赛事总结

与渗透测试类似,参赛者从对网络的侦察开始,试图发现目标机器,以及哪些服务和应用程序是可访问的。这个关键阶段使他们能够开始绘制我们机器的地图,并发现能让他们初步访问的漏洞。

 

在比赛初期,35 名参赛者中的大多数都找到了容易发现的旗帜,分值在 10 到 50 分之间。 大约在比赛进行了 3 个小时后,情况开始变得严峻起来,NRockHouse 以 485 分位居第一,mohin 以 435 分位居第二,mreiaz 以 385 分位居第三。NRockHouse 设法通过利用一个复杂的盲操作系统命令注入获得领先,这使他初步访问了一台棘手的机器。NRockHouse 又通过利用本地权限提升获得了另一个非常有价值的旗帜。

 

在比赛进行到一半时,排行榜发生了变化,Shahril 领先,其次是 mreiaz 和 Nrockhouse。正是凭借 XML 外部实体(XXE)漏洞,shahril 成功占据了第一名!对于一个学生来说,这可不是一个容易利用的漏洞!

更多内容