靶机是linux,只开启了22、80、139、445,Samba版本号为3.x,用了模块但进不去,爆破ssh也无果,猜测是80网页利用注入拿到shell
python脚本题 模块为urllib都挺简单的,不多说
第一个数据包dump.pcapng,平常有练习,知识点大同小异 第二个数据包D.pcapng,新题,主机名没找到,下载的文件内容没找到,除了这些都没问题,猜测主机名在sql注入里边
主要题目为扫描Web服务器的版本服务信息,包括Apache、mysql、PHP和内核的版本扫描测试,然后大概要进行渗透测试
文件上传多数能解决,但最后一题有些难度,并未解决,CTF简单题目有,GIF分离,图片修复,密码学,简单Web,图片修复我并未找到工具,密码学半知半懂,并未做出。
刚开始主办方网络方面有问题,比赛开始防御前10左右,根本ping不通靶机,差不多开始攻击了,才可以ping通靶机,尝试爆破SSH密码,但时间不够,就被关机了,猜测进去的另一种方法,通过webshell修改root密码,就可以进去,但由于刚开始ping不通靶机,以为并没有这个网站,遂放弃,最后通过别的方法拿到6个flag提交,成绩才没有那么难看
总的来说这次的省赛结果,我其实很不满意,但自己总归到底还是自己菜,没做出来也没啥好说的,以后还是要好好补一下,不然出去比赛,不仅浪费money,也是出去被打击的。
路漫漫其修远兮…
