“长城杯”信息安全铁人三项赛由中央网络安全和信息化委员会办公室、教育部指导,中国信息安全测评中心主办,面向全国高等院校和职业院校在校生。大赛设线上初赛、线下半决赛和线下总决赛三个阶段。本期我们邀请了史同学分享他从初赛走到半决赛的参赛经历,让大家感受真实的打比赛心情。
线上阶段分为理论知识答题和CTF竞赛,我主要负责理论知识和CTF中的杂项,这一部分主要就是理论知识,因为它是每个团队都要做的,所以要尽可能地确保每道题的正确性。对于CTF没有什么大的问题,在学长的加持下我们成功进入了半决赛。
半决赛的赛制是AWD和ISW,都是与网络攻防相关的。但是由于我的老学长的个人问题,他不能和我们一同参加线下的半决赛,当时我就感觉这次肯定拿不到奖了,就当去天津玩吧。但是话又说回来了,谁不想拿奖呢?谁又想被别人打爆呢?于是,怀着如此励志的想法,我也开始了对AWD和ISW的学习,各种命令、工具的使用搞得我头昏眼花。奋力备战一周后,我们来到了天津放松心情 准备拿奖
。
上午是AWD,本想着就算拿不到分也不能让他们容易的拿到分,结果一开赛就蒙了,给的服务器进不去,直接卡崩了。不过幸好ssh能连上,先改密码,防止被弱口令进去,然后想操作一下数据库,但是就在我找数据库的配置文件时,我把备份、还原数据库的命令给忘了,然后只能去把数据库的密码给改了,但是很显然并没有什么用,不一会就被人家给突破了!被打的不能说是惨不忍睹,只能说是毫无人性......和我同行的另一位学长也是被打懵了,毕竟他是做密码的,对不上web,于是我俩只能傻瞪着眼盯着屏幕,看着自己的分数越来越低。真的是被打的一点脾气都没有,一想到开赛前我心里想的话我都能给气笑了,简直就是被爆杀。
不过气馁归气馁,我俩并没有放弃,开始用备份源码不停地覆盖,毕竟被那flag只扣5分,而服务器一旦崩了直接扣200,根本受不起。所以当别人在不停的发起进攻,寻找后台破绽的时候,我俩疯狂地覆盖补救!好在,网安竞技场上有菜鸟就会有大佬,场上一位大佬直接用脚本疯狂地攻击其他队伍的服务器,导致很多队伍的服务器都崩了,扣了很多分,我俩一看,这机会不就来了吗?只要稳住不崩,成绩就不会差。结果到了最后,由于个人的失误,导致有服务器崩了,直接扣了很多分(具体忘了),致使我们AWD的总分倒数。
中午休息的时候我都没什么胃口,下午的ISW都不想打了,想直接摆烂了。一边无情地吞咽食物,一边思念着我的老学长,多么希望他能来救场啊!
02 转机来了
下午ISW开始,与AWD不同的是ISW更偏向于渗透,而不是攻防,所以我又有信心了,继续开干!但是不明白这个ISW的单节点和多节点是什么意思,而且题目上也没给说明,那就不管了,直接上。下午的ISW总体来说还行,比上午好太多了,总共拿了1800分,我拿的是一个thinkphp框架漏洞,幸好当时的课程讲了,要不然就真的哭死了,当时用Xray扫出来是thinkphp的时候我感觉我都快过去了,根本呼吸不了一点,摸了半天的鱼了,总算有点贡献了!
学长那边一直在分析那个流量包,谁能想到一个流量包1300分,藏着两个flag。下午ISW结束的时候看了一下排名(只是ISW),二十多,又看到后面还有很多不过1000的,心里顿感畅快,但是我也没往得奖那一块去想,毕竟上午的AWD倒数,虽然是五五开,但是认为没什么希望,只是很高兴学到的东西能实践上。
但是!!!就在我们听着主持人宣读获奖名单的时候,突然间听到了一个很熟悉的名字,嗯?不确定,再低头看一眼我们的队名,直接傻眼了!我们居然也获奖了!拿到天津半决赛三等奖!瞬间就感觉浑身轻松,上午的“牢底”坐穿也值了,弯着的腰板顿时也直了,我当时直接激动地站起来了!内心的惊喜根本按捺不住!两个人,一个菜鸟,一个不同方向,拿下三等奖太不容易了。虽然没能进决赛,但是都拿着奖了,还要什么自行车?
总结:这次的长城杯真的是一波三折,从开始的有点自信到绝对麻木,再到心情舒畅再到激动万分,这心脏有点毛病的都干不了这活。总的来说,这次线下赛确实开阔了我的眼界,有很多的大佬、各种各样的天才,他们让我知道了不能骄傲自满、自我优越。不过我也不是想超过他们,按照自己的节奏,一步一步的打牢基础,学好知识才是更重要的。
图1:学员第一时间与我们老师交流心得
图2-4:比赛现场(网图,侵删)
比赛之真谛,远超奖杯光芒。
网安领域,实战为王.
每一次实战经历,都是对参赛者知识视野的开拓,都是对团队协作和应变能力的提升。
现场冷静分析、沉着应对,赛后及时复盘、汲取经验。
湖南网安基地与你们携手并肩,共赴实战征途。
·END·
