CTF线下赛AWD攻防准备

最近发现一篇博客。感觉对CTF线下赛-AWD模式,总结比较好。于是学习了解了一下,为了方便寻找,把这篇博客复制了过来,并补充了点。。。

1、赛制流程:攻防模式(AWD)常见于线下攻防

一般比赛的具体环境会在开赛前半个小时由比赛主办方给出,前半个小时应熟悉配置环境。准备网线、网线转接口。

最好的防御就是攻击,不做好安全加固就会被吊打。

2、 赛前准备:

常用工具:(整理适合自己的)

  • Burpsuite
  • sqlmap
  • nmap、masscan
  • nc
  • D盾
  • Xshell、Xftp
  • 菜刀或蚁剑
  • Chrome、Firefox各类插件

一句话木马:

  • php
  • asp
  • aspx
  • jsp
  • 内存马

py库、脚本:

  • pwntools
  • requests
  • 软waf
  • 日志分析
  • Exp

SSH客户端:

  • PuTTY
  • XShell

编辑器:

  • Sublime
  • VS Code
  • Notepad++
  • Vim

个人知识库

常见应用源码库

Writeup集合

基础知识:

  • 语言运用:编写自动化脚本等……
  • WEB安全:熟悉常见漏洞类型、常见框架……
  • pwn型:需要较好的底层基础、懂汇编等,需要理解各种堆栈溢出的原理、基础密码学……
  • 中间件:apache、nginx、tomcat、jboss、weblogic
  • 语言基础:php、java、python
  • 常见web应用:phpmyadmin、dedecms、phpcms、帝国cms、Discuz
  • linux命令:netstat -tulpnps -ef

Gamebox:

  • 系统:ubuntu、centos

  • 中间件、版本:

    • apache \ nginx
    • php \ php-fpm
    • tomcat \ jboss \ weblogic

  • web程序

  • 数据库:

    • MySQL \ MariaDB \ Oracle
    • Redis \ MongoDB

3、常见加固方式:

加固流程:

  1. 修改网站管理员密码

  2. 备份网站源码

    • tar -zcf /tmp/name.tar.gz /path/web
    • tar -zcf /tmp/name.tar.gz /var/www/html

  3. 备份数据库

    • mysqldump -u 用户名 -p 数据库名 > 导出的文件名
    • mysqldump -u user -p database > /tmp/database.sql

  4. 修改ssh密码(即修改当前用户密码)

  5. 修改MySQL密码

    • set password for 用户名@localhost = password('新密码');
    • set password for user@localhost = password('123');

  6. 修改MongoDB密码(27017端口)

  7. 修改Redis密码(6379端口)

  8. 修改网站源码中的数据库连接配置

  9. 部署waf(视情况而定)

    1. 准备一个软waf

    2. 如何使用phpwaf.php

      1. 找到CMS/框架通用配置文件进行包含:

        • PHPCMS V9:\phpcms\base.php
        • PHPWIND8.7:\data\sql_config.php
        • DEDECMS5.7:\data\common.inc.php
        • DiscuzX2:\config\config_global.php
        • WordPress:\wp-config.php
        • Metinfo:\include\head.php

      2. 修改php.ini文件后重启(高权限):

        • 禁用敏感函数:

          disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_Tupungato,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

        • 自动包含waf:
          auto_prepend_file = safe.php路径;

    3. 分析日志文件

  10. 文件监控

    • 准备一个脚本,监控并删除所有新增文件。
    • 发现内存马,直接重启php。
    • 若监控脚本无法使用,使用命令定期查看新增与修改文件。
    • find web路径 -ctime -1 (查看最近一日新增的文件,是否可疑)

  11. 修改目录权限:(可能会违规)

    • chmod -R 644 www

waf脚本

<?php//部署waf可能会导致服务不可用,需要谨慎部署。error_reporting(0);define('LOG_FILENAME','log.txt');function waf(){if (!function_exists('getallheaders')) {function getallheaders() {foreach ($_SERVER as $name => $value) {if (substr($name, 0, 5) == 'HTTP_')$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;}return $headers;}}$get = $_GET;$post = $_POST;$cookie = $_COOKIE;$header = getallheaders();$files = $_FILES;$ip = $_SERVER["REMOTE_ADDR"];$method = $_SERVER['REQUEST_METHOD'];$filepath = $_SERVER["SCRIPT_NAME"];//rewirte shell which uploaded by others, you can do moreforeach ($_FILES as $key => $value) {$files[$key]['content'] = file_get_contents($_FILES[$key]['tmp_name']);file_put_contents($_FILES[$key]['tmp_name'], "virink");}unset($header['Accept']);//fix a bug$input = array("Get"=>$get, "Post"=>$post, "Cookie"=>$cookie, "File"=>$files, "Header"=>$header);//deal with$pattern = "select|insert|update|delete|and|or|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex";$pattern .= "|file_put_contents|fwrite|curl|system|eval|assert";$pattern .="|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore";$pattern .="|`|dl|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec";$vpattern = explode("|",$pattern);$bool = false;foreach ($input as $k => $v) {foreach($vpattern as $value){foreach ($v as $kk => $vv) {if (preg_match( "/$value/i", $vv )){$bool = true;logging($input);break;}}if($bool) break;}if($bool) break;}}function logging($var){file_put_contents(LOG_FILENAME, "\r\n".time()."\r\n".print_r($var, true), FILE_APPEND);// die() or unset($_GET) or unset($_POST) or unset($_COOKIE);}waf();
?>

文件监控脚本

# -*- coding: utf-8 -*-
#use: python file_check.py ./import os
import hashlib
import shutil
import ntpath
import timeCWD = os.getcwd()
FILE_MD5_DICT = {}      # 文件MD5字典
ORIGIN_FILE_LIST = []# 特殊文件路径字符串
Special_path_str = 'drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82'
bakstring = 'bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS'
logstring = 'log_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
webshellstring = 'webshell_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
difffile = 'diff_UMTGPJO17F82K35Z0LEDA6QB9WH4IYRXVSCN'Special_string = 'drops_log'  # 免死金牌
UNICODE_ENCODING = "utf-8"
INVALID_UNICODE_CHAR_FORMAT = r"\?%02x"# 文件路径字典
spec_base_path = os.path.realpath(os.path.join(CWD, Special_path_str))
Special_path = {'bak' : os.path.realpath(os.path.join(spec_base_path, bakstring)),'log' : os.path.realpath(os.path.join(spec_base_path, logstring)),'webshell' : os.path.realpath(os.path.join(spec_base_path, webshellstring)),'difffile' : os.path.realpath(os.path.join(spec_base_path, difffile)),
}def isListLike(value):return isinstance(value, (list, tuple, set))# 获取Unicode编码
def getUnicode(value, encoding=None, noneToNull=False):if noneToNull and value is None:return NULLif isListLike(value):value = list(getUnicode(_, encoding, noneToNull) for _ in value)return valueif isinstance(value, unicode):return valueelif isinstance(value, basestring):while True:try:return unicode(value, encoding or UNICODE_ENCODING)except UnicodeDecodeError, ex:try:return unicode(value, UNICODE_ENCODING)except:value = value[:ex.start] + "".join(INVALID_UNICODE_CHAR_FORMAT % ord(_) for _ in value[ex.start:ex.end]) + value[ex.end:]else:try:return unicode(value)except UnicodeDecodeError:return unicode(str(value), errors="ignore")# 目录创建
def mkdir_p(path):import errnotry:os.makedirs(path)except OSError as exc:if exc.errno == errno.EEXIST and os.path.isdir(path):passelse: raise# 获取当前所有文件路径
def getfilelist(cwd):filelist = []for root,subdirs, files in os.walk(cwd):for filepath in files:originalfile = os.path.join(root, filepath)if Special_path_str not in originalfile:filelist.append(originalfile)return filelist# 计算机文件MD5值
def calcMD5(filepath):try:with open(filepath,'rb') as f:md5obj = hashlib.md5()md5obj.update(f.read())hash = md5obj.hexdigest()return hashexcept Exception, e:print u'[!] getmd5_error : ' + getUnicode(filepath)print getUnicode(e)try:ORIGIN_FILE_LIST.remove(filepath)FILE_MD5_DICT.pop(filepath, None)except KeyError, e:pass# 获取所有文件MD5
def getfilemd5dict(filelist = []):filemd5dict = {}for ori_file in filelist:if Special_path_str not in ori_file:md5 = calcMD5(os.path.realpath(ori_file))if md5:filemd5dict[ori_file] = md5return filemd5dict# 备份所有文件
def backup_file(filelist=[]):# if len(os.listdir(Special_path['bak'])) == 0:for filepath in filelist:if Special_path_str not in filepath:shutil.copy2(filepath, Special_path['bak'])if __name__ == '__main__':print u'---------start------------'for value in Special_path:mkdir_p(Special_path[value])# 获取所有文件路径,并获取所有文件的MD5,同时备份所有文件ORIGIN_FILE_LIST = getfilelist(CWD)FILE_MD5_DICT = getfilemd5dict(ORIGIN_FILE_LIST)backup_file(ORIGIN_FILE_LIST) # TODO 备份文件可能会产生重名BUGprint u'[*] pre work end!'while True:file_list = getfilelist(CWD)# 移除新上传文件diff_file_list = list(set(file_list) ^ set(ORIGIN_FILE_LIST))if len(diff_file_list) != 0:# import pdb;pdb.set_trace()for filepath in diff_file_list:try:f = open(filepath, 'r').read()except Exception, e:breakif Special_string not in f:try:print u'[*] webshell find : ' + getUnicode(filepath)shutil.move(filepath, os.path.join(Special_path['webshell'], ntpath.basename(filepath) + '.txt'))except Exception as e:print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filepath)try:f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')f.write('newfile: ' + getUnicode(filepath) + ' : ' + str(time.ctime()) + '\n')f.close()except Exception as e:print u'[-] log error : file move error: ' + getUnicode(e)# 防止任意文件被修改,还原被修改文件md5_dict = getfilemd5dict(ORIGIN_FILE_LIST)for filekey in md5_dict:if md5_dict[filekey] != FILE_MD5_DICT[filekey]:try:f = open(filekey, 'r').read()except Exception, e:breakif Special_string not in f:try:print u'[*] file had be change : ' + getUnicode(filekey)shutil.move(filekey, os.path.join(Special_path['difffile'], ntpath.basename(filekey) + '.txt'))shutil.move(os.path.join(Special_path['bak'], ntpath.basename(filekey)), filekey)except Exception as e:print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filekey)try:f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')f.write('diff_file: ' + getUnicode(filekey) + ' : ' + getUnicode(time.ctime()) + '\n')f.close()except Exception as e:print u'[-] log error : done_diff: ' + getUnicode(filekey)passtime.sleep(2)# print '[*] ' + getUnicode(time.ctime())

4、攻防演练:

如何获得flag?

在实际比赛中,一般有两种方式获取flag,一种是先获取webshell权限,然后去读flag文件,另一种则是直接通过漏洞读取flag文件。

  • Getshell:

    • 官方后门、文件上传
    • 文件写入、文件包含
    • 命令注入、反序列化
    • Redis写shell
    • Mysql写shell
  • 直接读文件:
    • SSRF
    • 任意文件读取
    • XXE
    • 文件包含
    • Sqli
1. web后门:

在任意APP的某个文件的源码中加上一句话后门。

  • @eval($_POST[‘XXX’]);
  • @assert($_POST[‘XXX’]);
  • system($_REQUEST[‘CMD’]);

对于这种类型的漏洞,只要用正则遍历匹配就能找到
grep -r "eval\(\$_"
或者还有一些复杂变异的后门,这种情况就可以选择使用D盾Webshell查杀或者SafeDog之类的工具对源码进行扫描。只要删掉就可以解决。

2. 系统后门
  • NC后门
  • SSH后门
  • suid后门
3. webshell:
  • 内存马:不断生成shell文件
  • Webshell密码:给Webshell增加密码,增加一个password参数MD5
4. 文件上传:

  • put方法:

    Tomcat远程代码执行漏洞分析(CVE-2017-12615)

  • 一般上传:

    • 各种绕过方式一定要熟悉
    • 常见改包、解析漏洞、图片渲染、逻辑文件(双文件上传)、条件竞争
    • 防护方式——白名单、禁止上传目录执行权限、上传于Web目录外
5. 文件写入:

  • 缓存:

    • 存在缓存机制,后缀名为php,直接代码执行。

    -配置文件:

    • 单引号内:输入单引号,尝试逃逸。如'+@phpinfo()+'
    • 双引号内:输入会被解析的符号。如${@phpinfo()}

  • 模板文件:

    • 模板被包含,getshell。
    • 创建新文件时无校验后缀名。

  • 日志:

    • 日志以php后缀保存,X-Forwarded-For来伪造ip植入木马。
6. 命令注入/反序列化:

PHP中使用unserialize函数对数据进行反序列化,反序列化过程类的__wakeup方法与__destruct方法会被调用。

<?phpclass TestClass
{public $variable;public function __destruct(){print_r(shell_exec("ping ".$this->variable));    }}
unserialize($_GET['data']);
?>
7. 文件读取:

  • SSRF:存在服务器请求伪造漏洞时,可使用file协议读取本地文件。

    http://127.0.0.1/read.php?url=file:///flag

  • SQL注入:目标存在SQL注入时,可尝试直接读取flag。

  • 常规注入、盲注、二次注入、insert注入、http头注入

  • 读取
    select load_file()

  • 写入
    select outfile()
    select dumpfile()

8. 困难漏洞:

有时候出题者会直接丢一个0day,现场审计。找不到漏洞没关系,上Waf保平安,时刻关注你的日志记录,NPC也会打出攻击流量。

找到别人写在自己服务器上的shell,一般其他服务器也会有,可以去留后门。

Collected by 此名如此彪悍

如有侵权,请敬请告知!!

CTF线下赛AWD攻防准备相关推荐

  1. CTF线下赛AWD总结

    AWD 记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨. 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分. ...

  2. awd的批量脚本 pwn_CTF线下赛AWD套路小结

    CTF线下赛AWD套路小结 本文已在先知社区发表,欢迎访问,链接h 最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了. 一.AWD模式简介 AWD ...

  3. awd赛题的flag是什么意思_红帽杯线下赛AWD题目分析

    上周打了一场红帽杯的线下赛,可惜开具发挥失误服务器down了几轮一度垫底-最后才又勉强上了点儿分-..赛后对题目中的几处比较有意义的漏洞做了一下分析,写出了下面篇文章. web1 web1是一个wor ...

  4. ctf线下赛mysql密码_CTF线下攻防赛

    SSH登陆 两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改,改成炒鸡复杂.然后将Web目录下载下来,上WAF.文件监控.端口 ...

  5. CTF线下赛WAF【参考,自行修改】

    原文链接:http://www.cnblogs.com/Oran9e/p/7233478.html 作者:Oran9e 期待已久的WAF <?phperror_reporting(0);defi ...

  6. CTF线下AWD攻防模式的准备工作及起手式

    作为大一萌新我并没有打过AWD,可能我做梦都没有想到人生的第一场AWD是DEFCON CHINA吧~(滑稽 我自己在服务器上搭了一个cms来模拟AWD场景. 0X01 改ssh密码 官方在给出服务器密 ...

  7. ctf线下AWD攻防赛学习笔记

    Hello,我是普通Gopher,00后男孩,极致的共享主义者,想要成为一个终身学习者.专注于做最通俗易懂的计算机基础知识类公众号.每天推送Golang技术干货,内容起于K8S而不止于K8S,涉及Do ...

  8. CTF线下AWD攻防步骤总结

    Hello,我是普通Gopher,00后男孩,极致的共享主义者,想要成为一个终身学习者.专注于做最通俗易懂的计算机基础知识类公众号.每天推送Golang技术干货,内容起于K8S而不止于K8S,涉及Do ...

  9. ISCC线下赛参赛感悟

    关于ISCC线下赛参赛感悟(之前就想发出来了,但是一直没时间,刚好赶上了1024就浅浅发一下吧) 一句话感悟 我好菜呀,ctf菜,awd更菜. 关于CTF部分 总结: 大佬是真的牛,选择题290+,不 ...

最新文章

  1. paper 38 :entropy
  2. On-Heap与Off-Heap
  3. 企业Java应用服务器之JBoss7.1与Apahce整合
  4. 高性能的MySQL(2)慢查询
  5. 万字详解|手撕 9大排序算法!
  6. 在PyCharm下使用Jupyter Notebook
  7. .NET 技术社区之我见(中文篇)
  8. 用python生成的猜数字游戏
  9. 用python画三角函数
  10. linux系统双网卡不能同时启动,Linux下双网卡绑定eth0,eth1启动失败
  11. 用梯度下降求解最小二乘线性回归python实现
  12. Python:计算器(代码全+解析+实现结果)
  13. 基于transformor的拼音转汉字语言模型。
  14. 创新实训(6)——有关博客的摘要抽取的算法实现(TextRank)
  15. 超级学习者的6个习惯:快速深入地学习任何技能
  16. 神仙科研夫妇!浙大博士夫妻赴耶鲁深造,如今归国任教985
  17. 升级!鹏业云计价i20(西藏)软件V11.0.27版本
  18. React心得之降龙十八掌:第三式-见龙在田( 组件生命周期详解)
  19. Download Example
  20. MySQL时间戳和时间的获取/相互转换/格式化

热门文章

  1. 九连环问题c语言程序,九连环答案生成器的C源程序 (转)
  2. Android OpenGL ES(十一):绘制一个20面体
  3. AI巨头们建造的“新世界”,进展如何?
  4. python解二元一次方程_Python数据处理篇之Sympy系列(五)---解方程
  5. 阴阳师最新的服务器,阴阳师6月30日正式服务器更新内容一览
  6. Win10鼠标点一下文件夹或文件没有选中的那个蓝色,但还是能正常用,比如双击跟右键,点一下也有详细信息
  7. 住院病人主要由护士护理,这不仅需要大量的护士,而且不能随时观察危重病病情,会延误抢救时机以计算机为中心的患者监护系统,写出系统的可行性。并可以系统印出某个指定病人的病情报告。...
  8. Font Awesome html源码,如何将 Font Awesome 转成 PNG 图标 详细教程 含源代码_html/css_WEB-ITnose...
  9. 从maven私服(nexus)拉取jar文件,解析项目pom依赖信息
  10. centos(5) : centos7 使用yum安装mysql并开启远程连接及重置密码