线下赛

2025京津冀大学生网络安全攻防竞赛 线下赛

满是槽点的比赛。。。

首先是前半场 DAWD 的电源供应不稳定，属于是有停20分钟，来时分钟电，一时有一时无的。这也是’真实性’的一环是吧。。。

然后是后面的应急响应环节，由于可能类似是novnc的那种操作，一台节点机子全队共用，常常出现：
“学长你别敲了，让我输一下我的指令！”
“等等等等，我马上就好了，别动别敲了，字符叠在一起了！”

这种情况。。。

这次我队GWWAFZ

DWAD环节成绩：

其中我为web手
第二回合期间写出了meiu的exp攻击脚本，开始拿分。
然后一直到第8回合，在最后一轮判断前整出otrix的exp，最后再拿了305分。
没有写出防御patch。。。

最后DAWD排名为16名！

算是逆袭吧
因为当初我们是卡着最后一名晋级的。

只有两个pwn和web两个方向，我们pwn方向并未写出exp或patch

接下来的应急响应被干到了40多名

但是有37队左右拿奖，却并没有我们？！
连三等奖都没有

事后我们导师私了一下奇安信的人员，只能说毕竟是客场作战，，，
主办和协办又是出钱出力的，人情世故这一块。。。

若是另一道web题提前一两回合出的话，要是我的应急响应能力能再强一点的话。。。

哎

web2 meiu:

用d盾能直接扫出来在自定义的404界面直接有后门，直接利用即可
赛后讨论应该是有两个地方可以利用的，赛时没找到，直接就打，发现大多数人是没防住的，就不管了

web1 otrix:

app.py就很明显有反序列化，利用方面出了点问题，最后是使用了其他队的流量来打出利用exp的

这次赛题的总结：

因为我不是pwn手，对pwn不做评价，但是web方向的漏洞都算是比较轻松。主要是难在编写exp和patch上，算是没接触的赛制，当然，有ai的话就不是大问题，看平常的积累了，不单只ctf方向，而是各自脚本的使用和一些基本知识。
对的这次比赛是能联网的。

总的来说，个人感觉这次的比赛体验不是很好，但也算去接触了一下这种，奇安信自研的，DAWD。
通过选手是无法得知相互ip的，设置有题目机和npc机子，操作机。
编写全自动脚本，通过操作机来执行，题目通过端口映射来测试exp，源码都给了，最后是稍稍有点可惜了，幸好学校全报销费用。