1.前置知识:
1)
2)AWD 常见比赛规则说明:
Attack With Defence:简而言之就是你既是一个 hacker,又是一个 manager。
比赛形式:一般就是一个 ssh 对应一个 web 服务,然后 flag 五分钟一轮,各队一般都有自己的初始分数,flag 被拿会被拿走 flag 的队伍均分,主办方会对每个队伍的服务进行 check,check 不过就扣分,扣除的分值由服务 check 正常的队伍均分。其中一半比赛以 WEB 居多,可能会涉及内网安全,当然还有pwn这些。
3)前期准备:
- 1.队伍分工明确
- 2.脚本工具环境完整
- 3.漏洞 POC/EXP 库完整
- 4.安全防御 WAF 及批量脚本完整
4)必备操作:
- 备份网站文件
- 修改数据库默认密码
- 修改网页登陆端一切弱密码
- 查看是否留有后门账户
- 关闭不必要端口,如远程登陆端口
- 使用命令匹配一句话特性
- 关注是否运行了“特殊”进程
- 权限高可以设置防火墙或者禁止他人修改本目录
涉及资源:
https://github.com/zhl2008/awd-platform
https://github.com/yemoli/prepare-for-awd
https://github.com/leohearts/awd-watchbird
https://github.com/DasSecurity-HatLab/AoiAWD
https://www.cnblogs.com/Triangle-security/p/11332223.html
2.流程:
在比赛开始的30分钟为准备期,大致流程就是:先部署waf、文件监控(防止攻击者删文件关闭服务而扣分)也同步进行着扫描后门,最后再进行代码审计。各种脚本、工具应该提前准备好,比赛期间可能无法连接外网,现写脚本不太现实。
awd平台搭建:https://www.cnblogs.com/Triangle-security/p/11332223.html
部署成功后可以看见实时的分数画面:
1)部署WAF-----实现第一时间拦截部分攻击----升级后续版:
最快第一时间操作,此类技术核心准备为各个环境的 WAF 部署(适用源码语言,比赛规则)。
推荐项目:
https://github.com/leohearts/awd-watchbird
https://github.com/DasSecurity-HatLab/AoiAWD(安恒,更综合)
不同语言不同环境,简单方便来说,php环境可以直接include包含waf文件即可,但其他语言要求不同,单一语言/项目无法适用,所以更推荐后边那个安恒的waf项目,现部署简单的防御着,再部署复杂的。
2)防守-----扫描后门—实现第一时间利用预留后门攻击----升级脚本版
最快第一时间操作,此类技术核心在于扫描源码中预留或隐藏后门(源码语言)。
官方可能会预留后门,需要防守方第一时间查杀删除,利用webshell扫描工具等,不同环境需要不同工具,有的工具可能有局限性,只适用于某一语言。
3)代码审计-----实现第一时间找出源码中安全漏洞-----升级漏洞库版
最快第一时间操作,简要分析可能存在的安全问题,配合流量监控及代码审计后续操作(框架及非框架,源码语言,漏洞库等)进行漏洞判定
常用的seay审计工具(只能扫php的漏洞)先扫,之后在用比较全面的fortify(支持各种语言)。
如何发现、利用就需要看知识储备量了,各种漏洞知识的积累。
4)防守-----文件监控-----实现第一时间监控当前目录文件操作-----升级行为监控
最快第一时间操作,在防守攻击时,实时监控当前目录文件上传删除等操作,有效防止恶意删除,上传后门等,后续可配合流量操作行为监控找出更多漏洞
部署监控脚本:即时监控、删除别人可能上传的文件;同时也要部署备份恢复文件脚本:经常备份文件,防止别人删除文件导致不断扣分:
文件监控只能防止文件上传操作,但若本身存在诸如命令执行的漏洞,那么我们就需要同时配合着流量监控,同时自我代码审计,不断修复自身漏洞。
5)攻击------批量Flag----实现第一时间利用脚本批量Flag得分------升级权限维持版
攻击第一时间操作,写好批量获取 Flag 脚本后,预定 Flag 更新时间,实现自动获取及提交,升级后门写入及不死马等操作,实现权限维持实时获取得分
批量flag,考验现写简单脚本能力,不同漏洞编写不同的exp,并且flag动态更新,若一直没有修复就会被懂得利用的别人一直刷分。运行脚本,读取flag后,只要环境没问题,可以在界面实时看到分数增加、扣除。
搅屎棍:
除了硬性技术外的其他技巧,发送大量垃圾数据包夹杂着真实攻击,混淆真实目的,增加别人看流量、日志压力。
