第五题网站被getshell后破坏代码影响答题



  • 有选手getshell之后修改站点php代码,导致整个cms异常。
    Parse error: syntax error, unexpected '', ' (T_ENCAPSED_AND_WHITESPACE), expecting ')' in /var/www/html/finecms/config/site.ini.php on line 9
    造成了接近一个多小时的时间无法答题,这道题很简单没有技术含量,分值却不少,直到最后结束20分钟前才恢复访问,严重影响了答题的进度,导致这道题我直接没有得到分(结束2分钟之后成功shell,就差2分钟),100分就这么没了。
    这严重影响了比赛的公平性!
    麻烦管理员调查这件事件,并做出处理,谢谢!



  • 请问怎么getshell啊,payload不会用



  • 这道题包括备用站在内都出现了同样的问题,不应是因选手操作错误而造成的问题,问题更像是有选手故意为之,请管理员调查,谢谢!


  • ISELAB小组

    谢谢您的及时反馈!我们会彻查影响比赛公正性的不端行为!



  • 你好,我是出题人。这题的原意是让选手搜索通用cms的漏洞进行利用获取flag。题目出现问题是因为选手没有合理的编写payload导致网站配置文件出现语法错误,题目地址和备用地址的错误方式不同,可以看出并不是恶意利用。



  • 此题配置了俩个题目地址,是考虑到没有限制配置文件的权限。写配置文件作为web渗透的一个基本技能 我觉得不应该限制,本题在21点25分的时间已经修复。没有像楼主说的最后20分钟,而且在比赛的微信交流群里有声明遇到问题可以向我联系,当然在比赛时并没有及时发现异常是我的错。



  • 顺便问一下预选赛进多少人啊



  • @黄伟杰 这道题确实是可以配置文件插马来getshell,但这样非常容易导致整个网站崩溃,我做完三个题之后整站直接崩了,最后发现修复已经是非常晚了,没有办法答题了,太影响公平性和比赛心情了。
    不过,之后命题的时候可以留一个api,如果网站出错可以一键重置,我之前也做过其他的ctf比赛,就有类似的功能。小小意见望采纳,谢谢!



  • @鞠方舟 感谢理解,您的建议非常好,下次出题会用您的办法。现在题目还开着,可以继续玩,前面都是送分的 没送出去... 后面才好玩



  • @鞠方舟 这题的解答办法有很多种,其实在网站崩溃后也是可以答题的,直接去访问之前选手的flag或者shell就可以了



  • 作不,老子认真做题被检测作弊,真lb。


登录后回复
 

与 慕测论坛 的连接断开,我们正在尝试重连,请耐心等待