一周速记 10 :大黑客🤡?鼠标猴🐒!
本文最后更新于 2025年5月7日 晚上
简介:
这周和 @Moyuin 学妹一起参加了某攻防演练…忍不住想来吐槽一番。
🤡大黑客?🐒鼠标猴!
wasdwasd baba(敲键盘声) peng peng peng(砸键盘声)
也许听到攻防演练这种字眼,大多数人的都会觉得:“我靠,这是黑客啊,黑进别人的系统一定很 cool 很 interesting。“
实则不然——黑进别人的系统,尤其在 2025 的当下,得靠钓鱼等一系列社会工程学,甚至,去线下把蓝队队员打晕然后偷偷放开防火墙权限也许是更好的办法。
为什么像我这种蹩脚黑客沦落到如此境地呢?因为你要对抗的远远不是服务器本身…
在谈这些服务器之前,让我们先回到十多年前,那时网络安全还没被重视,互联网的门槛较高,上网的人不多,很多网站都是个人搭建的。由于运营不当,安全问题也比较常见,sql 注入、目录遍历等攻击手段一度能轻松突破防御。这是因为那时的网站大多是“自己搭建、自己运维”,没有统一的安全防护措施,互联网像是野蛮生长一样,大家关心的只是建站,安全问题几乎没人提。
那个时候,攻击往往只是比网站运营者更懂一点技术,比如知道 php 代码可能有注入漏洞,那就能轻松入侵。但如今,互联网已经不再是那个野蛮生长的时代。现在你面对的对手是:
于是你需要打败这些云服务商旗下网络安全安全团队设计出的 WAF 才能更进一步。这显然需要经验的积累以及大量的实践,显然,我完全跨不出这一步😭。
这也源于学校所教授的知识内容与 web 渗透脱节。而 web 方面的产出一向是不被科研所待见的。
我承认所有的知识都得从基础开始,sql 注入, csrf ,xss 这些基础的漏洞才构成了互联网的最底层,它们也依旧位居 OWASP 每年的前列,我们需要了解。但如果把这些放在课堂上来大谈特谈,就没有了意义 ,甚至听 @l1uyun 讲,他们的网络安全课上了一学期连 OWASP TOP10 都没讲完。可想而知这课是多么没有意义。
因此高校来的队伍,比如我们,又例如中南,压根不是来当什么大黑客的🤡,只会拿着鼠标点来点去,一个 SHELL 都拿不到,脚本小子一把梭,活像一只拿着鼠标的猴子🐒。
得出结论:网安的实践永远大于课堂的教学。
不然永远是只鼠标猴🤡,一只无能狂怒的鼠标猴。
💡差异化竞争:
“不要做得比竞争对手更好,要做得不同。”
但这次演练不能说是毫无作用的,我还是学到了一些东西,比如 burpsuite 的一些高级用法 ,对于微信小程序的抓包分析(顺便还试图查询下微生活的游戏一栏为什么总是原神,可惜服务器端的接口是转发到易千那边,是个黑盒对接的 hnu 信息化办,没有对应的展示,以失败告终😑),以及逆向分析找 API KEY。
上述都是次要的收获。最重要的收获我觉得应该是实践了差异化竞争。以前总是嘴里嚷嚷着要走那种“人迹罕至”的路,行动上却是老老实实随大流不敢放手去做——然而这次攻防演练做到了。
最开始的第一天颗粒无收,因为我们跟着那些企业,对着 web 就是一顿乱扫(连资产收集都没怎么做),收效甚微,并且 ip 还被对应的 waf BAN 掉了好几个。如果继续这样搞下去,估计到最后也是颗粒无收。
于是第二天就开始转变思路——去试试微信小程序。因为微信小程序本身重构了一些浏览器的功能,并且解包抓包没有 web 浏览器那么的方便——至少有一丢丢门槛,所以很多开发者并没有太过重视前端安全——这是我在拆了好几个小程序包发现前端泄露了一堆 API 密钥情况下得出的结论。
除此之外,web 浏览器上的前端大多都做了非常严格的混淆和加密,使得阅读起来极为不便。微信小程序虽然也做了加密,但是不需要我再去做一些 ast 的语法解析来分离那些在 web 前端上的一行式代码…所以阅读起来还算方便,并且有着 copilot 的帮助,从代码逻辑上来分析小程序的前端交互,比分析 web 上的简单了许多。
但方便之外也存在许多弊端。最大的弊端莫过于很难拿到后台的数据。因为微信小程序关于信息的把控很谨慎,并且小程序基本都是使用腾讯提供的那套 sdk 进行云函数的调用来与后端进行交互,所以想拿数据在我看来 = 打败腾讯…
从而我们拿不了数据分,而这往往是这类攻防演练的拿分大头。所谓三要素:身份证、电话号码、姓名。这些存在腾讯云端的东西是一点也染指不了。
幸运的是在抓包的时候被我发现了一个越权,喜提 600 分,奠定了 HNU 高校榜第一的基础…(然而总排名第 10,是的,高校就是来为企业当背景板的,甚至有一队直接挂零)。再加上一堆零零散散的 api key 泄露,也算凑够了 800 来分。对于我来说已经是“超额完成任务了😂”。
也算是第一次将差异化竞争的概念融入到了实战中,也许今后还可以多多实践🤔。
唯一感到遗憾的是只有前 6 名有奖金,后面的全是来打黑工,一点人情工资都不给,没意思🙄。甚至还要我隔两天再去开总结会…我能总结什么,我总结你 *#@😡
👀酒店体验:
“杳杳寒山道,落落冷涧滨。啾啾常有鸟,寂寂更无人。碛碛风吹面,纷纷雪积身。朝朝不见日,岁岁不知春”
虽然演练场地本身在长沙,但本着白嫖这种演练资源的目的,我还是毅然决然地提包入住了酒店,并且还是一个人住标间😋。
由于本身不怎么喜欢旅游的缘故,其实我没怎么住过酒店,至少是没住过特别多种类的大型连锁酒店,就算出门旅游,基本也是和朋友一起特种兵式旅游——这里的特种兵式并不是指走马观花,而是节省旅游中住宿的开支。
可能正因为见识比较少,这次的酒店入住给了我比较深的感受。
首先是酒店的设计很有意思,1 L 中有个部分名字叫做竹居,放了一些陈旧的古籍(不过大概率是故意做旧的,真古籍肯定不会放在那里)。每一层的住宿区也取了不同的名字,我的是“风雪夜归人”。除此之外,酒店还为每间房的床头都提供了一本读物:
也许你不认识寒山(其实我也不认识),但是你肯定看过这个小故事:
昔日寒山问拾得曰:“世间有人谤我、欺我、辱我、笑我、轻我、贱我、恶我、骗我,如何处置乎?” 拾得曰:“只是忍他、让他、由他、避他、耐他、敬他、不要理他,再待几年,你且看他。”
随手翻了一翻,不是我喜欢的类型,但在酒店床头灯的氛围渲染下,还是让我回忆起了中学时每晚躺在床上睡前总要看会儿书的经历,那属于我每天为数不多快乐且完全属于自己的时光。
非常有意境的酒店,而且早饭也很好吃!下次还住!
下周见,这周的经历也算一场有趣的体验,故而久违的想来补上一篇周记(这似乎不是一件值得骄傲的事情🤔)。cry 即将闪现 HK ,遇到有意思的事一定下周来记一记!
预祝大家五一假期快乐!