CTF线下AWD攻防步骤总结
Hello,我是普通Gopher,00后男孩,极致的共享主义者,想要成为一个终身学习者。专注于做最通俗易懂的计算机基础知识类公众号。每天推送Golang技术干货,内容起于K8S而不止于K8S,涉及Docker、微服务、DevOps、数据库、虚拟化等云计算内容及SRE经验总结
=======================
初次见面,我为你准备了100G学习大礼包:
1、《百余本最新计算机电子图书》
2、《30G Golang学习视频》
3、《20G Java学习视频》
4、《90G Liunx高级学习视频》
5、《10G 算法(含蓝桥杯真题)学习视频》
6、《英语四级,周杰伦歌曲免费送!》
路过麻烦动动小手,点个关注,持续更新技术文章与资料!
ctf线下AWD攻防赛学习笔记:https://blog.csdn.net/qq_43442524/article/details/102653414
CTF AWD模式下简单的CMS代码审计:https://blog.csdn.net/qq_43442524/article/details/102409351
AWD竞赛
前半个小时应熟悉配置环境。准备网线、网线转接口
最好的防御就是攻击,一定要做好安全加固
本次记录的目的是为了给自己一个月来的准备弄个交代,感觉自己跟大佬们差的很远,只拿了三等,往后的路还很长,还是需要亿点点的努力,无限进步.
工具链接:
https://github.com/PlutoaCharon/AWD-Attack-Defense
赛前准备
常用工具:
- Burpsuite
- sqlmap
- nmap、masscan
- nc
- D盾
- Xshell、Xftp
- 菜刀或蚁剑
- Chrome、Firefox各类插件
一句话木马:
- php
- asp
- aspx
- jsp
- 内存马
代码比较工具:
BeyondCompare(windows)
Kaleidoscope(mac)
提前准备好各种cms的poc exp (因为你们不允许联网)phpwin phpcms dz
CMS_POC
防守步骤
0x00 ssh登陆,修改密码
普通用户提权成root,根据kernel版本号找到对应的poc,exp提权
0x01 下载源码,备份,/var/www/html 目录
定时备份源码:
#!/bin/bash
while [ 1 ]
do
time=`/bin/date +%H-%M-%S`
bak_file="/var/www/$time.tar.gz"
webdir="/var/www/html"
tar zcvf $bak_file $webdir >/dev/null 2>&1 &
sleep 60 //一分钟备份一次
done
备份数据库
1、找数据库配置文件,找到db_name、db_user
和db_passwd
2、登陆数据库,命令备份数据库:
mysqldump -u db_user -p db_passwd db_name > bak.sql//备份指定数据库
cd /var/lib/mysql
mysqldump -u db_user -p db_passwd > bak.sql//先进入数据库目录再备份
mysqldump --all-databases > bak.sql //备份所有数据库
3、还原数据库:
mysql -u db_user -p db_passwd db_name < bak.sql //还原指定数据库
cd /var/lib/mysql
mysql -u db_user db_passwd < bak.sql //先进入数据库目录再还原
还有一种方法:
mysql -u db_name -p
input passwd 进入mysql控制台mysql>
mysql> show databases;看看有哪些数据库
mysql> create database test ; 建立要还原的数据库
mysql> use test;切换到刚创建的数据库
mysql> source test.sql; 导入数据库
关闭 MySQL 远程登录
# mysql -u root -p
mysql> use mysql;
mysql> update user set host = 'localhost' where user='root' and host='%';
mysql> flush privileges;
mysql> exit;
隐藏用户
查看home目录下是否有其他用户
/etc/passwd是否有/bin/bash的用户
0x02 扫描预留后门,御剑,k8飞刀,D盾,扫描目录,发现后门,注释代码
# 简单的查找后门
find . -name '*.php' | xargs grep -n 'eval('
find . -name '*.php' | xargs grep -n 'assert('
find . -name '*.php' | xargs grep -n 'system('
0x03 修改数据库密码
mysql -u root -p
Show databases;
use mysql;
set password for root@localhost = password('123'); 或者
update user set password = PASSWORD('要更换的密码') where user = 'root';
flush privileges;
show tables;可能有flag。
select * from typecho_flag;
0x04 关闭不必要的端口,要求的服务端口不能关
netstat -napt ,lsof -i
查看端口,
kill -9 PID
杀掉进程
nmap -sV ip地址
(-sV参数可以探测目标主机的服务器版本)
nmap
扫描对方开启的端口,21,22,21,3306,进行爆破
msfconsole
进入metasploit
,hydra
可以对22端口进行爆破
0x05 代码审计,使用seay源代码审计,或者Rips代码审计
可以参考我写的这篇博客
Rips工具使用
0x06 木马查杀
关于木马
- 关注服务的可用性状况
- 查看文件监控情况
- 在被攻击的时候进行响应,保存相应的流量,查找/清除后门
建议使用apache用户来删除
通过文件监控查看系统异常情况
文件监控脚本
# -*- coding: utf-8 -*-
#use: python file_check.py ./import os
import hashlib
import shutil
import ntpath
import timeCWD = os.getcwd()
FILE_MD5_DICT = {} # 文件MD5字典
ORIGIN_FILE_LIST = []# 特殊文件路径字符串
Special_path_str = 'drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82'
bakstring = 'bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS'
logstring = 'log_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
webshellstring = 'webshell_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
difffile = 'diff_UMTGPJO17F82K35Z0LEDA6QB9WH4IYRXVSCN'Special_string = 'drops_log' # 免死金牌
UNICODE_ENCODING = "utf-8"
INVALID_UNICODE_CHAR_FORMAT = r"\?%02x"# 文件路径字典
spec_base_path = os.path.realpath(os.path.join(CWD, Special_path_str))
Special_path = {'bak' : os.path.realpath(os.path.join(spec_base_path, bakstring)),'log' : os.path.realpath(os.path.join(spec_base_path, logstring)),'webshell' : os.path.realpath(os.path.join(spec_base_path, webshellstring)),'difffile' : os.path.realpath(os.path.join(spec_base_path, difffile)),
}def isListLike(value):return isinstance(value, (list, tuple, set))# 获取Unicode编码
def getUnicode(value, encoding=None, noneToNull=False):if noneToNull and value is None:return NULLif isListLike(value):value = list(getUnicode(_, encoding, noneToNull) for _ in value)return valueif isinstance(value, unicode):return valueelif isinstance(value, basestring):while True:try:return unicode(value, encoding or UNICODE_ENCODING)except UnicodeDecodeError, ex:try:return unicode(value, UNICODE_ENCODING)except:value = value[:ex.start] + "".join(INVALID_UNICODE_CHAR_FORMAT % ord(_) for _ in value[ex.start:ex.end]) + value[ex.end:]else:try:return unicode(value)except UnicodeDecodeError:return unicode(str(value), errors="ignore")# 目录创建
def mkdir_p(path):import errnotry:os.makedirs(path)except OSError as exc:if exc.errno == errno.EEXIST and os.path.isdir(path):passelse: raise# 获取当前所有文件路径
def getfilelist(cwd):filelist = []for root,subdirs, files in os.walk(cwd):for filepath in files:originalfile = os.path.join(root, filepath)if Special_path_str not in originalfile:filelist.append(originalfile)return filelist# 计算机文件MD5值
def calcMD5(filepath):try:with open(filepath,'rb') as f:md5obj = hashlib.md5()md5obj.update(f.read())hash = md5obj.hexdigest()return hashexcept Exception, e:print u'[!] getmd5_error : ' + getUnicode(filepath)print getUnicode(e)try:ORIGIN_FILE_LIST.remove(filepath)FILE_MD5_DICT.pop(filepath, None)except KeyError, e:pass# 获取所有文件MD5
def getfilemd5dict(filelist = []):filemd5dict = {}for ori_file in filelist:if Special_path_str not in ori_file:md5 = calcMD5(os.path.realpath(ori_file))if md5:filemd5dict[ori_file] = md5return filemd5dict# 备份所有文件
def backup_file(filelist=[]):# if len(os.listdir(Special_path['bak'])) == 0:for filepath in filelist:if Special_path_str not in filepath:shutil.copy2(filepath, Special_path['bak'])if __name__ == '__main__':print u'---------start------------'for value in Special_path:mkdir_p(Special_path[value])# 获取所有文件路径,并获取所有文件的MD5,同时备份所有文件ORIGIN_FILE_LIST = getfilelist(CWD)FILE_MD5_DICT = getfilemd5dict(ORIGIN_FILE_LIST)backup_file(ORIGIN_FILE_LIST) # TODO 备份文件可能会产生重名BUGprint u'[*] pre work end!'while True:file_list = getfilelist(CWD)# 移除新上传文件diff_file_list = list(set(file_list) ^ set(ORIGIN_FILE_LIST))if len(diff_file_list) != 0:# import pdb;pdb.set_trace()for filepath in diff_file_list:try:f = open(filepath, 'r').read()except Exception, e:breakif Special_string not in f:try:print u'[*] webshell find : ' + getUnicode(filepath)shutil.move(filepath, os.path.join(Special_path['webshell'], ntpath.basename(filepath) + '.txt'))except Exception as e:print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filepath)try:f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')f.write('newfile: ' + getUnicode(filepath) + ' : ' + str(time.ctime()) + '\n')f.close()except Exception as e:print u'[-] log error : file move error: ' + getUnicode(e)# 防止任意文件被修改,还原被修改文件md5_dict = getfilemd5dict(ORIGIN_FILE_LIST)for filekey in md5_dict:if md5_dict[filekey] != FILE_MD5_DICT[filekey]:try:f = open(filekey, 'r').read()except Exception, e:breakif Special_string not in f:try:print u'[*] file had be change : ' + getUnicode(filekey)shutil.move(filekey, os.path.join(Special_path['difffile'], ntpath.basename(filekey) + '.txt'))shutil.move(os.path.join(Special_path['bak'], ntpath.basename(filekey)), filekey)except Exception as e:print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filekey)try:f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')f.write('diff_file: ' + getUnicode(filekey) + ' : ' + getUnicode(time.ctime()) + '\n')f.close()except Exception as e:print u'[-] log error : done_diff: ' + getUnicode(filekey)passtime.sleep(2)# print '[*] ' + getUnicode(time.ctime())
不死马清理:
ps aux www|grep shell.php
找到pid后杀掉进程就可以,你删掉脚本是起不了作用的,因为php执行的时候已经把脚本读进去解释成opcode运行了
重启php等web服务
用一个ignore_user_abort(true)
脚本,一直竞争写入(断断续续)。usleep要低于对方不死马设置的值。
创建一个和不死马生成的马一样名字的文件夹。
不死马、waf、抓流量的waf
不死马使用原理就是不断将的自己写入,造成进程占用,被删除后一秒就已经生成新的了,还有就是.XXX文件建立隐藏文件不死马。
waf,脚本waf可以防止一般情况下的危险字符,但是不能报太大希望,
require_once('waf.php');
抓流量waf,挂载后可以让防守队员_实时关注日志,一旦发现被getflag了,就通过日志相应的手法攻击别人
waf脚本
PHPWaf用来记录访问请求,通过分析访问请求来判断对方的攻击方式,作用是感知漏洞,判断攻击方式,从而修复漏洞。
<?php//部署waf可能会导致服务不可用,需要谨慎部署。error_reporting(0);define('LOG_FILENAME','log.txt');function waf(){if (!function_exists('getallheaders')) {function getallheaders() {foreach ($_SERVER as $name => $value) {if (substr($name, 0, 5) == 'HTTP_')$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;}return $headers;}}$get = $_GET;$post = $_POST;$cookie = $_COOKIE;$header = getallheaders();$files = $_FILES;$ip = $_SERVER["REMOTE_ADDR"];$method = $_SERVER['REQUEST_METHOD'];$filepath = $_SERVER["SCRIPT_NAME"];//rewirte shell which uploaded by others, you can do moreforeach ($_FILES as $key => $value) {$files[$key]['content'] = file_get_contents($_FILES[$key]['tmp_name']);file_put_contents($_FILES[$key]['tmp_name'], "virink");}unset($header['Accept']);//fix a bug$input = array("Get"=>$get, "Post"=>$post, "Cookie"=>$cookie, "File"=>$files, "Header"=>$header);//deal with$pattern = "select|insert|update|delete|and|or|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex";$pattern .= "|file_put_contents|fwrite|curl|system|eval|assert";$pattern .="|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore";$pattern .="|`|dl|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec";$vpattern = explode("|",$pattern);$bool = false;foreach ($input as $k => $v) {foreach($vpattern as $value){foreach ($v as $kk => $vv) {if (preg_match( "/$value/i", $vv )){$bool = true;logging($input);break;}}if($bool) break;}if($bool) break;}}function logging($var){file_put_contents(LOG_FILENAME, "\r\n".time()."\r\n".print_r($var, true), FILE_APPEND);// die() or unset($_GET) or unset($_POST) or unset($_COOKIE);}waf();
?>
waf的激活方式:
1. php.ini选项:auto_prepend_file =与auto_append_file =包含waf,需要权限较高。2. config.php 中包含waf3. 让所有的文件都包含waf
0x07流量分析
- 查看当前访问量前十的链接
cat /var/log/apache2/access.log | cut -f4 -d | sort | uniq -c | sort -k -r | head -
文件监控增删改查的文件使用脚本Monitor(一个简单的文件监控示例脚本,可以监控创建、删除、移动、属性修改操作,自动删除新增文件或目录。已使用pyinstaller打包成了linux可执行程序)
chattr +i 命令锁死网站目录和文件,防止其他队伍删除网站宕机。注:添加后不取消特殊权限 即使是root用户也无法删除/修改文件
chattr -R +i /var/www/html
chattr -R +i /var/www/html/*
(取消命令将+号改成- chattr -R -i /var/www/html)使用waf全局包含waf,注意waf的日志和weblogger日志与第二项文件监控冲突,建议建立文件夹将日志和weblogger日志放到指定文件夹中,避开文件监控,
sudo find /var/www/html/path_you_want -type f -path “*.php” | xargs sed -i “s/<?php/<?php\nrequire_once(’/tmp/waf.php’);\n/g”
#意思就是查找需要加waf的目录下所有php文件,在头部添加一句,用require_once函数引入/tmp/waf.php文件。因为sed命令利用 / 区分文件中的原字符串和修改的字符串,所以我们要对 / 进行转义。类似于在单引号中再次使用单引号时我们也要用反斜杠转义。后台一定要登陆后台,有没有弱口令,修改成强口令。
不只是后台,phpmyadmin、测试页面容易出现sql注入,rce之类的这些
AWD资源小合集:
https://neversec.top/20190415/how-to-awd.html
参考网站:
https://blog.csdn.net/qq_42114918/article/details/82785960#comments
https://blog.csdn.net/qq_43625917/article/details/96158713
http://www.admintony.com/AWD%E8%A5%BF%E7%9F%B3%E6%B2%B9%E7%BA%BF%E4%B8%8B%E8%B5%9B%E6%80%BB%E7%BB%93.html
https://blog.csdn.net/like98k/article/details/80261603
http://www.8sec.cc/index.php/archives/97/
CTF线下AWD攻防步骤总结相关推荐
- ctf线下AWD攻防赛学习笔记
Hello,我是普通Gopher,00后男孩,极致的共享主义者,想要成为一个终身学习者.专注于做最通俗易懂的计算机基础知识类公众号.每天推送Golang技术干货,内容起于K8S而不止于K8S,涉及Do ...
- CTF线下AWD攻防模式的准备工作及起手式
作为大一萌新我并没有打过AWD,可能我做梦都没有想到人生的第一场AWD是DEFCON CHINA吧~(滑稽 我自己在服务器上搭了一个cms来模拟AWD场景. 0X01 改ssh密码 官方在给出服务器密 ...
- CTF线下赛AWD攻防准备
CTF线下赛AWD攻防准备 最近发现一篇博客.感觉对CTF线下赛-AWD模式,总结比较好.于是学习了解了一下,为了方便寻找,把这篇博客复制了过来,并补充了点... 1.赛制流程:攻防模式(AWD)常见 ...
- CTF线下赛AWD总结
AWD 记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨. 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分. ...
- 第一次参加CTF线下比赛的三剑客,都经历了....
前言 赛事名称:第三届广东省强网杯 参赛人员:破壳学员-罗(我).破壳学员-香.破壳学员-白 单纯给大家分享第一次参加ctf线下比赛的过程以及总结的经验 启程:深圳-广州 21日的下午2点,因为日常拖 ...
- 记第一次线下AWD感受及复现
前言: 之前忙于期末复习,没有及时总结当时参赛的感受及复现,这次就来总结一下. 第一次参赛线下AWD感受 由于是第一次参加AWD比赛,各方面经验都不足,在参赛的前几天也是疯狂搜集各种脚本.框架.工具等 ...
- 记SWPU2021 GFCTF线下AWD赛
文章目录 准备(复习基础和熟悉流程,记录思路) 流程介绍 攻击流程 信息收集 端口攻击 Web 攻击 维持权限 防守流程 加固思路 登录服务器SSH 下载源码并备份(FileZilla-Sftp-询问 ...
- ctf线下赛mysql密码_CTF线下攻防赛
SSH登陆 两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改,改成炒鸡复杂.然后将Web目录下载下来,上WAF.文件监控.端口 ...
- 代码审计-四叶草杯线下awd比赛源码web2
今晚简单来看看那天比赛的源码吧,比赛的时候还是有些慌没有好好去静下心看代码. awd给的题中的漏洞,都是那种可以快速让你利用拿到权限后得到flag的那种,特别复杂利用的一般没有. 建议先黑盒去尝试,例 ...
最新文章
- 编写优质代码的 6 大关键方法
- iOS架构-静态库.a 和.framework的区别(0)
- 机器学习——梯度下降算法
- Flex+J2EE获取FlexSession的方法
- 首发:深度学习测试题中英对照版
- JS图片放大查看效果!
- SQL Server 2008空间数据应用系列四:基础空间对象与函数应用
- Java中常用的类,包,接口
- Gin实践 番外 Golang交叉编译
- Web安全实践(6)web应用剖析之信息提炼
- java simpledateformat 中文_[转载]java中Date,SimpleDateFormat
- c# implicit explicit关键字(隐式和显式数据类型转换)
- 用Intel线程构建块进行安全、可伸缩性的并行编程
- C#网易云音乐中需付费歌曲的下载助手。
- 简述JVM垃圾回收机制
- 面向大规模商业系统的数据库设计和实践
- mindmanager2021下载 最新版如何更新
- C++学习(一八一)android的NDK、SDK版本的对应关系
- 中国车牌号的分类说明识别及含义
- java面试题汇总 java面试题集合 - 网络收集