抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

byc_404's blog

Do not go gentle into that good night

Time to say goodbye

2020马上就结束了。按往年的惯例,总要写篇文章回顾下自己一年的经历的。因此就继续矫情的记录下吧。

还记得1月份初时一堆期末考试扎堆,当时期末总共考了12门,人都考傻了。最后10号早上量子物理考完直接冲回寝室跟室友玩饥荒放松2333。然后第二天就开始做ylg群里发的code-breaking 题目还有一些ctf题。老实说,当时还啥都不会,基本自己做也一脸懵逼。不过反正以准备数模美赛为理由留在学校了(结果数模知识啥也没学XP),然后就可以花很长时间看wp,复现。说实话收获还挺大的。

当时定了个小目标,回武汉前每天都有产出,还是挺难得做到了。

1.16回武汉了,好像回去第一天就把电脑泼了水导致用不了了。。。然后跟老爸去修电脑顺便吃了回烧烤。后面的事就不用说了,疫情突然爆发,武汉还偏偏是核心地区,直接封城。我们也只能呆在家里做好自我防护。

实话说,那段时间的确有些人心惶惶。身边人反映出的医院乱象远比报道的惊人,再者,新冠威力确实惊人,每天看到那些数字的增加,心里真的不是滋味,但是也只能默默祈祷疫情赶快过去。

然而在家的最大好处就是可以尽情打ctf了。本来大二上课多到自己根本没时间去学习,去认真做几道题目。现在宅在家里的确很适合盯着电脑,学些感兴趣的知识或者复现几道题目了。恰好vidar-team师傅们举办了hgame,于是就又定了个小目标:尽量ak 掉每周的web.(结果到week3就ak不了orz.xss没做出来)

然后好像就去打了几天数模,水了篇美赛论文。当时自己基本就按托福作文的一些套路写的,最后写出来有些内容不忍直视。。。建模也是瞎建的。最后居然混了个H奖??于是果断弃坑数模,太玄学了。

然后第一次打比较完整的ctf应该就是那个新春战役了。

icq新春战役应该是自己头一次感觉自己寒假的付出没白费。像我这种天赋比较差的,一开始学web只能纯靠刷题。最后能做出大部分题还是比较满意的

然后就是突如其来的入队题,一道原型链污染+rogue mysql 任意读。污染蛮简单的,rogue mysql 当时没接触过一脸懵逼,不过后来给了参考资料看就能做了。

3月份,xctf高校战役,自己终于第一次能跟x1c的伙伴们一起做题了。然而第一次打xctf这种规模的比赛时还有些不适应,好几道题都是只会做一部分,却不能完整的利用。唯一一个几乎能完整做完的web题最后一步利用不了。。。所以说当时有点小挫折吧。于是就去buu刷题了

接下来几个月可以说基本就是常规化操作:上网课,写作业,刷buu,水博客。然后规模相对大点的比赛就去打一打,ctftime上找些国际赛的有趣题。终于buu那边不知不觉刷到了web榜一,xctf也基本能做1,2个web.不过比较看重的比赛就直接无缘了。。。

6-8月这段时间就比复杂吧,因为实话说没什么产出。自己基本就每天找hackthebox上的靶机做。开始是只能按照wp,做些退役靶机。后来尝试了下现役的靶机,意外发现还能上手?于是从简单,到困难,到insane难度都有尝试。有时候会因为没有思路卡在一个地方很久很久,只能在htb论坛上找外国友人求指点。比较欣慰的是,大家都很乐意给我一些提示,并在自己做出来后道声祝贺。所以说有问题一定要大胆问呀,同时也非常感谢那些给过我帮助的人

不过这段时间也有些小郁闷,因为几次xctf web几乎都没人输出了。学弟们当时还没入队,每次各种比赛看web都只有一个或两个,没人帮助。那时候名次也都不行,感觉自己一个人根本没法carry。cybrics跟wmctf更是感觉小绿草都没人打了(后来才知道是wmctf是去支援su了)。总之push了一下就决定web这边提前考核了。

所以说,这段时间没什么人打x1c对我来说有些推进的作用的,我会更加逼迫自己去多学些内容,不然现有的实力根本不够。

真正有所改观的是8月份末了。
最早开始是天翼杯,线上靠祥哥carry进final,然后final意外的打到了二等奖。让我觉得自己暑假htb做的还是挺有用的hhh.之后打了国赛,打了钓鱼城,打了强网杯。我的做题状态也从满状态到开始摸了(其实是因为qwb难度比较高)。

9月份返校,先是补之前的期末考。不得不说因为网课自己的效率确实下降了,考试不像以前那样得心应手。中间电工电子因为撞上国赛分区赛还缓考了。(不过最后还是95,还是挺满意的)

国赛分区赛就挺惊心动魄了。当时我们这边两个学弟去钓鱼城了,分区赛就双人打。pwn爷还因为考试只能打第一天上午。不过就算这样,第一天开场一个半小时自己就把当时web ak了(不过比不了rmb)。拿了1个弱智一血跟两个2血。进入抖腿看榜阶段。然而没有pwn真的伤……第二天更是因为只有我一个人单挑,心态贼差。当时一个不是很难的pgsql都没做出来。总之第二天比完后总感觉总决赛没戏了,感觉又要错过国字头比赛了……不过最后居然第7进了?感谢fmyy光速做pwn救了我们

然后就是国赛线下,在武汉比+国庆假期。我直接带上行李就能回家休假233。

不过我们欢迎妹子打电话首次”出征”体验极差。只去了三个人,fmyy打过一次线下,剩下两个都是第一次。第一天ad直接被暴打。我直到1点钟才能访问到别人靶机(那时候平台已经炸了,分都没了),在此之前都只能被动修题挨打,抓流量都没法复现出去。。。

所以说ylb sb不是没有道理的。我第一次体验就这么差真得一生黑

第二天改解题也惨惨,就做了个web的原型链污染游戏题。web3当时居然忘了逃逸了,可能人被ylb迷惑傻了吧。总之第一次国赛就草草结束了。幸好X1cteam他们拿了国一,不亏。晚上去抽奖更迷,%60+的中奖率我完美错过。看来天生没这个运气

再问候一遍ylb

第二次线下是巅峰极客。没记错的话去巅峰极客之前是bytectf的线上。然后就是ctf生涯永远的痛–easyscrapy,利用链摸清了结果因为赶飞机没能比赛中解出。。。好在不影响进线下。

比赛前一天在成都跟队友们恰火锅。中午吃的时候不觉得很辣,结果胃告诉我不是这么一回事 XP .

当天晚上直接不敢碰辣锅了。还头一次见到成都的三鲜锅居然是辣/番茄/清汤。佩服佩服

第二天比赛发现huashuiteam在我对面,拍了下ylg

最后拿到奖杯蛮开心的,毕竟真的好久没产出了

晚上看了眼IFS上的熊猫~ 感觉成都这个城市还是挺不错的。不过前提是能承受的的差异。毕竟这里走几步就能看见一家双流兔头

巅峰极客比完回来决定换电脑了。之前的电脑太卡了,导致比赛时虚拟机+2个ide就卡成shi,思前想后换了huawei matebook14.主要是看重了性价比,然后自己偏爱轻薄本,加上不打游戏,性能绝对够用了。至于mac就等以后自己需要生产力时再掏钱买吧 XD

然后好像是XNUCA的线上来了,我又一次爆零。。。yysy oooooldjs这题挺对我胃口的。我当时调试了好久也是找到了原型链污染的地方却没法污染,始终没找到bypass的方法。结果赛后没想到污染还只是这题的第一步orz.

之后是西湖论剑的线下,欢迎妹子打电话再次出战

fmyy yyds.祥哥 yyds. 直接打到第7脱离低保。然后大腿在白泽夺冠,ylg+骑驴他们huashuiteam 第二。我们第7,x1c有低保。rrr在iot那也拿了钱。感觉新/老绿草抢了不少钱 2333

回头复现了下没做出来的web,感觉其实不难,但是调试还是挺重要的。

然后nctf2020 我出题。其实除开国赛以外自己基本就没怎么把出好的题卖给其他平台。因为我觉得高质量的题最好能放自己家的比赛,来分享知识。毕竟ctf的目的一个是have fun,另一个就是能从题目中收获一些对现实真实环境利用的方法。因为很长一段时间自己主要是研究nodejs,所以就把这些我自我认为能让人有所收获的知识点都放在校赛了。(学长们的奖励太丰厚了。。。)
而且确实,从师傅们做我的题的过程中我也看到一些很有意思的点,包括一些非预期。

举个例子。package_manager两道题本意是原型链污染打子进程。不过有些师傅是靠日nunjucks做出来的。确实提醒了我不要盲目不跟源码就选框架。更意外的是我们njupt的开发dalao直接帮忙修复了这个问题233.虽然不是0day,但是的确解决掉了nunjucks模板注入的一种利用。

最后到了12月,xnuca线下

本来是打算过去渗透的。开始还担心工具是不是没准备好,结果现场看到赛制直接变成强网杯同款git based AWD + KOH了。而且awd还有一半(2/4)其实就是解题……
只能说真的硬核,总共就一道解题web。其他的都是硬核pwn. ezwp思路错了就一脸懵逼。后面知道是phar反序列化后感觉还行?总之调了下收获挺大的。不过确实感觉得到调试wordpress这种框架源码比那些比较水的cms难太多了。所以后面肯定要研究下的。
当然酒店的自助吃的真舒服。fmyy跟psb疯狂干饭,fmyy回来称体重直接胖了7斤233

然后回南京呆了一天就又去北京打字节了

单刷了三道ctf web。可惜其他方向都不会,直接gg。ad第二天靠fmyy的一血总算不是太难看。然后就没有然后了,又是被misc支配的日子orz

不过字节确实有钱。来之前的零食大礼包跟比完后的大礼包真的丰厚。。。而且报道那天晚上逛的时候,看到了计算所/物理所/空天信息研究所,以及一些互联网大厂。只能感慨帝都确实是帝都,大厂云集。也许以后也有过去发展的意愿

打完字节就决定该暂时退役了。结果一周后手痒还是打了huaweiCTF的第一场,web差一题ak.果然还是tcl.也可能是单刷web的话脑子顶不住吧,没想到cloud那题挂好代理是打fpm 所以后两场就不打了。毕竟还要复习来着. 之后手痒还是看了后两场,除了最后一场的ezlogin都做出来了,基本都是前几solve.看来现在解题的状态还不错?但是该退役还是得退役的

的确可以说,2020大部分时间都是在跟ctf打交道。我很高兴能够选择这条路并且参与其中。无论做题/出题/研究/调试某个漏洞的过程,都是充满趣味的。重要的是学到了知识,这样才不致于每天碌碌无为,浪费大学的大好时光。有时候虽然感觉心里不平衡,因为为竞赛付出的努力所带来的成果并不能与其他同学依靠导师所拿到的科研成果相提并论。但是这种不平衡只是暂时的,既然选择了这条路,就没有怀疑其正确性的必要了。坚持走下去就好

当然2020还是有些小遗憾的,比如某些比赛没能冲到前列,比如学业上有几门考试不太满意,比如还是继续单身生活(恐怕本科生涯脱不了单了),比如没能坚持锻炼…… 希望明年能有所改进吧。

总的来说2020还是收获满满的。毕竟回首一看,自己作为一名ctfer的确是从一无所知到能有所输出了。人总归是要进步的,付出有回报才是我个人的信条。所以接下来的一年也要继续努力,完成自己最后的学术梦想吧 XP

之前看到非常崇拜的日本师傅写下的自省与抱负,让我觉得接下来也需要有规划的行动。

2020的反省:

  • 人变得懒惰了,也许是疫情的影响,但是确实影响了效率
  • 学golang,以及写一些java项目的flag没有拔掉
  • 锻炼少了,少了跑操后光靠打篮球仍然会感受到身体机能的大幅下降
  • 去图书馆少了,看书本学习的心态变得浮躁
  • 上课摸鱼太多(水课除外)

2021的抱负:

  • 开发:typescript项目的完成,golang的学习,java的进一步学习
  • 算法:刷leetcode
  • 锻炼:保证身体健康,争取定期长跑一次
  • 科研: 争取能有所产出,至少不要做到毫无进展
  • 尝试一些复杂的漏洞脚本编写,上线到github
  • 保研到心仪的院校
  • 如果成了,下半年冲各种CTF

评论