竞赛规则说明

选拔赛时长:4h
决赛时长:4h
竞赛形式:线上比赛
个人赛:一人一机,全程机考
大赛制定竞赛系统,在时间提交答案比赛系统,超时无法提交
机器环境:
电脑自带摄像头,系统为windows或者macos监控平台浏览器插件支持win系统,若用mac电脑需要使用win虚拟机进行身份核验)
选手自带答题所需安全工具,选手可以使用任意工具进行竞赛
安全工具示例:(包括但不限于)
浏览器:Chrome 100 以上版本 / Firefox 100 以上版本
虚拟机:Kali Linux
语言环境:Python2.7、Python3.7、Java8 以上、phpstudy(配置版本php)
web 工具:BurpSuite、AntSwordphpstormhackbardirsearch
二进制工具pwntools、IDA profindcrypt(ida 插件)
● Crypto 工具:PyCryptonumpygmpy2、CyberChef
● 杂项工具wiresharkvolatility、FTK Imager、010editorwinhex
参赛选手可根据不同机型操作系统自行选择录屏软件推荐使用 EVCapture 录屏软件obs
录屏软件、Mac 自带录屏软件 Quicktime 等)。参赛选手需在赛前进行下载安装调试比赛
不再提供下载安装调试时间。如因参赛选手的个人原因未及时下载安装,导致比赛时间耽搁或
比赛成绩无效责任由选手自行承担。参赛选手只能在参赛电脑操作系统上录屏录屏不能在
远程登录的系统或虚拟机中进行录屏;如参赛选手在解题过程中涉及分屏或多屏操作,则所有屏
幕均需录制
试题形式:
竞赛题目类型综合应用题,具体题型及题目数量以正式比赛时赛题为准,根据选手所提交答案测评结果评分依据。
综合应用考察选手的网络安全实战能力,将网安新兴技术,有缺陷单的环境,数据流量等转换为赛题供选手进行分析,没到题目通过预置漏洞方式来验证选手威胁发现专业能力。比赛过程中,选手将通过平台进行赛题信息查看附件下载、赛题环境下发等操作。选手获取题目后通过代码审计资产收集端口扫描程序分析等形式,从赛题环境中获得遗传具有特定格式字符串一般称为flag,将其提交给平台,从而获得该题分数
试题考查范围:包括但不限于,web漏洞挖掘与利用,操作系统安全,数据库安全,二进制程序逆向分析代码审计,情报收集等。
使用平台自动评分
样题
样题 :代码审计获取权限综合应用题)
问题描述
平台下发了一个网站环境,选手通过代码审计发现其中存在漏洞上传一句话木马即可
获得网站权限
答案提交】
1.审计发现在
shuipf/Application/Template/Controller/StyleController.class.php
add 函数可以文件
在这里插入图片描述
2.写入一句话木马 payload:
在这里插入图片描述
3.通过一句话木马直接读取位于根目录下的 flag

原文地址:https://blog.csdn.net/weixin_61074128/article/details/134795895

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_43006.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注