如何評價2018年DDCTF線上賽?


先跟風一波

(╯‵□′)╯︵┻━┻

剛看到群里安姐說平台開放一年的消息,真的佩服Σ(?Д?|||)

投入這種平台的公司貌似滴滴是頭一家?

能長期學習交流這樣高質量的題目真的是幸事

感謝滴滴安全~

很感謝真正的dalao們沒有來參加比賽,讓我這個萌新有機會得到第一( ̄▽ ̄)/

說實話我覺得自己挺名不副實的。作為一隻re狗,鏖戰七天後Android和ReAK後可得的分比三天就WebAK的dalao@Henryzhao多不少。另一方面我雖然不會pwn,但是這次的WindowsKernel難度也很讓人望而卻步…所以吃了很大賽題設置的便宜233

而且,看群里web師傅們的發言,似乎web題目要難很多…又是php內核又是區塊鏈的

回到本次賽題的評價,個人覺得Re和Android的難度設計有點…微妙

安卓的題目大多是無關代碼很多,核心演算法很少。只要抽絲剝繭動態調試找到關鍵部分,題目就能輕鬆解開。(除了ECC那題,加密演算法取值不同太恐怖了)

而Re的題目梯度設計有點不合理…我個人覺得黑盒這種很硬核的題比較難,而被隱藏的真實除了最後一小關的小推理外基本沒啥困難的(雖然也挺繞

著重提一下re1的MIPS,花指令刻意破壞程序導致無法運行的還是頭一次見。私以為有點過於誤導答題者了。畢竟提示里也沒有指出該程序被破壞,或者需要修復之類的。當然我也可以理解如果在前面加上jmp就沒難度了233隻是作為答題者來說體驗不是很好。不過去花的考點還是get到啦!感謝出題師傅!

總體而言,re系的題目都是考點很明確。以前懶得碰,這次在DD的指bi引po下去詳細了解了一波ECC,比特幣演算法和b58等等。

做的時候覺得有點雷聲大雨點小的感覺,前面繞了半天,終於通過迷宮到達城堡,準備大戰勇者三百回合的時候發現居然沒有那玩意兒直接就可以擄走公主━Σ(?Д?|||)━

現在想想,考點清晰,完成任務就奉上flag也是一種很準確的思路吧0 -

特別感謝安姐,MIPS那題方程解不出來以為是看雪那樣的棧溢出轉執行流,麻煩她問了出題人好幾次,非常不好意思!(雖然最後出題人也沒告訴我ヽ(#`Д′)?

感謝主辦方滴滴安全~

題目質量很高,感謝各位出題師傅(≧ω≦)/

Re和Android的WP寫完能放的時候會發自己博客_(:зゝ∠)_還請各路dalao指導交流

Re和Android初版WP已發布_(:зゝ∠)http://_blog.csdn.net/whklhhhh 暫時不是很詳細 還請見諒~


可能是作為萌新,兩年來參加過最良心的ctf大賽。雖然名次不盡人意,但是能和群里各位表哥相處在一起已經很滿足了。而且群主安姐姐簡直太好了,一年的賽題開放和直播解題簡直感動的無法形容~


謝邀,話說不知道大佬為什麼要邀我這個菜雞。

發現夜影大佬說的很棒了。關於比賽和re說的很全了。

我就按照我的理解來說一下web吧。感覺題目也是真心棒,既不是太難,而且又可以在一個禮拜內儘可能的接觸更多,學到更多。

拿第一題來說,一個簡單的注入,但是會對你的輸入進行簽名檢驗。需要先逆js,然後再注入。其實感覺某些廠商為了防止抓包也是這麼做的。而且這道題思路蠻多的,我一開始想的也是,能不能用SQLmap。但是被自己否了,因為自己不太了解簽名函數,是通過Python調用js。而SQLmap好像又沒提供類似的介面。很傷,到最後看了Henryzhao大佬的wp,發現眼前一亮。真的服。

雖然是簡單題,但是總有新發現。

然後之後的Java題,再一次豐富了一下自己對Javaweb框架的了解,也逐漸加深了自己想往Java過渡的心。

寬位元組注入,這個大多數出現在教科書中的例子,這次也終於出來了。順便帶上了一些其他考點。

之後的區塊鏈,更是讓自己學了好幾天才勉強看懂。但是最後慢慢分析,了解,看到了starctf。再想到出題人的艱辛,為了能讓我們做出來dd得區塊鏈,了解區塊鏈,煞費苦心。

畢竟star那個真心傷心 。最後隊里大佬們強行分解了n。拿到私鑰

然後就是一道PHP內核漏洞(說的高大上一點,其實沒夜影師傅說的那麼誇張)

一個隨機數預測,最喜歡的就是這個題了!

之前也做過隨機數預測,但大多數都是爆破種子。第一次深入內核,了解隨機數生成規則。雖然大部分是靠大佬文章指引吧。但是學到了好多,也有一種想要讀一下PHP內核的感覺。然而僅僅是想要......

就先從web方向說一說吧,總體來說,感覺題目還是不錯的。感覺一道題目好不好,主要還是看能不能學到東西。既不太難,也不太簡單。

這次滴滴ctf,對基礎點考察還是蠻廣的。比如js審計,http響應,SQL盲注,寬位元組注入,任意文件讀取,Java代碼審計,密碼學相關知識,spring框架,區塊鏈,隨機數等.....

附上自己wp:

2018DDCTF writeup?

blog.5am3.com圖標

最後p.s.

一道xss都沒出,不開心.......

沒有ak了web,不開心......

自己一個菜雞,第一次離ak這麼近,開心...

在最後,附個圖,滴滴還是蠻棒的哦!


感謝這次DDCTF讓自己意識到水平不到的時候再怎麼做終究是做不出來的。

考研結束前再不碰CTF了,何況本來也需要沉澱。

最後,掀起沒技術的桌子~

(╯‵□′)╯︵┴─┴


一開始靠著腦洞一度衝到前幾名。。。。然而到complex stego卡了好久, web和逆向看了一下還是不會,只能說自己要學的東西還是太多了,爭取明年拿個獎吧。。。學到很多, 題目質量挺高的,另外misc的RSA密鑰真的是一行一行對照完才能用啊....下次能不能別用圖片了


推薦閱讀:

信息安全中pwn到底能用來幹什麼?
談一談你膜拜的CTF戰隊吧?
世界範圍內知名的 CTF 競賽有哪些?各有何不同?
如何開始CTF?
怎麼評價2017的lctf?

TAG:網路安全 | 信息安全 | CTFCaptureTheFlag |