Deadface CTF 2024参赛经历与TrendyTrove赛题技术解析

赛事背景

Deadface CTF是由Cyber Hacktics主办的年度黑客赛事，本届围绕虚构黑客组织DEADFACE展开叙事。参赛者需协助灰帽组织Turbo Tactical阻止针对金融机构的攻击，赛事持续34小时，共设置取证、逆向工程、密码学等12个技术类别。

TrendyTrove赛题技术解析

挑战1：Let Me In（SQL注入）

• 目标：突破仿冒电商网站登录
• 漏洞：登录表单存在SQL注入
• 利用方案：使用经典万能密码payload ' OR '1'='1
• 成果：获取首枚flag

挑战2：Yalonda（命令注入）

• 突破路径：
  1. 通过/admin.php进入管理后台
  2. 发现状态检查功能存在命令注入漏洞
  3. 构造Linux命令链：command=ping+-c2+8.8.8.8;cat+/var/www/html/db-init/init.sql
• 技术要点：
  • 使用分号实现命令拼接
  • 通过find定位数据库初始化文件
  • 从init.sql中提取用户生日数据

挑战3：Compromised Data（文件检索）

• 解题思路：
  1. 全局搜索flag关键词
  2. 构造grep命令：command=ping+-c2+8.8.8.8;grep+-ri+"flag"+/var/www/html
  3. 发现含支付数据的customers.cve文件
• 技术收获：掌握Web应用目录结构分析和敏感文件定位技巧

赛事成果

团队最终在1215支参赛队伍中排名第143位，完整解决所有技术类别的挑战。TrendyTrove系列赛题尤为突出地融合了：

• Web应用漏洞挖掘
• 数据库安全审计
• Linux系统权限利用
• 敏感信息追踪技术

参赛感悟

34小时的极限攻防不仅验证了团队的技术储备，更体现了漏洞挖掘中创造性思维的重要性。赛事方精心设计的黑客叙事与实战场景的深度结合，使得每个技术挑战都具备真实的对抗价值。期待在下届赛事中继续突破安全技术的边界。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码