初赛

2018年10月20日

这次比赛作为华师代表队Check参与比赛，深深感觉自己的知识水平真的不够，题目做的太少了，还是以后要加强学习，学的太少了。题目都是web题目，web好久没做了，有点手生。比赛和CTF不同，主要是渗透测试。

初赛题目四个，分别是两个内网题目，两个外网题目，外网平台分别是一个网上的APP下载平台，和一个Apache服务器。
APP下载平台利用方式
1.利用目录扫描工具，扫描目录，获取到后台目录admin和robots.txt,其中robots.txt存在一个flag，提交即可。
2.访问后台admin页面，可以看见登录页面。（偷偷用扫描页面扫过）没有其他漏洞，猜想存在弱口令秘密，试了几个，发现不行，想到爆破。
3.存在有一个安全码，可能是防止爆破，但是没什么卵用，查看页面源码，页面底部就有安全码，直接输入。bp一把梭，抓包导入字典爆破。得到密码：admin123，进入后台，后台底部就有一个flag。
4.有小tips，这个网站可以访问PHP页面，所以没必要上传什么木马了，直接插入就行了，然后菜刀一连，getshell，在桌面找到一个flag，提交。
5.还有一个falg，藏得页面有点深，感谢队友的仔细搜索。hhh
Apache服务器没有黑进去，有点尴尬。。。。
1.说一下找到的一个flag，实在目录下的，直接访问flag.txt,运气不错！hhh初赛简单的很，哈哈哈，感谢大佬手下留情。
2.因为后来对Apache服务器不熟悉，一开始方向错了，经验不够，后来时间不够，实在没进去。555555

决赛

2018年10月29日线下赛真的菜，没办法，打的少，被虐了，呜呜呜平台不熟悉,培训没去，也是坑点一个获取的flag是利用ftp下载的flag，查看就行。因为人手不够没写exp，效率不够，得分少得可怜，惨兮兮。。。。

不能联网，这点很服为啥自己的服务器还要自己黑进去