0%

跟着3ND学web

0x00 blog

3ND说我博客乱码了,开始不以为然,后来,发现确实有点问题(3ND牛啤)加班改成中文了,感谢3ND

0x01 2019.11.6

今天和3ND聊了很多,说最近疲于生活,没有学习很惭愧,其实,我也很久没有学习,每天一大堆杂七杂八的事情,还要写作业,linux kernel的分析也落下了,进阶遇到屏障,这就很难受,别人帮不来的,只能自己抗

0x02 2019.12.1

0x00 直观感受

这次360ctf,虽然一题没出,但是服务挺好的,主要是环境没准备好,还有,用上网机的时候有点慌张,没有好好把握时间,也不太想去用上网机(???莫名奇妙的心态,犹豫就会败北),稳住不要慌,不能死磕,下次一定得改,而且,好搞好细节,那些cve我都看到过,但是由于细节没有把握好,试了一些不行,就否定这种利用,应该下载好别人的poc、exp去探测,同时也看到了自己的不足,能力需要快速的提升

0x01 赛后总结

0x00 信息收集

  • 关于nmap的用法不太了解,会扫描,但是,得到的什么内容,就不知道了
  • 御剑没有提前试一下,导致赛场不能用
  • AVWS漏洞扫描工具没有准备好
  • vulhub库没有准备好
  • 本地exp也没存好(exploit db)
  • 信息收集思路不够广,比如bash_history上一次数字经济的比赛,就遇到了,这次又忘了
  • 对于自己是否在虚拟化设备的判断方法,ifconfig一下,既然是内网,就不可能只有一个网卡,也要关注disk的情况

0x01 getshell

  • docker逃逸向/root/.ssh/ 写公钥,然后用ssh登录,

0x02 misc

  • 虚拟化逃逸除了常见的docker、qem、vmware还有云虚拟化

0x03 2019.12.3

  • 打完3ctf比赛之后,0解的线下赛又不是没打过,从来没有像这一次一样难受过,一直走不出来,也许是老师说我们这个学期比赛成绩不是很好,也许,对3ctf的成绩不是很甘心,我寻思着我也不是学web为啥纠结于3ctf的成绩不好,这本来就是预料之中的事情,可能是深刻认识到自己的实战能力基本为零,导致对自己能力的怀疑,毕竟一个学期下来有效学习时间也没有多少,也没有学到很多知识,总感觉有屏障,一直突破不了,有点担心自己的如何就业,毕竟,安全研究员不是那么好做的,没有硬核的实力也不行,毕竟,现在,简历一页都写不满,还有一个学期,压力有点大,头皮发麻,也许是,对ctf这个东西内心的认知是否有偏差,在3ctf我学到了很多,我还对什么有不甘心????名次????奖金???心目中队友的实力和现实的偏差???
  • 就是团队内部的问题,明明每个队友单人能力都是中等偏上,组队到一起比赛,成绩就成了中等偏下,还有就是大家似乎都遇到了一些障碍停滞不前,二进制这边再寻求改变,web这边也希望能够改变,还有,就是团队没有一个队长来统领,每个人有每个人的想法,不知道怎么去同一,一盘散沙,如果,不协调好,我不知道怎么去打进强网杯,xctf总决赛,要靠单人实力的话,还有几个月,就算我自己有所突破,我觉得我也打不过那些大佬,主要是密码学和逆向,我不太会,嗯可以说根本不会,何去何从,如何是好??????
  • 还有就是对个人性格的反思,我是比较喜欢直来直去的人,所以,有一些事情,我没有思考清楚各个方面再去说这个事情,虽然,出发点是好的,但是,可能会导致坏的结果,难道要不做就不会错吗,我也在思考怎么去改变,处理好人情世故太难了,做一个事情的时候,既要照顾到每个人的感受,又要把事情做好,真不是一般人能够做好人的
  • 还有就是传承问题,团队队员之间线下交流要有,这个学期基本没有,说真的,我没有从上一届学长那里学到过太多东西,我也没有教会下一届什么的东西,队友之间,我也没有学到,我也没有教会他们过一些知识点,问题很大,而且,也没有复盘会什么的,开交流会,很大程度上,会浪费大家的时间,但是,怎么让开会变得有效率,以最少得时间学到最多得东西值得思考,还有,怎么统一一下大家得意见,把大家的意见都考虑到,问题很大
  • 还有就是最近脾气变差了,有点经受不起玩笑了,可能是比赛完之后,成绩不太好,心情很差,3ND又和我开玩笑,有点丧失理智,3ND让我给他拿东西吃,我故意没有去,有点耍小脾气,我觉得他应该感受到了,由于一直没有缓过来,等到现在事情已经过去了,道歉有点晚,我不希望这点小事情,成为我们隔阂,希望以后他能看到接受我这迟来的道歉,也不算道歉吧,毕竟我情商低没办法

0x04 2019.12.06

经过多种尝试和思考,我觉得我的瓶颈在于不知道如何去调试一个多线程的程序,对于一些内核的东西,特别是条件竞争,感觉根本没有办法去调试,只能靠想象他是怎么执行的,具体怎么执行的,自己也不清楚,很懵逼,看到太复杂的代码,也不想去深究,所以,总是被内核拒之门外,内核机制什么的都不懂,看了感觉很遥远,我现在有一点点感觉了,加油