AWD参赛指南:
01. 赛制流程:攻防模式(AWD)常见于线下攻防。
一般比赛的具体环境会在开赛前半个小时由比赛主办方给出,前半个小时应熟悉配置环境。准备网线、网线转接口。
最好的防御就是攻击,不做好安全加固就会被吊打。
02. 赛前准备:
常用工具:(整理适合自己的)Burpsuite
sqlmap
nmap、masscan
nc
Chrome、Firefox各类插件
一句话木马:php
asp
aspx
jsp
内存马
py库、脚本:pwntools
requests
软waf
日志分析
Exp
SSH客户端:PuTTY
XShell
编辑器:Sublime
VS Code
Notepad++
Vim
个人知识库
常见应用源码库
Writeup集合
基础知识:语言运用:编写自动化脚本等……
WEB安全:熟悉常见漏洞类型、常见框架……
pwn型:需要较好的底层基础、懂汇编等,需要理解各种堆栈溢出的原理、基础密码学……
中间件:apache、nginx、tomcat、jboss、weblogic
语言基础:php、java、python
常见web应用:phpmyadmin、dedecms、phpcms、帝国cms、Discuz
linux命令:netstat -tulpn 、ps -ef
Gamebox:系统:ubuntu、centos
中间件、版本:apache \ nginx
php \ php-fpm
tomcat \ jboss \ weblogic
web程序
数据库:MySQL \ MariaDB \ Oracle
Redis \ MongoDB
03. 常见加固方式:
加固流程:修改网站管理员密码
备份网站源码tar -zcf /tmp/name.tar.gz /path/web
tar -zcf /tmp/name.tar.gz /var/www/html
备份数据库mysqldump -u 用户名 -p 数据库名 > 导出的文件名
mysqldump -u user -p database > /tmp/database.sql
修改ssh密码(即修改当前用户密码)
修改MySQL密码set password for 用户名@localhost = password('新密码');
set password for user@localhost = password('123');
修改MongoDB密码(27017端口)
修改Redis密码(6379端口)
修改网站源码中的数据库连接配置
部署waf(视情况而定)准备一个软waf
如何使用phpwaf.php找到CMS/框架通用配置文件进行包含:PHPCMS V9:\phpcms\base.php
PHPWIND8.7:\data\sql_config.php
DEDECMS5.7:\data\common.inc.php
DiscuzX2:\config\config_global.php
WordPress:\wp-config.php
Metinfo:\include\head.php
修改php.ini文件后重启(高权限):禁用敏感函数:
disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname
自动包含waf:
auto_prepend_file = safe.php路径;
分析日志文件
文件监控准备一个脚本,监控并删除所有新增文件。
发现内存马,直接重启php。
若监控脚本无法使用,使用命令定期查看新增与修改文件。
find web路径 -ctime -1 (查看最近一日新增的文件,是否可疑)
修改目录权限:(可能会违规)chmod -R 644 www
04.攻防演练:
如何获得flag?
在实际比赛中,一般有两种方式获取flag,一种是先获取webshell权限,然后去读flag文件,另一种则是直接通过漏洞读取flag文件。Getshell:官方后门、文件上传
文件写入、文件包含
命令注入、反序列化
Redis写shell
Mysql写shell
直接读文件:SSRF
任意文件读取
XXE
文件包含
Sqli
1. web后门:
在任意APP的某个文件的源码中加上一句话后门。@eval($_POST[‘XXX’]);
@assert($_POST[‘XXX’]);
system($_REQUEST[‘CMD’]);
对于这种类型的漏洞,只要用正则遍历匹配就能找到
grep -r "eval\(\$_"
或者还有一些复杂变异的后门,这种情况就可以选择使用D盾Webshell查杀或者SafeDog之类的工具对源码进行扫描。只要删掉就可以解决。
2. 系统后门NC后门
SSH后门
suid后门
3. webshell:内存马:不断生成shell文件
Webshell密码:给Webshell增加密码,增加一个password参数MD5
4. 文件上传:一般上传:各种绕过方式一定要熟悉
常见改包、解析漏洞、图片渲染、逻辑文件(双文件上传)、条件竞争
防护方式——白名单、禁止上传目录执行权限、上传于Web目录外
5. 文件写入:缓存:存在缓存机制,后缀名为php,直接代码执行。
-配置文件:单引号内:输入单引号,尝试逃逸。如'+@phpinfo()+'
双引号内:输入会被解析的符号。如${@phpinfo()}
模板文件:模板被包含,getshell。
创建新文件时无校验后缀名。
日志:日志以php后缀保存,X-Forwarded-For来伪造ip植入木马。
6. 命令注入/反序列化:
PHP中使用unserialize函数对数据进行反序列化,反序列化过程类的__wakeup方法与__destruct方法会被调用。
7. 文件读取:SSRF:存在服务器请求伪造漏洞时,可使用file协议读取本地文件。
http://127.0.0.1/read.php?url=file:///flag
SQL注入:目标存在SQL注入时,可尝试直接读取flag。
常规注入、盲注、二次注入、insert注入、http头注入
读取
select load_file()
写入
select outfile()
select dumpfile()
8. 困难漏洞:
有时候出题者会直接丢一个0day,现场审计。
找不到漏洞没关系,上Waf保平安,时刻关注你的日志记录,NPC也会打出攻击流量。
找到别人写在自己服务器上的shell,一般其他服务器也会有,可以去留后门。
Collected by 此名如此彪悍
相关