ZCTF线下赛总结

Categories Uncategorized

这是我们第一次线下赛,也是一次被全面吊打的经历(ToT)/~~~。

zctf决赛地点在郑州市西三环信息工程大学附近,酒店门口有家烩面不错(⊙ω⊙)。
赛前和ysyy讨论不同漏洞的补丁方法,尝试了几种通用二进制防御,LD_PRELOAD和针对格式字符串漏洞的程序输入过滤。

比赛一上来放出了两道pwn题,就直接按照之前的思路打了补丁。然后开始逆向找漏洞。不到中午,旁边的0ops就拿下了pwn2的一血,我们的补丁并没有完全生效,于是开始使用更激进的过滤,五个回合后终于不再丢分。

午后放出了web题,就是被吊打的开始。一个小时后我们的web服务开始丢分,一开始被******打,然后攻击我们的队越来越多,最多的时候被八个队一起打,一下午就被打成了负分( ̄Д ̄)ノ。以后还是要加强web方面的训练。

出去的时候看到了flappy pig的两名队员正在场外放松,原来他们已经写出了两个利用开始打全场飙分,真是6得不行。

总结来看,一方面我们写出漏洞利用的速度还比较慢,跟0ops,Flappy Pig等强队差距明显,需要针对性的强化训练。防御方面,二进制防御思路还可以,自动化程度还是不够,花费太多时间打补丁。web还是明显缺乏实战经验,招架不住进攻,我们的web服务在两个小时内成为了全场自动提款机。

PS连续五个周末的持续参赛,已经比较疲惫了,这次线下赛后终于可以好好休整一下{(-_-)},下周的SSCTF决赛赛制也比较特别,还要再准备一下。

 

No Comments

Leave a Reply