这次是刚开始接触ctf后第一次参加线下赛,被各大高校的师傅们吊打。主办方给了3个web,第一个是display的漏洞,但被另一个队伍发现了ssrf,第二个是一个cache的漏洞,第三个是主办方发现的一个ecshop最新版本的0day。最近先要赶一波项目,晚些时候再写。
除此之外还get了一些需要学习的点:PHP框架的上waf姿势(命名空间?),这次比赛很多队伍因为对框架不熟悉,waf上错了位置,导致关键流量没抓到。
主办方的师傅们让我们去看看php沙盒,同时还要记得多弄清楚python沙盒及其逃逸的方式,
http://bobao.360.cn/learning/detail/553.html(phpwaf)
http://www.360zhijia.com/360anquanke/178589.html(沙箱逃逸)
中转脚本和ip变形
网友评论