MRCTF2020比赛后记


关于比赛

一个月前,天璇队内准备招新,然后招新的时候我们就想,不如最后办场考核赛,然后就有了MRCTF(原来是面向学了3-4周的萌新),在距离比赛还有一个星期的时候,Retr_0看人少准备拉几个外校师傅过来一起打,结果搞了个大新闻,各地的师傅们都被吸引来了,然后就计划着给大佬们出几道高质量点的题(然后还是被大师傅们切成了水题)。

所幸比赛在各种运维风波中还算是圆满的落幕了,认识了许多大佬,也受到了不少参赛者的支持(感谢

然后想说的是多亏Mari师傅和背后的老板HKServerSolution大力赞助了千人赛都完全没问题的服务器,要不然凭原计划那个连校内打都时不时爆炸的服务器,肯定GG了。

关于出题

因为原来是准备面向萌新嘛,然后就帮忙出了一些各个方向的签到题(只会出签到题的菜菜)。

RE: 拿很久前编的游戏出了一道Unity apk逆向水题,想着提高比赛趣味性,就没想着怎么整人,很简单的解包分析dll就能出了

PWN: 当时pwn题不太够,然后就出了两个shellcode的题目,灵感也是来自hackergame2019,主要想考察打比赛的时候查资料的能力吧,Googlehack是个好东西

Misc: 出了个压缩套娃题,主要是考察python脚本编写,python还真是好用啊,尽管我还没怎么学通。。。。(留下了没技术的泪水.jpg)

Web: 原来就出了Ezpop,感觉Pop链的构造还是比较有逻辑性的,丢了一个学习链接也是为了让这题更有教育意义吧,主要考察一下
比赛现学能力,你传你马呢是Retr_0师傅给的idea,然后我去做了镜像(不得不说写Web题比打Web题难受多了,留下了没技术的眼泪*2),本意就是考察经典的上传绕过,也比较水。鉴于这两题都比较水,后来临时出了Ezpop_Revenge,主要想考察代码审计,然后就选了typecho拿来魔改,正巧typecho有个经典的POP链,为了防止直接被RCE搞并且强行套上SSRF,硬过滤了一堆东西,(后来好像把/var/html/www挂成ro能省一大堆事),导致这题有点搞心态(特别是忘记标注泄露的源码不一定是服务器的代码了),然而大佬并没有给我留Hint的机会,直接切了orz。

只会出签到题的菜菜

关于运维

在办比赛的压力下总算是把上个学期咕咕咕的CTF镜像编写和CTFd的搭建技能掌握了。
因为运维水平太菜,期间还是出了一堆事故,镜像名写错,附件挂错之类,端口没开导致pwn机挂掉....
感谢各位选手手下留情没把运维打死

最后

放张统计图纪念下MRCTF2020

0001.jpg

声明:Eki's Blog|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - MRCTF2020比赛后记


A Dreamer Full of Dream