标签：审计 攻防 心得体会 flag 源码 jsp AWD 后门 比赛

今天只是简单写下心得和体会 

平时工作很忙 留给学习的时间更加珍少宝贵。

重点说下第二天的攻防比赛吧  。

三波web题 。涉及jsp，php，py、

前期我们打的很猛。第一波jsp的题看到有首页预留后门，和css路径下一个非常隐蔽的马，我们利用这个马打了一大波flag，后面审计发现后台也是弱口令，存在上传。

而在后面，我们也利用几个马打了很大一波，名次很靠前，却没有好好防守，犯了一些致命错误，源码直接被人家删完，分数一点点拖后。到最后只有省3的名次。

不记录多的，一个是平时练习不够确实和人家前面的学校有差距，有的别的队是大三的职业ctf，二个是没有经验和吃了很多不懂赛制的亏(例如一个flag可以提交三次)，三个就是战术没有到位，只有两个人去打这场比赛(别的是三个人)

立个flag，下学期大三了还会参加，到时候会锤回来。

简单说下awd比赛需要注意的点。

• 拿到ssh密码后不要想着第一时间打，首先是备份全部源码，包括web的上级目录，这次我们就是被全部目录删除，恢复的很惨。
• 备份后首先是看预留后门，这是官方给的第一波机会，删后门，写脚本打一波，脚本一定要提前写好，现成写来不及的，我们就是没有准备好。
• 后门的打好了后，就是审计，不要一个点一个点的细看，要快速审计，没有那么多时间给你方方面面的审计，要根据功能去审计，比如一个参数，你结合源码看看有没有注入，后台你看看有没有上传，再者就是小源码可以上网搜下现成的洞，涉及到框架的洞也要重视。还有的就是会的要多，要是只会php，给你jsp的题你就等着挨打。

标签：审计,攻防,心得体会,flag,源码,jsp,AWD,后门,比赛
来源： https://www.cnblogs.com/-qing-/p/11228628.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。