经过上述探测，最终发现4个有效的网站服务器，一号站点为电商管理平台，开放了多个端口，但其中某端口服务为开发者模式，外部端口页面较为简单，猜测脆弱点可能较多，二号站点为商品交易网站，攻击队通过网页特征关键词搜索，在github上找到了相似源码，三号站点为企业门户网站，攻击队判断该站点基于成熟框架开发攻击难度较大。4号站点为大数据平台，发现存在log4j热门漏洞，但防守队限制了该机器的出网流量，无法获取机器权限。经过攻击队内部讨论制定了攻击策略，优先针对门户站等其他几个站点进行大流量攻击扫描，以转移防守队注意主要手工测试电商管理平台存在的漏洞，同时针对商品交易网站源码进行代码审计以及挖掘oday进行攻击。

那么防守队在初期做了哪些工作？首先在对决前期，防守队通过SINE漏扫工具，扫描出部分漏洞并尝试修复，但由于时间紧迫，优先修复了部分弱密码问题，并将防守重心放在了监测脆弱系统的高危告警层面，同时SINESAFE根据扫描情况打好虚拟补丁，结合各个业务的特性，优化了防护策略的配置，进行了业务流量模型的训练和插件的编写等操作。

并联动SINE多元的日志收集和聚合分析能力，快速筛选出活跃和潜藏的攻击者，下发自动封IP。此时防守队可以看到攻击队少量高危漏洞IP被自动剔出，后出现了大流量的攻击告警，这些告警的IP来源不一，可判断攻击队使用了IP代理池，通过自动封禁模式有效减少干扰告警，同时部署的反制蜜罐成功诱捕，并最终反向控制了攻击队的扫描器VPS。然而防守队并没有因此加分，经过探测发现该VPS只是干扰专用，不过这个开局，大大提升了防守队事迹。经双方的初步交手，攻击队的干扰对防守队的作用虽然不大，但为攻击队争取到的时间是手工探测，有人发现经过扫描和探测后，攻击队在电商管理平台发现一个后台，在尝试爆破密码无果后，仔细阅读了JavaScript源码，找到了一个未授权的文件上传接口，并在该路径下发现了源码泄露，阅读泄露的源码，发现该站点处理文件上传不当，存在目录穿越漏洞，通过zip压缩编码，结合目录穿越方式形成的文件上传，尝试攻击战点，发现被WAF拦截无法绕过，又经过进一步细致的源码审计，发现该处上传，还存在一个xml反序列化漏洞，最终通过系统压缩上传，结合xml反序列化漏洞突破边界，获取了该服务器权限，并在机器上种下了内存马，成功突破后，攻击队开始对测试站点服务器进行信息收集，一方面通过查看该测试站网络连接信息、登录信息以及文件等，寻找到部分内网网端的信息，发现了跨网段疑似来自运维终端的网络连接。