徐州HW总结
本次护网只是一次小型的护网,并没有和正规的一样有蓝队防护并且也不接触内网渗透。
HW过程
第一次护网没有什么经验,所以开始有点像无头苍蝇一样拿到一个站点开始乱搞,导致第一天没什么收获。前一天晚上还想着自己没经验,所以想经验不够,时间来凑。但是好像是想多了,一晚上都没有什么大收获。找到一个信息泄露,结果不是什么敏感信息所以没有分。第一天就在活动室浑浑噩噩的过去了。但是看学长们用了工具扫描(我之前也想用工具,但是都没用过所以就没太依赖它)果然还是需要利用工具来快速打一下简单的漏洞。第二天开始使用了一下AWVS,但是扫了东西没什么用,所以又开始了硬刚网站的行为………但是运气好的是我在随便看的时候凭着感觉找到了一个学校网站的敏感信息泄露,就这样一天又过去了,偷偷学会了几个工具联合使用来扫描。第三天,由于给的网络资产大部分是IP,所以前两天我主要看得是有域名的,所以错过了好多简单的漏洞。GoBy 是我目前遇到的神器,界面美观还能批量扫描出IP开放的端口,这样就避免了去一个一个尝试IP能否访问了,而且它还可以利用插件与AWVS联合扫描漏洞,这个是十分方便的。所以第三天我逐步开始熟练了起来,交了一个SQL盲注和Weblogic漏洞,其中Weblogic的漏洞寒假复现过一次所以比较熟练的开始了检测,但是当时那个版本明明有很多漏洞但是我只测试成功了一个未授权访问。其他的一直不能成功。然后上分之路开始了。但是从第三天开始就开始有重复漏洞了。第四天,这一天的主要收获就是靠着几个弱口令获取了几个高分,其他比较明显的漏洞都被重复了。好可惜啊……第五天,也就是最后一天只有半天,并且早上有体测和英语课所以就没有干了。到目前还不知道排名,但是由于是第一次参加所以不怎么在乎成绩,因为确实学到了很多东西。
小结
学长们是真的强orz,上分太快了,一个人能抵我们一个队。真厉害!!!
- 前期资产需要收集整理好,这样会方便很多
- 工具需要准备齐全,这样就可以在需要的时候直接利用
- 对于工具的使用需要熟练掌握,比如
FOFAGoBy等 - 还是需要平时多练,不能太过于依靠工具,平时需要多积累一些姿势以后会有大用
- 团队之间需要多交流,合理分配任务,这样才能提高团队成绩
感悟
通过本次的HW了解了很多东西,也对挖SRC有了一定的感觉,CTF没有出路呀还是要SRC香,实战真好玩。下手需要快准狠,被人抢先了是真的生气啊……以后要是有机会就希望能有个好成绩吧。
若有收获,就点个赞吧
0 人点赞
