標籤: 生存之道
相關日誌
-
-
分享
AWD 线下攻防生存之道(Web 方向)
-
kensonmiao 2019-2-4 21:31
-
0x00 前言 本 Chat 将从实战的角度去讲解 AWD 比赛。AWD 攻防简单来说就是在一个线下的局域网中相互厮杀。守护自己服务,攻击甚至干掉其他人的服务。 0x01 简介 AWD 是 Attack with defence 的缩写,即要求在比赛的过程中攻守兼备,不可放弃任何一方。 如果只注重攻击而不重视防御,那么将会导致每轮你的得分几乎等于你的减分,排名很难有突破性的上升。 相反,如果只注重防御。那么前期排名可能会在一个中间的位置。但是,一但有人刷出一个你没有防御到的漏洞,同样也是凉凉。 0x02 比赛形式 俗话说,知己知彼方能百战不殆。所以正式开始之前一定要了解 AWD 比赛的常见形式。 比赛开始前会给每支队伍分配 SSH 账号,比赛开始用该账号登录服务器进行维护(多为 Linux 服务器)。 在服务器的某处有一个 flag 文件,默认没有权限修改,一般在根目录下。 主办方每隔一定时间,进行一轮刷新。一轮内一支队伍的 flag 只能被提交一次,flag 一旦被拿走将扣除该队的分数。 主办方会对服务进行 check,一般的判断标准就是服务是否还存在。 扣除的积分由获取 flag 的队伍均分。 0x03 团队分工 比赛中比较建议的分工是两个人进攻,一个人负责运维。接下来将从进攻和防御的角度来谈谈如何完成一场 CTF 比赛。但是该方式只是建议,比赛过程中应结合团队的具体能力进行合理分工。 防御 1. 比赛开始的一瞬间,登录 SSH 修改密码 Windows: PuTTY:https://the.earth.li/~sgtatham/putty/0.70/w64/putty.exe Linux: ssh -p:端口 用户名 @ip 地址 2. 上通防御 WAF、文件监控脚本流量、流量混淆脚本 (1) WAF WAF 的原理是通过过滤一些参数,来抵御大部分的攻击。挂 WAF 的原则是将其挂在尽可能多的被包含的 .php 文件中。比如 config.php。 打开某个文件在文件的头部添加 ?php include "waf.php" ; ? (2) 文件监控 文件监控脚本的功能是监控指定时间内修改的文件,将其删除。 在其监控的目录下直接运行。 (3) 流量混淆 在作者刚刚参加 CTF 比赛时,就有大佬告诉我:如果自己不会攻击的话,就去分析流量看别人是如何打你的。或者说,为了防止其他人偷窃你“辛苦的劳动成果”,此时流量混淆十分有必要。 这里安利一个链接: https://bbs.ichunqiu.com/thread-46072-1-1.html 3. 仔细查看文件 仔细查看 Web 目录下的文件,看看是否有一些可疑文件,比如一句话木马或者 .bak 文件等。 4. 根据队友的反馈,编写批量提交 flag 的脚本。同时根据队友反馈出来的漏洞进行及时的修补漏洞。 注意事项: 修补的时候不要随意的删除文件,很容易被 check。有些时候如果 WAF 过滤得严,也容易被 check。 有些比赛中可能有多台靶机(Web、二进制)可以根据情况,每人负责一台,各自进攻和防御。 进攻 进攻可以说比赛排名的关键,防御做得好的话,可以将排名维持在中等,此时比赛的排名就完全取决于进攻的人获取的分数。 1. 重要重要重要 下载源码、下载源码、下载源码。 如果一不小心被人删了源码,可以自己上传文件而不浪费重置的机会。而且比赛完成以后自己也可以搭建环境进行研究。 此时建议负责进攻的一人下载源码,可以利用 Filezilla 连接 FTP 进行下载。
-
0 個評論
