近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。

一、 AWD模式简介

AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。

  1. 一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下);
  2. 可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析;
  3. flag在主办方的设定下每隔一定时间刷新一轮;
  4. 各队一般都有自己的初始分数;
  5. flag一旦被其他队伍拿走,该队扣除一定积分;
  6. 扣除的积分由获取flag的队伍均分;
  7. 主办方会对每个队伍的服务进行check,服务宕机扣除本轮flag分数,扣除的分值由服务check正常的队伍均分;
  8. 一般每个队伍会给一个低权限用户,非root权限;

二、 网络环境

网络拓扑如下图所示:

比赛中获取flag一般有两种模式:

(1)flag在根目录下,读取flag内容,提交即可得分

(2)拿到其他队伍shell后,执行指定命令(curl 10.0.0.2),即可从上图中flag机获取flag内容;

比赛可能会告诉你其他队伍的IP,也可能不会告诉你,一般在同一个C段或者B段,因此首先可以利用nmap等扫描工具发现其他队伍的IP:

nmap –sn 192.168.71.0/24

或者用https://github.com/zer0h/httpscan 的脚本进行扫描

三、 比赛分工

线下赛一般3人左右,2人攻击,1人防御,因为发现的漏洞可以攻击其他队伍,也要进行修复,所以攻防相辅相成,以攻为守。

比赛中每个队伍可能会维护多个靶机,web、二进制等,也可以每人负责一台,各自负责攻击和防御。

四、 一些“套路”

  1. 备份!备份!备份!

重要的事情说三遍,比赛开始后第一时间备份服务器中web目录下的文件(/var/www/html),这是自我审计的基础,也是防止服务器在比赛中出现异常的情况下可以立即恢复到初始状态的先决条件。有的比赛可以提供3次左右的恢复初始设置的机会,有的比赛不提供,所以备份十分重要。

可以用scp命令,也可用一些图形化的工具:Winscp,FileZilla,操作起来比较方便。

  1. 口令问题

弱口令的问题几乎是必考,比赛开始后,如果发现每个队伍的SSH账号密码都是一样的(某次比赛中都是phpcms、wordpress),需要立即修改口令,如果被其他队伍改了那就gg了。

Web后台很有可能存在弱口令,一般都是admin/admin,admin/123456,test/test等等,同样需要立即修改,也可以修改其他队伍的后台口令,为本队所用,说不定可以利用后台getshell,比如十分常见的wordpress。

不过有的比赛不允许修改后台口令,如果修改视为服务宕机,这样还是不要动口令的心思了。

  1. 预留后门

在维护的服务器上,很有可能已经预留了一个或多个后门,比如一句话木马,这个是送分题,可以利用这个漏洞迅速打一波,还可以视情况“搅屎”,利用这个漏洞一直维持权限,每轮都得分(后面细说)

将服务器中web目录下载到本地,利用D盾扫描,一般就可以发现预留后门:

发现后门后,第一时间删除,同时利用这个漏洞发起第一波攻击,如果利用菜刀连,显然不够优雅,还没连完,人家估计都删的差不多了,因此这个漏洞虽然是送分,但拼的是手速,因此得提前准备好脚本:

配置一下其他队伍地址、shell路径和密码,就可以进行攻击,flag记录在firstround_flag.txt中,某次比赛实际情况如下:

  1. 常见漏洞

常见的漏洞包括SQL注入、文件包含、文件上传等等。对于SQL注入类的漏洞,一般不会有过滤,可以用sqlmap跑出来,再利用—sql-shell执行select load_file(‘/flag’);即可得到flag,也可以利用into outfile写木马维持权限,但要根据实际情况,可能会遇到权限问题。用sqlmap跑比较耗时,可以利用payload写一个python,自动化进行攻击:

对于文件包含漏洞,直接可以通过../../../../../../flag的方式获取:

上传漏洞一般也是比较简单的黑名单过滤、服务器解析漏洞等等,可以直接上传木马;

五、 权限维持

这里说的方法就比较“搅屎”了,上面说到利用预留后门可以维持权限,主要有两种,一种是“不死马”,另一种是反弹shell

  1. “不死马”

利用预留后门,上传上面的“不死马”并访问,就会一直生成.config.php的一句话木马,木马内容可以自行修改,只要别被其他队伍看懂就行。

这个不死马比较猥琐,解决的方法需要重启apache,或者写一个程序不停kill这个不死马进程。

  1. 反弹shell


利用预留后门上传上面的php文件并访问,就可以用nc反弹shell,之后就可以一直得分了

需要注意的是,上面的2种方法,需要网站的权限为www-data,如果网站的权限是ctf,那么是没有权限上传文件的。

六、 通用防御

对于防御,一般通用有两种方法:WAF、文件监控

(1)WAF


使用方法:

1.将waf.php传到要包含的文件的目录

2.在页面中加入防护,有两种做法,根据情况二选一即可:

a).在所需要防护的页面加入代码

require_once('waf.php');

就可以做到页面防注入、跨站

如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!

添加require_once('waf.php');来调用本代码

常用php系统添加文件

PHPCMS V9 \phpcms\base.php

PHPWIND8.7 \data\sql_config.php

DEDECMS5.7 \data\common.inc.php

DiscuzX2   \config\config_global.php

Wordpress   \wp-config.php

Metinfo   \include\head.php

b).在每个文件最前加上代码

在php.ini中找到:

Automatically add files before or after any PHP document.

auto_prepend_file = 360_safe3.php路径;

需要注意的是,部署waf可能会导致服务不可用,需要谨慎部署。

(2)文件监控

文件监控可以对web目录进行监控,发现新上传文件或者文件被修改立即恢复,这样可以防止上传shell等攻击:

# -*- coding: utf-8 -*-

#use: python file_check.py ./

import os

import hashlib

import shutil

import ntpath

import time

CWD = os.getcwd()

FILE_MD5_DICT = {}      # 文件MD5字典

ORIGIN_FILE_LIST = []

# 特殊文件路径字符串

Special_path_str = 'drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82'

bakstring = 'bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS'

logstring = 'log_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'

webshellstring = 'webshell_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'

difffile = 'diff_UMTGPJO17F82K35Z0LEDA6QB9WH4IYRXVSCN'

Special_string = 'drops_log'  # 免死金牌

UNICODE_ENCODING = "utf-8"

INVALID_UNICODE_CHAR_FORMAT = r"\?%02x"

# 文件路径字典

spec_base_path = os.path.realpath(os.path.join(CWD, Special_path_str))

Special_path = {

    'bak' : os.path.realpath(os.path.join(spec_base_path, bakstring)),

    'log' : os.path.realpath(os.path.join(spec_base_path, logstring)),

    'webshell' : os.path.realpath(os.path.join(spec_base_path, webshellstring)),

    'difffile' : os.path.realpath(os.path.join(spec_base_path, difffile)),

}

def isListLike(value):

    return isinstance(value, (list, tuple, set))

# 获取Unicode编码

def getUnicode(value, encoding=None, noneToNull=False):

    if noneToNull and value is None:

        return NULL

    if isListLike(value):

        value = list(getUnicode(_, encoding, noneToNull) for _ in value)

        return value

    if isinstance(value, unicode):

        return value

    elif isinstance(value, basestring):

        while True:

            try:

                return unicode(value, encoding or UNICODE_ENCODING)

            except UnicodeDecodeError, ex:

                try:

                    return unicode(value, UNICODE_ENCODING)

                except:

                    value = value[:ex.start] + "".join(INVALID_UNICODE_CHAR_FORMAT % ord(_) for _ in value[ex.start:ex.end]) + value[ex.end:]

    else:

        try:

            return unicode(value)

        except UnicodeDecodeError:

            return unicode(str(value), errors="ignore")

# 目录创建

def mkdir_p(path):

    import errno

    try:

        os.makedirs(path)

    except OSError as exc:

        if exc.errno == errno.EEXIST and os.path.isdir(path):

            pass

        else: raise

# 获取当前所有文件路径

def getfilelist(cwd):

    filelist = []

    for root,subdirs, files in os.walk(cwd):

        for filepath in files:

            originalfile = os.path.join(root, filepath)

            if Special_path_str not in originalfile:

                filelist.append(originalfile)

    return filelist

# 计算机文件MD5值

def calcMD5(filepath):

    try:

        with open(filepath,'rb') as f:

            md5obj = hashlib.md5()

            md5obj.update(f.read())

            hash = md5obj.hexdigest()

            return hash

    except Exception, e:

        print u'[!] getmd5_error : ' + getUnicode(filepath)

        print getUnicode(e)

        try:

            ORIGIN_FILE_LIST.remove(filepath)

            FILE_MD5_DICT.pop(filepath, None)

        except KeyError, e:

            pass

# 获取所有文件MD5

def getfilemd5dict(filelist = []):

    filemd5dict = {}

    for ori_file in filelist:

        if Special_path_str not in ori_file:

            md5 = calcMD5(os.path.realpath(ori_file))

            if md5:

                filemd5dict[ori_file] = md5

    return filemd5dict

# 备份所有文件

def backup_file(filelist=[]):

    # if len(os.listdir(Special_path['bak'])) == 0:

    for filepath in filelist:

        if Special_path_str not in filepath:

            shutil.copy2(filepath, Special_path['bak'])

if __name__ == '__main__':

    print u'---------start------------'

    for value in Special_path:

        mkdir_p(Special_path[value])

    # 获取所有文件路径,并获取所有文件的MD5,同时备份所有文件

    ORIGIN_FILE_LIST = getfilelist(CWD)

    FILE_MD5_DICT = getfilemd5dict(ORIGIN_FILE_LIST)

    backup_file(ORIGIN_FILE_LIST) # TODO 备份文件可能会产生重名BUG

    print u'[*] pre work end!'

    while True:

        file_list = getfilelist(CWD)

        # 移除新上传文件

        diff_file_list = list(set(file_list) ^ set(ORIGIN_FILE_LIST))

        if len(diff_file_list) != 0:

            # import pdb;pdb.set_trace()

            for filepath in diff_file_list:

                try:

                    f = open(filepath, 'r').read()

                except Exception, e:

                    break

                if Special_string not in f:

                    try:

                        print u'[*] webshell find : ' + getUnicode(filepath)

                        shutil.move(filepath, os.path.join(Special_path['webshell'], ntpath.basename(filepath) + '.txt'))

                    except Exception as e:

                        print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filepath)

                    try:

                        f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')

                        f.write('newfile: ' + getUnicode(filepath) + ' : ' + str(time.ctime()) + '\n')

                        f.close()

                    except Exception as e:

                        print u'[-] log error : file move error: ' + getUnicode(e)

        # 防止任意文件被修改,还原被修改文件

        md5_dict = getfilemd5dict(ORIGIN_FILE_LIST)

        for filekey in md5_dict:

            if md5_dict[filekey] != FILE_MD5_DICT[filekey]:

                try:

                    f = open(filekey, 'r').read()

                except Exception, e:

                    break

                if Special_string not in f:

                    try:

                        print u'[*] file had be change : ' + getUnicode(filekey)

                        shutil.move(filekey, os.path.join(Special_path['difffile'], ntpath.basename(filekey) + '.txt'))

                        shutil.move(os.path.join(Special_path['bak'], ntpath.basename(filekey)), filekey)

                    except Exception as e:

                        print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filekey)

                    try:

                        f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')

                        f.write('diff_file: ' + getUnicode(filekey) + ' : ' + getUnicode(time.ctime()) + '\n')

                        f.close()

                    except Exception as e:

                        print u'[-] log error : done_diff: ' + getUnicode(filekey)

                        pass

        time.sleep(2)

        # print '[*] ' + getUnicode(time.ctime())

七、 自动提交

有的比赛只有几分钟一轮,手工提交其他队伍flag显然不行,需要准备批量提交flag的脚本:

八、 流量、日志

通过流量、日志的分析:

1.感知可能正在发生的攻击,从而规避存在的安全风险

2.应急响应,还原攻击者的攻击路径,从而挽回已经造成的损失

CTF线下赛AWD套路小结的更多相关文章

  1. CTF线下赛AWD模式下的生存技巧

    作者:Veneno@Nu1L 稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 原文:https://www.anquanke.com/post/id/8467 ...

  2. 某线下赛AWD

    拿别人比赛的来玩一下,或许这就是菜的力量吧. 0x01 任意文件读取: switch ($row['media_type']) { case 0: // 图片广告 ...... break; case ...

  3. 某团队线下赛AWD writeup&Beescms_V4.0代码审计

    还是跟上篇一样.拿别人比赛的来玩一下.  0x01 预留后门 连接方式: 0x02 后台登录口SQL注入 admin/login.php 在func.php当中找到定义的check_login函数 很 ...

  4. CTF线下防御战 — 让你的靶机变成“铜墙铁壁”

    本文首发安全客,未经允许禁止转载.原文链接 一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进 ...

  5. CTF线下awd攻防文件监控脚本

    CTF线下awd攻防赛中常用一个文件监控脚本来保护文件,但是就博主对于该脚本的审计分析 发现如下的问题: 1.记录文件的路径未修改导致log暴露原文件备份文件夹:drops_JWI96TY7ZKNMQ ...

  6. 2021江西省赛线下赛赛后总结(Crypto)

    2021江西省赛线下赛 crypto1 题目: from random import randint from gmpy2 import * from Crypto.Util.number impor ...

  7. ctf线下赛中检测外来IP的shell脚本

    该脚本可用于ctf线下赛中,用来检测攻击IP的接入,及时做出响应. #!/bin/bash #写自己队的ip ipA="172.22.60.230" ipB="172.2 ...

  8. 域渗透复盘(安洵CTF线下)

    复盘线下域渗透环境Write Up 0x01 外网web到DMZ进域 外网web入口 joomla应用   192.168.0.5 反序列化打下来 GET /index.php HTTP/1.1 Ho ...

  9. CTF线下攻防赛

    SSH登陆 两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改,改成炒鸡复杂.然后将Web目录下载下来,上WAF.文件监控.端口 ...

随机推荐

  1. Hibernate 应知应会

    Hibernate 的关联关系的配置: 一对一外键约束: 举例子是一个丈夫和妻子:[一个丈夫只能有一位妻子] 表结构: CREATE TABLE `tbl_hus` ( `uuid` ) NOT NU ...

  2. js中关于array的常用方法

    最近总结了一些关于array中的常用方法, 其中大部分的方法来自于<JavaScript框架设计>这本书, 如果有更好的方法,或者有关于string的别的常用的方法,希望大家不吝赐教. 第 ...

  3. jmeter链接多台负载机报错

    遇到常见的问题: 1.在Controller端上控制某台机器Run,提示“Bad call to remote host” 解决方案:检查被控制机器上的jmeter-server有没有启动,或者JMe ...

  4. vdbench测试过程中遇到的小问题

    1.报Slave hd2-0 prematurely terminated 错误 首先根据提示查看hd2-0.stdout.html文件获取更多的错误信息,这个问题一般是未安装vdbench或者路径不 ...

  5. word2013 如何套用模版

    文件-->选项-->加载项-->最下面下拉框选择“模版”-->点击转到

  6. 【NuGet】使用NuGet打包并发布至ProGet过程 (步骤详细,附python脚本)【上篇】

    一.基本知识 (1)NuGet : NuGet是一个为大家所熟知的Visual Studio扩展,通过这个扩展,开发人员可以非常方便地在Visual Studio中安装或更新项目中所需要的第三方组件, ...

  7. 十五分钟介绍 Redis数据结构--学习笔记

    下面是一个对Redis官方文档<A fifteen minute introduction to Redis data types>一文的翻译,如其题目所言,此文目的在于让一个初学者能通过 ...

  8. 线性判别分析(Linear Discriminant Analysis)

    1. 问题 之前我们讨论的PCA.ICA也好,对样本数据来言,可以是没有类别标签y的.回想我们做回归时,如果特征太多,那么会产生不相关特征引入.过度拟合等问题.我们可以使用PCA来降维,但PCA没有将 ...

  9. 给深度学习入门者的Python快速教程 - 基础篇(转)

    原文:https://zhuanlan.zhihu.com/p/24162430 5.1 Python简介 本章将介绍Python的最基本语法,以及一些和深度学习还有计算机视觉最相关的基本使用. 5. ...

  10. java中的null和""区别------&&与&的区别

    (1)问题一:null和""的区别String s=null;string.trim()就会抛出为空的exception String s=""; string ...