By烟花易冷

2小时前刚刚结束了2018全国高校网安联赛(X-NUCA’18)线上专题赛，不知是不是广州的冬天特别容易使人多愁善感，历经了今天的比赛后感触良多，遂来篇总结。

其实，我与朋友一直想参加“蓝盾杯”比赛，但是却不料今年比赛时间提前这么多，并且由山东那边主办，错失了比赛的时间与机会，偶然翻起比赛讯息，发现 XNUCA2018 举行在即，便拉着队友去报了名。不得不提这次比赛一起组队的伙伴实力都是相当不错的，就在一个月前举行的华农信安大赛中，我们都曾位列前茅（嗯，就是不能透露名次哈哈），所以这次比赛在我个人看来也是我们学校在 CTF 方面再次进军全国总决赛机会最大的一次吧。

作为这支 5 人战队里面唯一一个专攻 Web 型选手，在这次比赛发挥的还算正常，在这里对出题团队提出赞扬，题目非常有深度。为了通过一道越权类的题目我从头到尾温习了一遍 OAuth 2.0、CAS、SSO 认证方式，特别是 OAuth 2.0 中关于 redirect_uri 锁定预定域名、忽略 state 参数二造成 SSRF （服务器端跨站请求伪造）攻击这两个问题，在比赛过程中被还原的淋漓尽致，就连对回调参数的长度做了比较严格的限制。为了拿到分数我甚至动用了腾讯云服务器 + 短域名从中拦截，方才顺利夺旗。除此之外，赛题把 PHP 的扩展与 web 程序结合起来的方式令人耳目一新，说起来这算是一个白盒子测试，主办方提供了一个 PHP 扩展文件(.so 结尾)，需要选手自主反编译并结合汇编相关的知识，挖掘出拓展模块的漏洞，将 Web 类型题目与 Pwn 相结合，实在是高！题目中还不乏 PHP 源码审计类的题目，提供了一个国人原创的 SpeedPHP 框架所写的 Web 程序(根据我的审计与框架源码对比，应该是 SpeedPHP 没错)，要求从中取得 shell 权限。这又是一道白盒测试题，拿到源码时我便发现 session 中有蹊跷，或许可以将 session 反序列化的方法用上，但最终还是兵败一城。这道源码审计题目应该是这次比赛中最难的 Web 类题目了吧，直到比赛结束前 4 分钟才被福州大学的战队解出来。

经过 14 小时的战斗，我最大的感受便是“真不愧是国赛”呀，题目质量非常高，甚至没有一道所谓照顾初学者的“签到题”。关于 OAuth 方便的渗透与实施整体基本上是还原了 2014 年 Github 被曝光的漏洞，而关于 SSO 单点登陆的题目虽然最终我没有取得 flag，但是做起来似乎是与 Uber 事件有关。此次共有 333支队伍参加比赛，最终却只有 78 只队伍成功得分（或许是题目真的难吧），我们队伍一共攻破三道题，一道 Crypto 和两道 Web，位于第 33 名。尚未知晓是否有缘于决赛，但是能打到全国前 10% 也算是我们各显神通不忘初心了吧。

感谢奋斗了一天的队友们，下周“鹏城杯”网络安全竞赛再战！

2018年11月25日凌晨

(PS: 因为比赛结束24小时内需要提交 writeup，是不允许对外讨论关于比赛题目内容的，所以本文写好之后在博客后台定时晚一天发送以避嫌~ 不说了我继续去写两道 Web 题目的 writeup 了，写完如果有合适的我将会放出来分享)