第四届网络与信息安全技术大赛总结

第一次参加信息安全方面的比赛。抱着学习和打酱油的态度~~

从大赛报到直到今天比赛结束，挺愉快，CUIT的工作人员很热情。原来只搞过ACM算法以及类似的编程比赛。在比赛开始前准备的时候，搜到过BJTU的做题视频，第一次接触，看着挺神奇。于是也就慢慢开始学习，搞起。

从基础说，大一就是使用过傻瓜式的类似灰鸽子抓肉鸡的软件，懂点端口知识，知道点网络基础知识，会学着用点别人写好的工具，赤裸裸·纯小白一枚。

http://hi.baidu.com/new/casperkid     ~~~~~    这个作者很牛B。很多文章帮助很大，学习到很多东西。

比赛开始那天，先是50道的理论答题，先把有把握的题拿了，不太确定的我们三人讨论了下，算是猜个大家觉得还算靠谱的答案。理论这个东西，有点门外汉了，涉及到网络安全的基本只是听过名词，知道个大概，但是不知道具体选哪个了，自己没去学，连蒙带猜，大家一起弄完，大概50道对了个30道吧，看着挺凄惨。目测可能有队可以对40么？

然后开始做在线综合题，第一个是邮件的先把.zip压缩包下载下来，解压txt文件，编辑器查看，utf-7邮件类型，于是把后缀改了.eml，用outlook打开看，然后有三幅图也不知道要干吗，看了三幅图片的编码，仔细找了一遍也没找到关键点，还是经验不足，没思考到出题人的思路。

其次网页编码转换的最水，基本都过了。1分

LM hash破解，翔哥用彩虹表软件跑出来的。1分

在源文件中有注释的URL的编码，然后在网上随便找个在线的url解码，就ok了。1分

Cookie的暴字段，那道猜账户的题，发现输入admin，离成功更进一步提示，以及放在cookie的路径下，于是看提交cookie的内容，发现userID字段发生变化，于是想着输入的过长会发生什么，结果Key就爆出来了，到后面才做出来。2分

比较坑的是发送电子邮件的那道，用Opera浏览器导入.dat的Cookie文件，刷新126.com怎么木有登录进去，时间都浪费了，结果也没做出来，好多人交了，应该是一道顾名思义一步一步看着来就Ok的，不知道哪一个环节出了问题。蛋疼的我用那个[email protected]，直接去忘记密码看一下，惊现问题CUIT有游泳池吗？我就输着玩了，没戏。

Wifi破解，早上的时候用破解器，猜解的特别快，到后面就完全跑不动了，挂掉了。

神奇的社工题目，寻找蒋玲的手机号，没人做出来，找到了她的QQ号，人人没法加，估计也没手机号，在朋友网上找到了主页，分析找到了一些相邻关系的朋友，但是没去进一步寻找，放弃了。于是发现CUIT的贴吧里求电话贴，看着乐呵乐呵。

翔哥用工具扫到了铜牌1服务器的后台和数据表，网搜了ESHOP的漏洞，然后搞定账户密码，进后台传马，在根目录底下找到了Key文件，搞到6分。

就搞定上面这些，比赛也就这么滴了。SQL注入的不会搞，手工注入的经验太少，逆向的从来没搞过，我用工具调试了下，算是看着玩一下吧。最后在服务器上排名是20，没指导没经验，打个酱油还算凑活吧。以后要看下逆向这个呃，感觉很有用。

27号上午答辩，下午颁奖，各种领导致辞，然后颁奖，这个比赛的奖项估计比较水的，获奖的百分比很高，混到渗透组全国的二等奖和四川省的二等奖，然后SCU的队伍们一起合影留念。

总的来说，对于比赛这种真正的实战动手，才能发现不足和缺陷，原来有那么多知识点，这次的比赛，学到好多东西，多实践多进步，勤学习勤思考，希望以后SCU也像ACM一样的也搞下信息安全方面的竞赛，广涉猎开拓眼界。

向CUIT信息安全的大牛们学习~~~~

暑期要结束了。

明天DT的要赶车去华迪。