GKSEC

BCTF2019-RHG-WEB

太惨了,开个记录贴。
2019.4.11
飞机飞到一半返航,四点的飞机结果十点才到达天津滨海机场。

2019.4.12
我们到达了天津大学校区,在校内的宾馆住了下来,然后马上开始继续完善代码。

目前进度:还有很多环境下的漏洞无法复现,原因是环境比较难搭建,还有各种非预期的报错。
目前有个问题,比赛给我们提供百度的OpenRASP进行web题的防御,但是非WEB题要咋防御,所以说现在有点慌。
下午五点,收到通知好像可以提前进行测试,我们就马不停蹄地赶过去了。
【PS:天津大学实在是太大了,我们虽然就住在校内,结果我们走用了20分钟,但是校园真的很美】

然后我们就提前进入了比赛现场调试,算是笨鸟先飞吧。

由于我们去得很早,我们到的时候只有两支队伍在那边,在我们旁边的就是护网先锋,就是湖湘杯冠军得主,太强了。
我们从晚上6点一直调试到8点半,点了个外卖,边吃边调试。

晚上十点,都要回去了,我们回到住所后继续调试代码。

2019.4.13
现在是4.13凌晨,然而我们还在继续改进代码。
分析了一下目前最主要的问题就是,由于是RHG模式,人工智能挖掘漏洞,所以导致很多情况不可控,相当于是黑盒测试,你要尽可能地把所有可能遇到的情况都考虑到,所以这点是比较困难的。
为了保持持续战斗力,我们准备了一堆东西作为后勤保障。

早上起床我们就去又赶去测试了,准备进行下午两点的一轮模拟测试,中午还是一边比赛一边吃午饭。
下午两点第一次调试比赛,我们由于没有写好WAF,所以没有分数很低,并且服务器网速异常慢,安装不上环境,只能手动编译安装,浪费了非常多的时间,成绩不太理想。
我们随后准备第二次测试热身比赛,由于时间紧迫,代码有非常多的问题,并且我们队员之间没有统一接口规范,所以导致一直报错,比较自闭,但是好在我们赶在第二次测试之前弄好了能运行的半成品胶水代码。

虽然这次测试还比较满意,但是问题还有很多,我们决定回宾馆继续调试。

晚上11点,我们继续商量明天正式比赛时候的代码运行流程,尽可能地进行优化运行速度、响应时间,由于没有纸,只能在广告纸上面写流程图并且进行讨论。

将近凌晨12点,WAF部分还需要进行最终地调整。

2019.4.14
凌晨一点,我们基本上完成了所有的代码更改,休息一波,明天早上早点起来去赛场做最后的调试。
早晨7.30就起床了,赶往比赛地点进行正式比赛,我们花了近一个小时的时间进行了最终的调试。

10点,比赛开始,我们拿下了修复的一血,目前排名第二。
10.14分,我们累计修复两个WEB,目前排名第五。
11.33分 我们排名第六。
13点结束,还是排在第六,所以最终排名是第六名。

---------彩蛋----------

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »