有那个取证，能用binwalk提取出大量文件，或许有啥用。。可是最后没时间看了。。emmmm

攻防赛（团队赛）：

AWD方向：

一上来，XShell连接一下下_{脱下来htmlつ﹏⊂。之后拿D盾扫那么一下下}不出意料啥也扫不出来（不玩了不玩了.jpg）这个时候大屏上显示有队伍发起攻击了。。。。突然慌张≡[。。]≡

接着我们队伍决定看看别人的机子在哪里，于是

nmap启动！

不会用！

zenmap启动！

扫不粗来！

。。。。。没错就是这个绝望的状态（蓝瘦香菇.jpg）/(ㄒoㄒ)/~~

但是我们惊奇的发现大佬们打的不亦乐乎就是打不到我们，还有个【信息已抹消】队对全场的攻击就我们那里有个缺口，开心（偷笑.jpg）。于是我们就猥琐发育。。。发育。。。发育。。。直到主办方放了exp(╯‵□′)╯︵┻━┻。

以BXS为首，一波大流量就打进来了。。。。修都修不过来那种。。。。emmmm

然鹅我们这种萌新队伍还不会利用exp，，，，，后来心一横删了mobile/index.html

删的那一轮check居然过了，之后从那一轮的下一轮开始就开始checkdown。。。。还好有备份系列。。。

之后就有四个大佬上传了不死马，比我们权限都高那种。。。。。（心态崩了兄dei.jpg）

放图放图

到了最后四个小时，我们好像又被主办方可怜了一下下（可怜弱小又无助.jpg）

我们连自己都访问不到自己的靶机了，并且没有checkdown。。。呜哈哈哈——

也就是说除了那四个传了不死马的大佬还能得分之外，我们又不会失分了（满脸都写着高兴.jpg）