本学期最主要的任务就是参加全省的“信息安全管理与评估”技能大赛,9月份开学之后不久就开始着手选拔学生,组建参赛队伍。从10月份开始就基本上天天待在实验室里,一直到11月27日参加比赛。在这期间,我基本上保持了每天发一篇博文的速度,将备赛时的一些主要资料都整理了出来。自认为这次的准备工作相比去年参加国赛时要充分一些,哪知最终成绩却很不理想,满分850分,我们只得了436分,总成绩第5名。
高职的信息安全比赛内容主要有三部分:防火墙配置、Windows和Linux系统加固、安全攻防,这其中前两部分都属于常规内容,大家差别都不会太大,成败的关键在于攻防。所以通常都是安排资质最好的学生来做攻防,哪知这次比赛恰恰是在这部分失利了。
攻防的内容主要分为两部分:Web渗透和系统攻防。
这次比赛中Web渗透部分考的是ASP手工注入。这部分内容在备赛时反复练习,已经相当熟练了,哪知比赛时没有提供任何的渗透工具,而ASP注入的要点就在于“猜”,猜表名、猜字段名、猜字段数量、猜后台入口……,平日练习时这个“猜”的工作主要是依靠软件来完成的,要想靠人工猜解,那得需要丰富的经验积累,因而学生在猜表名的阶段就被卡住了。
题目要求在成功注入之后,要获得系统的管理权限,然后开启3389,再在这台服务器上完成Windows加固的操作……,所以这里的失利直接导致系统加固部分的很多操作也无法完成,真是火烧连营、一泻千里……
再说系统攻防部分,这里无非就是扫描、溢出、弱口令猜解之类的操作,学生在尝试了无法成功溢出、XSCAN在XP系统下无法正常运行之后,在这里再次败退了。这部分内容虽然不难,但要求对Windows系统要精通,这就要看基本功是否扎实了。负责攻防的同学悟性很高,学习知识比较快,但平日却不爱学习,上课不好好听讲,因而只靠备赛时突击学习的缺陷,在这里暴露无疑。
我做事从不追求完美,但这次比赛还是留下了太多的遗憾,唯有重整河山待后生了。
原文地址:http://yttitan.blog.51cto.com/70821/1584391
