昨天剛比完行政院辦的資安技能金盾獎,
今年的術科真的好難RRR,感覺比 去年初賽 整整高了一個 Level,
根本已經接近決賽的難度了吧?
然後學科還是跟往常一樣:很偏、很雜、很細、考這些到底在銃三小!!
只能說,人生很短,光陰寶貴,不要浪費時間讀這些有的沒的,背一大堆用不到的東西。
另外,我覺得相比金盾,還有很多更值得參加的比賽,
像是 AIS3 Pre-exam,AIS3 EOF,這裡 有列的,或是上 CTFTime 看看,至少那些比賽不會考你背誦....= =
學科題
有部分是比較基礎的,或是可以用推理推出來的,像是:
Diffie-Hellman、Kerberos 用來幹嘛?
要防 SQL injection、Cross-site Scripting、Request Forgery,應該採用哪種方式?(輸入驗證)
iptable -A -p icmp -j REJECT
net accounts
wifi sniffing 偵測假 AP
site-site、client-site VPN
剩下的就比較 detail,或是很偏門的:
SNMP 新版有什麼新機制?SNMP 是用 TCP 161?SNMP 是在 OSI 第六層?
VLAN
IaaS(超過三題出現 IaaS,超過八題跟雲端有關)
EAP-TTLS
RAID 10 不具有下列哪些功能?(聽都沒聽過= =)
IPsec 不同 mode,AH、ESP
各種有的沒的標準、政策、原則
(正如這位大大講的,誰會沒事記一堆 ISO 標準)
術科題
因為不能查網路,所以有幾題變成是在考背誦,真的很無言欸....
然後這種難度的題目,我平常每題大概都要花上五個小時左右,只給 2.5 小時怎麼可能夠用?
Crypto:
給了一個 Brainfuck 程式,還很好心的提供了指令說明
但是!解開來以後跳出了 "Playfair" 字樣,誰TM曉得 playfair 是一種加密方法啦!氣死
還有一串長得像 這樣 的未知圖騰 (也是一種加密方法),以及一串 104 bit 的二進位。
我說你們啊,連 Brainfuck 說明都提供了,為什麼不提供 playfair 的算法呢?考背誦到底有什麼意義
Misc:
給了一張叫 layout 的底圖,以及四張 1/4 大小的圖片,應該是要拼起來
有附 steganography 工具,但是要解 png 檔需提供密碼
還有一部影片,但沒喇叭聽不到聲音
用附的 goldwave 進行一些轉換,好像能解出一串字,但他們試了發現密碼錯誤QQ
Reverse:
用附的 x32dbg 開,裡面有一些像是 div 0 的錯誤需要跳過
之後發現程式會向 server 傳東西,好像是 server 會做一些計算再把結果傳回來
聽別組說是要用 cookie 把資料送給 server 才會得到 flag
Pwn:
這題的執行檔是個病毒,一按下去就被 Defender 隔離了
我們有人還以為檔案被刪掉了,還舉手詢問XD 有其他組也問同樣的問題
工作人員請示了一陣子,最後廣播說檔案不見完全是正常的,是題目的一部分XD
之後發現程式會一直傳 SYN 給連不到的 remote 端,只可惜沒有 x64dbg 不能直接分析程式
Web:
有一個網頁,雖然只有一個下拉式按鈕,但玩一玩發現有 SQL Injection
但後來發現我們沒人會 SQL 指令,一整個悲劇
又是一題背誦題.....
我有認識三、四隊的人,也只有一隊解開了非零個題數 QAQ
或許是因為去年的太簡單,太多人全對了吧?
喔對,然後要抱怨一下,術科是要在一個雲端 VM 裡面操作,
但超級難用的!1) 視窗不能全螢幕,2) 每個操作都有很高的延遲,
使用體驗極差,只能希望明年不要再發生了......ORZ
以上就是今年的心得文~
底下附一些其他人的心得文:
留言列表
個人突發異想 (2)
