西南石油大学第三届信息安全大赛总结

西南石油大学第三届信息安全大赛总结

写于2012116

总体自我感觉很差:基础做了15题、渗透做了6题,其它的都没做,分数4200,排名115

第一次做的是绿盟科技和北京理工大学搞的那个,这个是第二次,同时也在做成都的一个。

这些比赛的类型是我喜欢的,不像那ACM那样,不太喜欢。从中学到了一些,总结一下:

基础1:源代码

方法:查看网页源代码,很基本。

基础2BASE64

<?fputs(fopen(base64_decode("bm92b2ljZS5waHA="), "w"), base64_decode("PD9waHAgQGV2YWwoJF9QT1NUWyd0aGlzX2lzX3lpanVodWEnXSk7Pz4="));?>

考点:BASE64加密+php一句话木马。

基础3UTF-7

解码这段文字就能得到key

+AGsAZQB5ADoAaQBhAG0AdQB0AGYANwBlAG4AYwBvAGQAZQBk-

这个我找了很长时间才找到转换工具,在一群里发现简单方法:把+-号去掉,用BASE64解密,经测试成功。

基础4JS

查看网页源代码----得到密文,用URL解码得到一个函数,算了下就出来了。

考点:URL加密+基本函数解密

基础5:抓包

找个抓包工具抓包就能发现。

考点:抓包

基础6hidden

查看网页源代码,发现hidden输入框,用google浏览器的审查元素修改hiddentext,输入文本,提交。

考点:hidden+动态修改属性。

基础7referer

让从百度跳转到一个页面,上次遇到这种题的时候,还是自己写程序实现的。

简单方法:用google浏览器审查元素,修改一个链接为要跳转到的地方,点击就实现了。

考点:来源页吧,想办法修改来源页。

基础8proxy

这个一开始不会,没搞懂,但看标题的时候发现X-FORWARDED-FOR,百度了一下,就知道了,找到一个firefox的插件,修改,访问,完成。

考点:对X_FORWARDED_FOR的理解。

基础9Linux

基本的Linux复制文件的命令,然后MD5加密。

考点:Linux复制命令+MD5加密。

基础10Shell分析

没搞出来,找Shell后门,真心不会。

考点:Shell分析,求大牛指导。

基础11U盘病毒

下载U盘镜像,用7z提取出来,分析.inf文件,一开始不会,百度了下inf文件,发现只有[autorun]下面那部分才能运行,就找到相应的vbs了。

考点:镜像提取+inf文件

基础12Chrome, Firefox Only

一个http://kickassapp.com/ 的小游戏,搞的我花了很长时间,把页面上所的元素都打掉,就出来key了。

考点:¥#**%*

基础13Search engine

感觉像是在搜索框上做了文章,没搞懂。

考点:……&*&……*&%……

基础14QR

25*25的方形的10,写程序根据10生成QR码,用百度解码出来。

(我用过记事本替换,但是黑色中间有缝隙,没扫出来)。

考点:QR+01的矩阵搞成二维码。

基础15hosts

把百度域名解析到一个IP上,直接修改hosts文件,加入一条IP http://www.baidu.com

考点:hosts文件。

基础16mail+image

下载后为eml文件,下了个Foxmail,打开右键,提取出图片,把图片改成rar格式的,打开,发现KEY

考点:eml文件+一种信息隐藏图片的方式

基础17outguess

一种信息隐藏技术,只找到linux下的源码,还没编译好。没搞出来。

考点:outguess信息图片隐藏

渗透1MySQL_1

直接能注入,放工具里跑出来的。

考点:基础渗透

渗透2MySQL_2

在渗透1的基础了用load_file读取物理路径下实际文件。

考点:load_file()

渗透4Access_1

有防注入,直接cookie中转注入。放工具里跑出来了。

考点:cookie注入

渗透6Upload

Upload上传a.asp;a.jpg文件。

考点:II6的解析漏洞

渗透7CMD

使用CMD命令添加一个账户,并把账户添加到用户组

考点:基本的命令。

渗透8:后门

后门密码1--318之间素数之和,服务器上一个Shift后门,找到桌面,就有key了。

考点:素数求和+SHIFT后门。

你可能感兴趣的:(西南石油大学第三届信息安全大赛总结)