CISCN 2026 广东赛区半决赛 游记

初赛靠流量分析打进了半决。半决考 AWDP 和 ISW，之前没打过，完全不会。

只好当队里的吉祥物了。

队伍组成：我，xxx，1 个网安学长，1 个 AI 研究生学长（不像正经队伍，哈哈）

2026.03.21

大半天时间都在赶路。

学长订了一个廉价民宿，民宿藏在深巷里，差点找不到。民宿前台没人，得打电话喊人来办入住。房间非常狭窄，床上有小飞虫尸体，枕头和被子好像也不是很干净，一次性拖鞋非常滑，且鞋底很薄，很容易破。这条件让 xxx 叫苦不迭。刷了一下携程和大众点评的评论，发现全是一堆莫名其妙的好评（比如贴个狮子照片、湖的照片、外卖的照片，然后使劲夸房间有多好），给逗乐了。

熟悉环境的时候，发现插座只有 3 个孔，但 4 个人有 4 台机，有点搞…赛方发现问题后连夜加了一个插排，这点还是要给个好评的。

晚上回酒店，下 qwen3.5 v2 9B 的模型，然后美美入睡。

2026.03.22

睡得还挺香的，起床的时候差点忘记是来比赛的了。超绝松驰感这一块。

去包子铺解决早餐，然后就去赛场了。

赛前无聊，扫了平台网址目录，然后马上就有志愿者过来警告。 ovo

开局选了 MediaDrive，一看是 PHP + 文件上传，感觉很像签到，就开始死磕。

先无脑堆通防 WAF，不出意料地没防住。看到有队伍 3 分钟就防住，差点被吓哭。

通防 WAF 没用，开始认真审计代码。发现 User 类是从 Cookie 里直接反序列化出来的，一看就很危险，先注释掉（虽然大概率会导致服务异常，但先不管了）。然后再限制上传目录为 ./uploads，对 raw path 和 converted path 都判断目录是否正确，以防目录穿越。最后再乱挂 WAF 作保险。
在第三轮的最后 10 秒钟（当时我根本没意识到时间这么极限）提交并 check 成功。

与此同时，xxx 开了一道没人过的 Web 题，打到后面发现不会构造模板注入，前期工作付诸东流。2 位学长应该是去开 easy_time 了，但没开出来。

修完 MediaDrive 后，感觉其它 Web 题都修不动，就和 xxx 一起看 catchme。（其实应该赶紧让学长来打 MediaDrive 的攻击的，这样我们肯定能更早拿到攻击分）

运行了一下 catchme，一通交互触发了 double free，与此同时 xxx 也反编译定位出了一处 UAF。本地大模型给出了利用 UAF － 用 _system 覆盖 _puts 的攻击链，在审计了其它部分的代码后，我们认为这是唯一的攻击链，然后就着手修复。这时候 xxx 的 IDA Pro 出了岔子，无法改汇编指令，我就把我的打包发给他。xxx 疯狂发力，爆改逻辑，给 free 函数后腾出了一大片空间，把被释放的指针置零。提交后 verdict 居然是漏洞利用成功！？我们不信邪，把 _puts 全改成 _printf，把 read 的读入大小限制到 3，结果还是没防住，彻底傻了。更玄学的是，同一份 patch 后的 catchme，在 xxx 机子和我机子上的运行结果还不一样！

没招了，有太多不符合逻辑和常理的东西。解决不了（其实还有一招没试，就是把程序重写一遍，但不知道这样会不会被判服务异常）就下机吃饭，等下午的 ISW。好在学长在我们折腾 catchme 的时候把 MediaDrive 打下来了。

ISW 一共3个靶场，20个 flag。其中 2 个靶场我毫无思路（服务器用的架构、工具我见都没见过），剩一个 Web 也不是很可做。但学长成功挂了一个 jsp 的 webshell 上去，拿下 1 个 flag。很搞的事情又来了：我唯一的 RCE 工具只有菜刀，菜刀不支持 jsp。学长传的冰蝎我们换了各种 Java 版本（包括学长的 jdk）都跑不起来（大概率是没传全）。学长又传了一份蚁剑，xxx 的机子能跑，但我的机子不知为何，蚁剑会一直卡在初始化界面。没办法，只好和 xxx 一起操作。我们翻遍了靶场目录都找不到别的 flag，很显然，想要拿接下来的 flag 只能提权。AI 给的提权思路完全没用，我又没有漏洞库（毕竟不是专门干这个的），遂放弃此题。另 2 个靶场，其中 1 个是 Windows IIS，上面唯一的文件是一个 RPC Server，大概率是个 pwn 题了，此外还有 1 个目录穿越漏洞，能读任意文件，但找不到 flag 目录，所以也没啥用。坐牢到比赛结束。

感觉赛题还是过分地难了，ISW 得分最高的队伍也只拿到 4 个 flag。

最后是三等奖的第三名。一二三等奖的个数分别是 25，14，36。不知道这个获奖比例是怎么划分的，没拿到二等只能说运气有点背。

这是我第一次打 CISCN 半决，大概率也是最后一次。虽只是打着玩玩，但就结果来说，还算颇有遗憾吧。