2022年终总结
其实本来应该在2022.12.31号之前写完的,但是天有不测风云,在年末还是感染上了新冠,不得不放下手头的这些活,安心养病。
比赛
全国某某护网
在经过一个寒假的养精蓄锐、学习补充之后,迎来了第一个比赛,全国某某护网。说实话,今年打这个真的是费尽心思,每天都在不停的挖挖挖。打下点后更是不敢懈怠,有时候能整宿整宿的不睡觉。可即便这样,成绩还是没有去年高。等比赛结束后一回味,确实有很多东西是我还没有掌握的,很多细节也没有处理好,导致一些本来能打穿的内网最后只是一千多分草草收尾,实在是令人感慨。
但话说回来,这场"旷日持久"的比赛却也让我收获颇丰,甚至可以说是收获满满。体验了各种不同的真实大内网环境,比只有零星几台机器的内网靶场爽的不是一星半点。随着一个又一个对内网的渗透,极大的加强了我的内网渗透能力,逐渐也形成了属于自己的一套内网渗透的逻辑与思路。所以,尽管比赛排名不是那么靠前,但是我很满足。
某某市教育护网
之后又迎来了市级教育护网,很凑巧,也在这个月里,与上个比赛就差几天。在这几天里,抓紧时间把在上个比赛中用到的一些技巧全部"武器化"出来,方便在这次护网中能够更快捷一点,比如用到最多的垃圾数据填充来绕过WAF
亦或是对JSP的Unicode编码(当然,现在他比这个要好一点...)
在本次比赛中,成功运用到了之前全国比赛积累下的经验,快速的锁定目标并拿下权限,可以说对比第一次的内网渗透,显得熟练了许多。
某某市护网
后面暑假无话,直到下学期刚开学就接到了全新的任务,开启了新的护网之旅。前面几天一直不温不火,毫无收获。其实现在想来,也是自己的思路太过于狭隘,自己的技术能力不够宽,导致攻击面变得很窄。一直在传统WEB方面下苦功夫。随着现在安全设备的不断增加,WEB打点变得越来越难了。钓鱼,我认为是现在不错的一种进内网的方式,但是奈何自己的技术水平不够。一是不会钓鱼的方式,二是不知道话术,三是免杀能力为0。所以导致整个护网前中期拿分显得十分的困难。在后面拿到学校的目标后,又仿佛如鱼得水一般,进入了熟悉的领域,以一种全新的方法进入了内网,感谢我的好大哥豪酱,带着兄弟们杀入了内网,又在@Mer4k的带领下拿下了Vcenter.但是,当时的自己不知道什么情况,很多同样的操作我这台Windows电脑都成功不了,耽误了团队了很多的时间。也直接让我整个人在后面的渗透中丧失了信心。说实话,在比赛结束后,我对自己的表现十分的沮丧,没能为这个团队分忧,甚至耽误了很多的时间,花了很长时间才重拾了信心。
狩猎赛
似乎间隔不长,一个月不到,狩猎赛如期而至。一开始还以为是什么高端比赛,到后面才发现不过是漏洞复现大赛罢了。为了弥补之前自己的失误,我感觉我花了很多时间在这个比赛上面,因为环境的原因,很多漏洞的复现都受阻,我就开始研究一些应对的方面,好在是研究成功了,拿下了团队一直没拿下的一个Shell.也算是在这个比赛中有所收获了。
某某市市赛
最后就是今年的某某市市赛了,是最令我意外的了。我还是负责企业渗透中打点的部分,并且成功RCE。本以为今年拿到webshell以后能够大展身手,却发现其他的WEB是一个也打不进去。
后面因为大家都太沉迷于这个企业渗透,差点忽略了CTF这个重头戏,就赶紧回去做CTF。可惜直到最后也只有第七名。因为去年是前五还是前六才有奖,所以当时是心灰意冷,当然也有点怨气在里面。害,现在一想,确实也是我们技不如人,怨也是埋怨自己的技术水平。
但是后面突然发中奖名单的时候,我们在一等奖的时候还是惊呆了。真的,先是震惊,其次是开心,久违的开心。这一年打了不少比赛。全国第八、某某市第十几名(尽管高校排名第一),某某市高校第二、狩猎赛三等奖。从来没有拿到过一等奖或是第一名。当然,这一等奖因为范围太大了,可能你觉得比较水。但在当时的我看来,仍然是一件非常开心的事情。
是的,我们已经好久没拿到过第一了。一直在被各种反超,从头开始的碾压以及临近结束的反超。
笑容消失的感觉,无力回天的感觉,不太好。
这就是我的2022年的全部比赛,总的来说仍然是收获满满。
项目
2022年除了比赛时间外,其余时间就是在学习、游戏、Coding中度过了。学习没什么好说,今年在意识到自己的不足之后,立马投身到免杀的学习当中。尽管现在仍然在WINDOWS安全开发这块晃悠,但至少能够"抄"出来点东西了。原来那C/C++的代码根本看不懂,也不会找BUG。现在也是熟练了一些了。
RTGP
2022年的第一个项目(其实从2021年就开始写了),希望给内部团队提供一些帮助用的平台。
现在也经历了很多个版本的迭代,逐渐稳定了起来。
上面的那些截图都来自这个平台,主要是提供辅助代码生成用的平台。
我以最简单的渗透测试场景为例,我们内网渗透可能会遇见关闭防火墙 开启3389 添加用户 添加用户到管理员组这么几个过程,每次查笔记都得费上一些时间。那么能不能把变量作为用户的输入,这样不需要再:复制-->修改用户名或密码-->粘贴这么个过程了。
当然,还有一些更为复杂的场景,我就不在这里一一介绍了,毕竟也不是RTGP的专属介绍会,哈哈。
内部平台,恕不开放。
MYBLOG
其实一直以来我都有这么一个想法,自己写一个属于自己的博客。可惜,一直也没有个动力驱使我去完成这件事情。十一月,Python大作业中提到可以用Python写一个WEB。正好就借着这个机会,圆自己当初的梦想。
写这个博客也是费了点心思,实现了一些功能。
- 文章展示页面支持Typora主题
- 栏目排序
- 文章排序
- 文章内容检索
- 菜单栏自定义
- 全站适配电脑端、手机端、平板端。
也算是费了两个月断断续续写出的产物,我自认为还是非常满意的,我想要的功能,他全有了。
生活
依旧是孤苦伶仃的一年,希望明年今年能够遇见心软的神吧。
今年寒假学会了打麻将,该说不说,是有点好玩在里面的,其余的没有什么了。
学习
一堆第六,我不知道如何评价。只能说,平时生活中还是注意点吧,别老在那回复6了,真的很容易天降神罚
哦对,上面那个自认为满意的博客,只给了我八十多分,哎。
未来
用几个词概括下吧:
Java
C/C++
GO
祝各位新年快乐!
标签:某某,比赛,渗透,年终总结,2022,内网,护网 From: https://www.cnblogs.com/tysec/p/17018335.html