转自:http://hi.baidu.com/it_security/blog/item/d2894e0f15437cc27acbe101.html
天阳2009 网络安全技术挑战赛总结
Id: fomrytest, email: it_security@163.com
blog: http://hi.baidu.com/it_security qq: 14627999
目录
天阳2009 网络安全技术挑战赛总结... 1
一、 总体感觉... 1
二、 比赛心得... 1
三、 题目分析... 2
第一关:js解密题... 2
第二关:sql注入猜解... 3
第三关:xss攻击... 3
第四关:暴力猜解... 4
第五关:反汇编... 6
第六关:社工(?)与解码... 6
四、 其他... 7
1. OEP挑战题后续处理... 7
2. 判定id=后面为什么一定只有数字... 8
3. 暴力破解文件路径思路... 8
4. Sql表内容猜解工具与源码下载... 8
5. 其他暴力破解工具(其实是自动工具)与源码... 8
6. c源码摘要... 8
此次比赛涉及知识面还是很广的,对挑战者要求有扎实的基本功与发散思维。所有的关口都不是任何一种工具可以搞定的,包括任何一关,都不能使用工具【至少不能直接使用】。另外,在比赛的过程中需要技巧、恒心、相互协作,缺一不可。说到相互协作,感谢racle的点拨,感谢hsren 、tony_liu518,正是最后两关的通力合作,才在一天多的时间里面通关,感谢天阳,感谢tian6J.
1. 要智取,不能蛮干,也要靠实力,不能碰运气
2. 手工分析重要,也要熟练掌握工具乃至动手编程
3. 要常看html源码,有一半的关地址都是隐藏的,要看网页源码
4. 碰到id的地方经常变变数值看看
说明:下面各关分析文字,都是针对我当时的题目进行的,现在有些题目可能有变化,大家参考即可。另外,就是下面的分析,可能你看后觉得很简单,但是当你真正尝试之后,参加挑战作题过程当中,你就会知道每一题答案都是经过很多次失败后才得到的!看看hsren 、tony_liu518在论坛上的发贴就知道了他们付出了多少个“不眠之夜”,其实我也一样。
(1.php?step=10)
天阳挑战赛各题总结.rar | 