赛事背景
Deadface CTF是由Cyber Hacktics主办的年度黑客赛事,本届围绕虚构黑客组织DEADFACE展开叙事。参赛者需协助灰帽组织Turbo Tactical阻止针对金融机构的攻击,赛事持续34小时,共设置取证、逆向工程、密码学等12个技术类别。
TrendyTrove赛题技术解析
挑战1:Let Me In(SQL注入)
- 目标:突破仿冒电商网站登录
- 漏洞:登录表单存在SQL注入
- 利用方案:使用经典万能密码payload
' OR '1'='1 - 成果:获取首枚flag
挑战2:Yalonda(命令注入)
- 突破路径:
- 通过/admin.php进入管理后台
- 发现状态检查功能存在命令注入漏洞
- 构造Linux命令链:
command=ping+-c2+8.8.8.8;cat+/var/www/html/db-init/init.sql
- 技术要点:
- 使用分号实现命令拼接
- 通过find定位数据库初始化文件
- 从init.sql中提取用户生日数据
挑战3:Compromised Data(文件检索)
- 解题思路:
- 全局搜索flag关键词
- 构造grep命令:
command=ping+-c2+8.8.8.8;grep+-ri+"flag"+/var/www/html - 发现含支付数据的customers.cve文件
- 技术收获:掌握Web应用目录结构分析和敏感文件定位技巧
赛事成果
团队最终在1215支参赛队伍中排名第143位,完整解决所有技术类别的挑战。TrendyTrove系列赛题尤为突出地融合了:
- Web应用漏洞挖掘
- 数据库安全审计
- Linux系统权限利用
- 敏感信息追踪技术
参赛感悟
34小时的极限攻防不仅验证了团队的技术储备,更体现了漏洞挖掘中创造性思维的重要性。赛事方精心设计的黑客叙事与实战场景的深度结合,使得每个技术挑战都具备真实的对抗价值。期待在下届赛事中继续突破安全技术的边界。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
