记第一次线下赛

今天第一次打AWD比赛，全靠大佬carry，学到很多姿势（没错，包括腰酸脖子疼！真的是很诡异了），挺有意思的，稍微记录总结一下。

AWD

attack with defence赛制，也就是ctf线下赛。
比赛形式：一般就是一个ssh对应一个web服务，然后flag五分钟一轮，各队一般都有自己的初始分数，flag被拿会被拿走flag的队伍均分，主办方会对每个队伍的服务进行check，check不过就扣分，扣除的分值由服务check正常的队伍均分。

比赛环境 网络拓扑图

计网没学好的后遗症，哇，刚开始一直分不清网段，不知道对手在哪，一脸懵逼简直生无可恋。所以，要分清区段和端口！！！

网络拓扑图.png

维护的时候需要连接到本队 GameBox 所在网段上，根据主办方提供的 CTF 账号与密码登录。而与其他队伍的 GameBox 交互时则需要连接到对应的网段里与漏洞程序进行交互。提交 flag 则需要到指定的答题平台上提交。

答案提交形式

1. 攻破其他选手的GameBox,并在GameBox上寻找flag文件；
2. 在答题页面上登陆后提交flag；
3. 比赛提供自动提交flag的接口，接口地址需要使用post方式提交，并需要两个参数：answer和token；
   这次比赛就是靠大佬写的脚本批量提交flag，排名蹭蹭往上涨～
4. flag每轮次刷新。

“涨姿势”

来来来，敲黑板，划重点！

备份

比赛开始后第一时间备份服务器中web目录下的文件(/var/www/html)，这是自我审计的基础，也是防止服务器在比赛中出现异常的情况下可以立即恢复到初始状态的先决条件。有的比赛可以提供3次左右的恢复初始设置的机会，有的比赛不提供，所以备份十分重要。

可以用ssh user@hostname命令，也可以用图形化工具xshell等。

找主机

 nmap –sn 192.168.71.0/24

预留后门

将服务器中web目录下载到本地，利用D盾扫描，一般就可以发现预留后门。
发现后门后，第一时间删除或者注释掉，同时利用这个漏洞发起第一波攻击。

挂waf

没看清大佬操作，以后再补0.0

口令问题

弱口令的问题几乎是必考，比赛开始后，如果发现每个队伍的SSH账号密码都是一样的（某次比赛中都是phpcms、wordpress），需要立即修改口令，如果被其他队伍改了那就gg了。Web后台很有可能存在弱口令，一般都是admin/admin,admin/123456,test/test等等，同样需要立即修改，也可以修改其他队伍的后台口令，为本队所用，说不定可以利用后台getshell，比如十分常见的wordpress。

文件监控 日志分析

除了感知攻击，嘿嘿嘿，最重要的是“抄作业”。
然后一定注意权限！

审计

常见的cms漏洞要熟悉，然后一般漏洞包括SQL注入、文件包含、文件上传等等。

关注 Gamebox 状态

一定要注意关注本队Gamebox状态，后面因为服务器down掉了超级多分（论全程一脸懵逼的我的心理阴影面积）就很蓝瘦。。。

相关链接

https://ctf-wiki.github.io/ctf-wiki/introduction/experience.html
http://bobao.360.cn/ctf/detail/169.html
https://www.t00ls.net/articles-40843.html
http://mp.weixin.qq.com/s/q6xwmkADGnbHJQRbPblaHg

感悟

挺开心的一天下来，虽然刚开始因为没带mac的网线转换头沮丧了很久，但是江sir人真的超好啊（没错，就是我队大佬！），不嫌弃拖后腿的我这个小辣鸡，还陪着我到处跑去买转换头。全程看大佬操作，还超nice的讲解，这波很值啊！明天把环境本地复现再玩玩，具体的比赛内容回头补篇笔记，嘿嘿嘿。然后代码审计、脚本编写很很很重要，一些常见的题目漏洞类型要好好掌握（sql、文件包含、各种rce、文件上传），就酱紫～还是希望能趁着大三上学期再多玩玩多学点，怀挺！

2017-12-08