观后感

[c4pr1c3]

Pros

• 打开 Git 仓库首页 就被惊艳到了👍。
• 基于 OpenWRT 进行二次开发、深度定制靶场，Real World CTF 好评👍。

Cons

• 口令爆破 演示中，起始爆破值应该从 000 开始才更真实。
• XSS 的漏洞提示有些僵硬 。
• 反序列化漏洞 的前一关，文件上传漏洞利用最后没有演示在哪儿拿到的压缩包？本题和 XSS 漏洞类似，漏洞的存在合理性略显僵硬。
• CVE-2020-7982 OPKG 这个漏洞的利用方式比前几个僵硬的漏洞点设计更显僵硬：直接提供 /etc/hosts 文件远程定向编辑能力了…… CVE-2020-7982 原本的利用方式是依赖于 通信流量的劫持篡改能力 的，可以是 DNS 投毒、ARP 欺骗等。所以，我也可以理解你这样为了出题而出题递刀子的设计方式。
• 欠缺健壮的 XSS 漏洞利用的自动判定检测逻辑。我提供一个我自己实现过的 CTF 靶机上的 XSS 题目自动判题 设计逻辑：网站服务端代码在拿到用户提交的表单数据后，将需要判定的表单字段是否包含能成功触发 XSS 漏洞的输入数据后，利用无头浏览器工具，在服务端动态创建一个 HTML 沙盒页面 ，在该页面中包含一段 JS 代码 hook HTML 的 alert() 事件 。如果用户提交的表单数据包含预期的 XSS 漏洞利用代码，则 HTML 沙盒页面中的 JS 代码可以捕获到对应的 alert() 事件 ，进而可以通过 无头浏览器进程 的返回码来自动判断 XSS 攻击是否成功 。推荐阅读 How to add an XSS-able bot to your CTF 。现有的 showM.js 里的 showMessage() 是精简版代码 ，如果是演示视频中版本的话，攻击者甚至不需要 XSS 攻击，分析客户端代码就可以直接拿到下一关的 tip 。
• 没有看到 exp 、checker 和 fixit 的操作演示，对于批改审查来说增加了巨大的工作量。
• 有一说一：你们的交付方式是不符合 我们的评分标准 的 。

Recommends

• 如果咱们开发的这个靶场投入 CTF 类比赛的话，实际上 第三个命令执行的漏洞 已经可以 pwn 掉整个路由器固件了，后续漏洞都是为了出题而出题的。解题者甚至可以不做题，直接利用这个漏洞在系统中进行深度信息收集即可，例如通过 flag 格式字符串特征进行 grep 的方式找到了 /etc/config/samba 这个配置文件。这就是在真实 竞赛场景 中设计攻击链的时候，通常都需要考虑攻击路径的 唯一可利用性 ，避免攻击者走捷径拿到非预期的 Flag ，这是从靶场 想定 合理性的角度来评价咱们的漏洞利用剧本设计质量。但是，如果将咱们开发的这个靶场投入漏洞利用学习和练习环境，那么就合理了。

BloodyOrangeMan

• STOP DOING CTF 的图收藏了👍
• 向 pwn.college 致敬。

worrycuc

• 所谓 Web 会话 中的环境变量其实是需要对 Web 应用的宿主进程（uHTTPd）注入环境变量，因为 环境变量 实际上都是跟 进程 绑定的。shell 能读取和设置的环境变量，当然都是对应 shell 解释器进程 。

zhouyuting-mafumafu

• ftp这个远程编写工具，这个认知不对哦。FTP 是文件传输协议，我猜测你的工作方式是：在本地写完了代码之后，通过 FTP 客户端 上传到 openwrt 中。当然，也可以通过 FTP 客户端 从 openwrt 中下载文件。OpenWrt 的 SSH 服务端是 dropbear ，我印象中是需要手动开启服务的。另外，vscode-remote 目前应该还不支持 OpenWRT 环境的 agent 安装运行。vscode-remote 目前主要支持的是 原生 Linux 和 Linux on WSL 两种平台。我搜索了一下，有网友折腾了一个 基于 SFTP 的 vscode 远程文件编辑方法 。

odulme

• Git 仓库里已有的代码其实没必要粘贴到报告里，报告里还是图文并茂方式更好。关于 OPKG 这个漏洞利用方式的问题见上述 Cons 部分的点评。