虽然很菜但是也忍不住想要总结一下
我们7点四十左右到底,八点半开始比赛,总共就两个小时,前半个小时用来加固自己的服务器。服务器3台,python一个,java一个,pwn一个。比赛开始的时候第一反应不都是登陆ssh嘛,结果一直连不上,然后工作人员告诉我们需要在网页登陆。。神tm网页登陆,那我怎么拷贝源码。。本来想用scp命令的结果发现这靶机连自己的机器都ping不通。。没办法只能通过网页的shell查看源码,折腾了好久才修改了密码,这时候半个小时早就过去了。于是开始了混战模式,这个时候ssh可以连上去了,但是pwn师傅的ssh一直连不上。那连不上还咋分析程序啊23333,没办法web狗开始审计源代码,python的站挺简单的,发现了一个SSTI漏洞,只过滤了几个关键字,把准备好的payload搞上去,试了好半天却没有得到flag???后来经过不懈的努力终于成功地读到了flag,然后就去交。。神tm还要验证码和对应靶机的ip地址。填完之后却提示flag错误了???难道这是别的队伍故意设下的陷进给的假的flag不成??但是我又试了好多个还是失败了。。这就不知道为什么了。。
总之后期就是一直在交flag,,java的站连网站根目录都没有发现(原谅我tcl),pwn师傅的ssh好不容易连上了却发现无法连上别的队伍的pwn服务器??那还搞锤子。。结果后来pwn师傅也开始帮我交flag了,最后总算是靠着这个漏洞狗住了,从12名跳到了第四名。。
唉赛后pwn师傅一直吐槽这个服务器垃圾,赛后才知道原来是python的服务器的flag生成有问题导致。。唉不说了回家好好练习。。