最近的竞赛见闻录 - Something About 360ISGame & NUEDC

By Le4F - 2014-09-15

随笔

许久没来打点博客,散漫又充实的过完大学最后一个暑假,打了几次比赛,逛了蛮多地方,简单记录下生活.


全国大学生电子设计竞赛信息安全专题邀请赛[NUEDC]

电赛前前后后准备了近一年时间,想起半年前老校区的几周生活,仍记忆犹新.

关于竞赛的WriteUp,Kuuki君在博客上有整理:http://blog.esu.im/17.html

电赛新增的动态演练由于是第一次,不管是参赛方还是组办方最后的结果都不是很理想,由于各种原因:拼凑,抄袭,第三方公司拼接不当可能会体现的比较明显.比如扫个文件就能得到root密码,登上服务器了又看到一个webshell让你提权.最后高工说有两条网路,但最后全场队伍拿到1K分的都只通过了一条题目线.最后一层的题目拿些Defcon/PlaidCTF的题目充数更是拉低了档次.以及题目中几句很中二的Hint,想想还是有点东施效颦的感觉.

最后,三人小队7team共同经历了半年多的竞赛前体验,也是一次难得的经历.


第二届360全国的大学生网络安全大赛[360ISGame]

说起来这比赛本不关我的事情,只是协会进决赛的队伍ShadowBlade一队员出国留学,我也就被拉来顶替.同样已经有队友写了WriteUp,文笔挺不错的:http://blog.wils0n.cn/?id=11

具体细节应该所差无几,比赛本身趣味性还是很高的,只是前期都是Web居多,逆向无所发挥.

竞赛第二天放开队伍间的访问,允许互攻比较精彩.由于自己对竞赛规则理解不当,起初以为每队服务器被getshell,只给第一个传上shell的队伍加分,而自己找到的getshell方法比较效率,一大早就速速提交其他9个队伍的Shell,瞬间分数跑到第一位.

只是最后规则不如我所想,自己队伍的服务器也因为各种各样的问题不停的宕机,当然好处也是有的:不用怕被别的队伍搞了.默默一直拿别人的机器题目来做.为保持分差,凡遇到有弱口令的WebApp,也都默默前去把大家的密码都改了..

竞赛最后几分钟搞到的sqlite注入写shell,也就是AAA团队赖以夺冠的题目,当时时间再多一分钟还是可以群GetShell拿些分数到第三位的,不过都结束了,也只是多了个谈资.整体玩的不错也很开心.


近况

最近暂且可以闲下来了,写写博客,整理整理情绪,再忙一忙大四的事情,就可以准备迎接未知的工作生活了.

生活,平淡里夹着奶酪,回味一下很好.

From Le4F'Blog