虽然不是第一次接触AWD,但是在没有大佬的情况下作为web手参加正式比赛还是第一次,一方面暴露出了我对基础知识和技能掌握程度的低下,另一方面赛前做的许多准备和方针也没能在实战中顺利展现出来。总的来说就是太菜了被虐啦(ಥ _ ಥ)
比赛开始,惯例地先连ssh和ftp改密码、down源码,ssh一切顺利,但是ftp连接的时候一开始不知道什么缘故死活连不上,结果过了10分钟后在账密和连接方式都没变的情况下顺利连上了,不清楚是什么原因。如果说是网络波动的话,但是前两轮也有其他队伍连上了。
所以当我查看down下来的源码的时候理所当然地发现已经被种了不死马,D盾扫描结果如下
发现了后门当然是第一时间删除,虽然不死马一下子删不太掉但是至少把一些能删掉的删掉
再一看源码,发现web1是finecms,web2是wordpress。看到wordpress第一反应就是去看配置文件,结果一看发现配置文件里面第一句就是后门,也不清楚是官方留的送分题还是被别人替换了
改掉后门之后重新上传试图替换掉那个有问题的配置文件,结果传了几次无果才发现有坑,每次一上传原本只应该出现一次替换提示,结果出现了多次,替换完之后再看发现还是原来那个有洞的配置文件,应该是有人加了放修改的脚本了
一时找不到思路就转向web1。实际上这时候应该继续检查配置文件找出数据库密码之类,这也是我原本去找配置文件的目的,结果给忘掉了x
话说原本以为自己下了wp-scaner的结果比赛时一找发现没有orz
看了下扫描结果发现uploadfile是重灾区,结果自己在页面上找了半天找不到上传文件的地方
这个时候我们已经在每轮都在失分了,于是痛下决心找主办方恢复服务器
事实证明这个起到了不错的作用。恢复了服务器后,我趁着大佬们还没来攻击赶紧上了一个记录型的waf,然后又上了一个python写的防止文件修改的脚本。然而试图在web2里也这样做时却发现python版本不对无法运行....
到了下一轮时查看log就发现有攻击记录了
看来是个sql注入?总之先试图重现攻击,但是直到比赛结束我也不清楚这个到底是哪里的洞orz
拿到了payload在尝试补洞的同时自然也会想着去攻击,这时候我遇到了本次比赛最困扰我的地方——我不知道如何访问别人的网站!
首先想到的是直接输入对抗区的ip,结果发现会弹出一个登录框
我一开始以为这是攻击的一部分,想想又觉得不对劲。用比赛方提供的所有账号密码都试了一次均无效。然后看到比赛说明上有提到开放端口的问题,就开始用httpscan扫描端口
扫描结果没有截图,但是显示的都是401.于是我又使用nmap扫描各端口的状态,然后发现我的扫描对象除了ssh端口之外还有一个端口貌似是开放的,然后在ip后面加上这个端口号再尝试一下,结果返回timeout了....
好在那个防止文件被修改的脚本还是成功起了作用的样子,一直输出“找到webshell”而且web1确实有一段时间被攻击的频率开始下降,每轮只有两三支队伍能攻陷。问题在于,无论有几支队伍攻击,我们的失分都是10分...
防修改脚本
# -*- coding: utf-8 -*-
#use: python file_check.py ./
import os
import hashlib
import shutil
import ntpath
import time
CWD = os.getcwd()
FILE_MD5_DICT = {} # 文件MD5字典
ORIGIN_FILE_LIST = []
# 特殊文件路径字符串
Special_path_str = 'drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82'
bakstring = 'bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS'
logstring = 'log_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
webshellstring = 'webshell_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
difffile = 'diff_UMTGPJO17F82K35Z0LEDA6QB9WH4IYRXVSCN'
Special_string = 'drops_log' # 免死金牌
UNICODE_ENCODING = "utf-8"
INVALID_UNICODE_CHAR_FORMAT = r"\?%02x"
# 文件路径字典
spec_base_path = os.path.realpath(os.path.join(CWD, Special_path_str))
Special_path = {
'bak' : os.path.realpath(os.path.join(spec_base_path, bakstring)),
'log' : os.path.realpath(os.path.join(spec_base_path, logstring)),
'webshell' : os.path.realpath(os.path.join(spec_base_path, webshellstring)),
'difffile' : os.path.realpath(os.path.join(spec_base_path, difffile)),
}
def isListLike(value):
return isinstance(value, (list, tuple, set))
# 获取Unicode编码
def getUnicode(value, encoding=None, noneToNull=False):
if noneToNull and value is None:
return NULL
if isListLike(value):
value = list(getUnicode(_, encoding, noneToNull) for _ in value)
return value
if isinstance(value, unicode):
return value
elif isinstance(value, basestring):
while True:
try:
return unicode(value, encoding or UNICODE_ENCODING)
except UnicodeDecodeError, ex:
try:
return unicode(value, UNICODE_ENCODING)
except:
value = value[:ex.start] + "".join(INVALID_UNICODE_CHAR_FORMAT % ord(_) for _ in value[ex.start:ex.end]) + value[ex.end:]
else:
try:
return unicode(value)
except UnicodeDecodeError:
return unicode(str(value), errors="ignore")
# 目录创建
def mkdir_p(path):
import errno
try:
os.makedirs(path)
except OSError as exc:
if exc.errno == errno.EEXIST and os.path.isdir(path):
pass
else: raise
# 获取当前所有文件路径
def getfilelist(cwd):
filelist = []
for root,subdirs, files in os.walk(cwd):
for filepath in files:
originalfile = os.path.join(root, filepath)
if Special_path_str not in originalfile:
filelist.append(originalfile)
return filelist
# 计算机文件MD5值
def calcMD5(filepath):
try:
with open(filepath,'rb') as f:
md5obj = hashlib.md5()
md5obj.update(f.read())
hash = md5obj.hexdigest()
return hash
except Exception, e:
print u'[!] getmd5_error : ' + getUnicode(filepath)
print getUnicode(e)
try:
ORIGIN_FILE_LIST.remove(filepath)
FILE_MD5_DICT.pop(filepath, None)
except KeyError, e:
pass
# 获取所有文件MD5
def getfilemd5dict(filelist = []):
filemd5dict = {}
for ori_file in filelist:
if Special_path_str not in ori_file:
md5 = calcMD5(os.path.realpath(ori_file))
if md5:
filemd5dict[ori_file] = md5
return filemd5dict
# 备份所有文件
def backup_file(filelist=[]):
# if len(os.listdir(Special_path['bak'])) == 0:
for filepath in filelist:
if Special_path_str not in filepath:
shutil.copy2(filepath, Special_path['bak'])
if __name__ == '__main__':
print u'---------start------------'
for value in Special_path:
mkdir_p(Special_path[value])
# 获取所有文件路径,并获取所有文件的MD5,同时备份所有文件
ORIGIN_FILE_LIST = getfilelist(CWD)
FILE_MD5_DICT = getfilemd5dict(ORIGIN_FILE_LIST)
backup_file(ORIGIN_FILE_LIST) # TODO 备份文件可能会产生重名BUG
print u'[*] pre work end!'
while True:
file_list = getfilelist(CWD)
# 移除新上传文件
diff_file_list = list(set(file_list) ^ set(ORIGIN_FILE_LIST))
if len(diff_file_list) != 0:
# import pdb;pdb.set_trace()
for filepath in diff_file_list:
try:
f = open(filepath, 'r').read()
except Exception, e:
break
if Special_string not in f:
try:
print u'[*] webshell find : ' + getUnicode(filepath)
shutil.move(filepath, os.path.join(Special_path['webshell'], ntpath.basename(filepath) + '.txt'))
except Exception as e:
print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filepath)
try:
f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')
f.write('newfile: ' + getUnicode(filepath) + ' : ' + str(time.ctime()) + '\n')
f.close()
except Exception as e:
print u'[-] log error : file move error: ' + getUnicode(e)
# 防止任意文件被修改,还原被修改文件
md5_dict = getfilemd5dict(ORIGIN_FILE_LIST)
for filekey in md5_dict:
if md5_dict[filekey] != FILE_MD5_DICT[filekey]:
try:
f = open(filekey, 'r').read()
except Exception, e:
break
if Special_string not in f:
try:
print u'[*] file had be change : ' + getUnicode(filekey)
shutil.move(filekey, os.path.join(Special_path['difffile'], ntpath.basename(filekey) + '.txt'))
shutil.move(os.path.join(Special_path['bak'], ntpath.basename(filekey)), filekey)
except Exception as e:
print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filekey)
try:
f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')
f.write('diff_file: ' + getUnicode(filekey) + ' : ' + getUnicode(time.ctime()) + '\n')
f.close()
except Exception as e:
print u'[-] log error : done_diff: ' + getUnicode(filekey)
pass
time.sleep(2)
# print '[*] ' + getUnicode(time.ctime())
再次阅读我记录下的log后,我开始试着写一个过滤型的waf。理论上这玩意是会被判down机的,结果一次也没有,所以要么是这个waf根本没起到作用,要么就是不算down
根据这个waf的拦截记录,它无数次地拦下了敌人的攻击,但鉴于我们队伍还是一直有着失分,或许它根本没起到什么作用.....
不过话说开始拦截之后对手的payload变成了这种画风....
比赛慢慢来到了最后一小时,这个时候神奇的事情出现了。我的防修改脚本突然输出错误信息并停止了运行,然后我上去查看我的文件目录时,惊讶的发现我的目录少了好几个,原来8,9个目录只剩下了3个。正要用我的本地备份进行修复的时候发现我们的web1被判定为服务正常——而这时我登录自己的页面已经提示大量文件找不到了——但是没有down!
更神奇的是这之后再也没有人能成功在web1拿到flag,换言之我们的web1建立了坚固的防御——在我完全不知道发生了什么事的情况下
如果是有队伍为了降低其他队伍的得分量而帮我们补了洞,那么也应该每轮有至少一个攻击才对吧?所以要么是路过的大佬帮忙要么是触发了我上的防修改脚本的特殊功能....两种情况都奇幻得让人无法相信x
然后比赛就结束了。排名很惨淡,而且基本上都得算是我的锅。明明拿到了payload却无法修复漏洞,连攻击都做不到,表现十分糟糕。
之后要加把劲了啊