AWD认识和赛前准备

AWD介绍

AWD: Attack With Defence, 北赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利
用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。
一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下);
可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析;

flag在主办方的设定下每隔一定时间刷新一轮;
各队一般都有自己的初始分数
flag一旦被其他队伍拿走,该队扣除一定积分扣除的积分由获取flag的队五均分;
主办方会对每个队伍的服务进行check,服务启机扣除本轮flag分数,扣除的分值由服务check正常的队伍均分;
一般每个队伍会给一个低权限用户,非root权限

 网络环境

网络环境
比赛中获取flag一般有两种模式:
(1)flag在根目录下,读取ag内容,提交即可得分
(2)拿到其他队伍sheil后,执行指定命令(curl 10.0.0.2),即可从上图中flag机获取flag内容;
比赛可能会告诉你其他队伍的IP,也可能不会告诉你,一般在同一个C段或者B段,因此首先可以利用nmap等扫描工具发现其他队伍的IP:
nmap -sn 192.168.71.0/24
或者用https://github.com/zeroh/httpscan 的脚本进行扫描

AWD认识和赛前准备_第1张图片

 系统、服务日志分析

为什么需要日志分析?

日志分析最直主要的两个目的:

  • 网站安全自检查,了解服务器上正在发生的安全事件
  • 作为网站管理运维等人员必须实时的了解服务器的安全状况,避免造成不必要的损失。
  • 应急事件中的分析取证。
  • 当已经因为黑客攻击造成损失时,可以通过日志分析等各种应急措施尽量挽回损失如何进行日志分析 日志分析工具,记录log脚本。感知可能正在发生的攻击,从而规避存在的安全风险

 如何进行日志分析

日志分析工具,记录log脚本。感知可能正在发生的攻击,从而规避存在的安全风险

 脚本:

'.'访问链接:'.'http://'.$ip.$filename.'?'.$parameter."\r\n";

//log记录
$fh=fopen("log.txt","a");
fwrite($fh,$logadd);
fclose($fh);
?>

 工具:

 web日志取证分析工具 - 实验室 - 腾讯安全应急响应中心

日志分析中存在的难题

对于日志的安全分析, 可能会有如下几个问题:

  • 日志中POST数据是不记录的
  • 状态码虽然表示了响应状态,但是存在多种不可信情况,如服务器配置自定义状态码。
  • 攻击者可能使用多个代理IP
  • 无恶意webshell访问记录
  • 攻击者避开了关键字检索
  • APT攻击
  • 日志数据噪声

常用套路

比赛开始

  1. ssh连接上去,备份代码
  2. d盾查代码webshell,有shell就删除,然后快速利用
  3. 上log与waf,看情况是否上通防,如果check太严考虑是被别人攻击失分多还是宕机扣分多
  4. 上文件监控
  5. 有必要就数据库备份,数据库降权

比赛中期

  1. 自己的防护措施搞定后就不停地挖洞,要相信cs框架地洞是挖不完的
  2. 被打就看log,考虑上通防
  3. 中不死马就killall apache、ps aux|grep-v grep|grep-vPID|cut-c9-|5|   xargs kill -9

 准备的工具

  • ssh客户端(Xshell)、sftp|scp客户端
  • 攻击框架(批量打全场)(不死马,软连接马等也可以提前准备)
  • log与waf
  • 文件监控
  • d盾
  • cshell

waf参考:CTF——AWD模式小总结_awd网络安全-CSDN博客

 

你可能感兴趣的:(安全)