关于AWD的小结

发布于 作者:

关于AWD的小结

原创 cha0s Gh0xE9 2024-12-22 12:27

比赛规则

  • 比赛:指从开始到结束的一整场比赛过程。

  • 轮:指一个单独的时间区间,分数计算的最小周期,一般为 10 分钟。 一场比赛由许多轮组成,可以理解为:总轮数 = 比赛总时长 / 单轮时长

  • 选手:指比赛的参赛队伍,通常是一个 3-5 人的团队。

  • 题目:比赛的试题,对应着传统 Jeopardy 模式中的一道道题目。

  • 靶机:AWD 模式中,对于每一道题目,每个选手都会有一个自己的独立靶机,上面运行着这个题目的环境。

  • Check:为了检测选手的靶机服务以及功能是否能够正常运行,主办方会不定期运行 Check,(通常是一段自动请求并验证的脚本)用以检测服务可用性。检测到服务不可用,功能不全的靶机,其所属队伍将被扣分。(Check 的存在,是为了防止选手故意删站,或部署通防来使得攻击方无法对其靶机进行攻击,从而达到所谓“绝对的防御”)

  • 服务宕机 / CheckDown:指选手的靶机服务不可用,或功能不全。

常见awd思路

(当作参考)

1.靶机登陆

一般来说有两种登陆方式:
– rsa公钥登陆

  • 用户名/密码登陆

使用xshell的话,那存在一个选择公钥的选项,可以直接登陆。

mobaxterm似乎是还要了解一下 ssh公钥登陆的命令

1.1 登陆后的思路

1.1.1 修改默认密码

  • ssh是弱口令要记得修改密码

  • 如果又权限进入mysql,也需要修改密码

1.1.2 信息备份

1.tar备份 

tar -zvxf /tmp/www.tar.gz /var/www/html/

scp备份 

scp -P ssh_port user@host_ip:/tmp/bak.sql local_filebash

修改源码的时候,可以利用vscode远程连接

或者是利用vi

2.mysql备份

2.defence

1.查询操作
– 因为tar是不会备份隐藏文件的,所以需要ls -al查看一下是否存在后门

  • 用d盾或者seay查看一下是否存在预留的一句话木马

  • 利用grep -r “xxx” /var/www/html/ 查看一下是否有默认文件存在flag

  • 检测端口暴露的情况(3306..),如果MySQL的端口暴露,记得修改一下默认密码(也要修改php/java代码中的连接代码)

  • 查看有没有后门账户

2.脚本部署
– 日志监控部署(非必要:有些比赛主办方会提供流量)

  • waf部署(有时候waf会被check扣分,所有要看情况。主办方有可能也有要求不能上)

  • 文件监控(一般来说是需要在waf部署之后再部署)

3.Attack

  • 抄作业(看流量、别人留的后门可以上车。一句话密码可能是md5的,或许需要网上解码一下。如果是主办方要求不能上网:但是还是一屋子的iphone、honor…你晓得吧?)

  • 代码审计

  • 权限维持

  • 利用脚本快速得分(最好是不要一个一个flag交,非常狼狈(

4.详细步骤

4.1 目标确定

  1. 主办方提供网络拓扑和端口范围

  2. 攻击机、靶机、check 服务器

1.1 确定端口

1.2 确定其他目标(扫描c段)

  1. 主办方提供端口和ip且ip是连续的

  2. 直接打就完事了

4.2 代码审计

一般来说很可能会遇到一些tp、yii、laravel二次开发的框架,如果平时也有在收集这些链子的话可能也会用得到。

一般来说因为awd时间短,且代码量多所以考核的题目应该也不会太难
– 漏洞类型

1.预置后门

如果是ctf用户:最好是就修改一下连接密码就好,留一个预置后门。(直接用蚁剑连接操作作也不是不行

2.文件上传
– 直接使用白名单文件上传

3.SQL注入
– SQL注入

  • 防御方式:转义 ‘ ” 、确认页面编码和数据库编码统一(基本上过滤90%

  • SQL写shell

  • MySQL端口暴露

  • 关闭端口暴露或者是修改默认的MySQL密码(注意配置文件也要修改

4.反序列化
– 加过滤,匹配语句类型或者关键字

6.xxe
– 禁止引用外部dtd

7.代码执行
– 过滤一些关键函数

8.文件遍历
– 过滤关键字

4.3 权限维持

4.3.1 文件读取操作

我认为权限维持有时候也没办要写不死马之类的,不过 要是所有操作一起上了也不是不行(

条件允许的话也可以在一些
php、js脚本文件,直接写一个读取flag文件的操作也可以在返回的header中(也不容易被发现

4.3.2 不死马

一般来说,都是通过定时任务不断的写shell达到”不死马”这个操作
– php不死马

  • Linux定时任务写马

如果被种马了,怎么防御?
– 杀进程后重启服务

  • 写一个同名的文件夹

  • 写一个sleep时间低于别人的马(或者写一个脚本不断删除别人的马)

4.3.3 定时任务

  • 使用定时任务发送带有flag的请求

  • 使用定时任务反弹shell

  • bash

  • python
  • php

如果因为定时任务一直失分咋办?
– 杀进程(ps -ef / px -aux)

一般/bin/sh是nc服务

如果是ctf权限的话,那只能写个马执行这个命令

4.3.4 宕机

如果遇到不得不宕机的情况可以使用

4.4 关于脚本

4.4.1.上传waf

check机制可能会check到waf过滤的参数,导致宕机(所以上床waf要慎重

可以在upload目录下写.htaccess禁止php文件执行

4.4.2.主板方提供流量

可以使用wireshark

基础用法:
– 过滤IP地址

ip.addr == 192.168.1.1 //只显示源/目的IP为192.168.1.1的数据包not ip.src == 1.1.1.1 //不显示源IP为1.1.1.1的数据包ip.src == 1.1.1.1 or ip.dst == 1.1.1.2 //只显示源IP为1.1.1.1或目的IP为1.1.1.2的数据包

  • 过滤端口

tcp.port eq 80 #不管端口是来源还是目的都显示80端口tcp.port == 80tcp.port eq 2722tcp.port eq 80 or udp.port eq 80tcp.dstport == 80 #只显示tcp协议的目标端口80tcp.srcport == 80 #只显示tcp协议的来源端口80udp.port eq 15000tcp.port >= 1 and tcp.port <= 80 #过滤端口范围

  • 过滤MAC地址

eth.dst == MAC地址 #过滤目标MACeth.src eq MAC地址 #过滤来源MAC3.eth.addr eq MAC地址 #过滤来源MAC和目标MAC都等于MAC地址的

  • http请求方式过滤

http.request.method == “GET”2.http.request.method == “POST”3.http.host mathes “www.baidu.com|http://baidu.cn“ #matches可以写多个域名http.host contains “http://www.baidu.com“ #contain只能写一个域名http contains “GET”

多条过滤语句执行:

4.4.3.文件监控

如果靶机没有python环境,那还需要在安装一下

参考文章

https://www.anquanke.com/post/id/245158#h3-19

https://justloseit.top/AWD%20%E8%B5%9B%E5%89%8D%E5%87%86%E5%A4%87/

https://linux.cn/article-5685-1-rss.html

https://qftm.github.io/2019/08/03/AWD-Bugs-Fix/#toc-heading-22

https://github.com/sharpleung/CTF-WAF

点击收藏 

3
关注
 | 
4
打赏