赛前准备
防守机准备:
netstat -antpu 查看当前运行进程。
netstat -antpu | grep tcp | grep ESTABLISHED 查看当前tcp已连接的进程
netstat -antpu | grep tcp | grep ESTABLISHED >index.txt 将输出结果重定向至index.txt文件中,在安全状态时运行此命令,以后就以本文件为模板比较
准备一个脚本,在被攻击之后,执行脚本屏幕会打印比安全状态下多出的进程,尤其方便进程数太多之后不好查杀的工作
import os
res = os.popen('netstat -antpu | grep tcp | grep ESTABLISHED')
res = res.read()
with open('index.txt', 'r') as fp:
lines = fp.readlines()
res_list = res.split('\n')
for r in res_list:
flag = 1
for line in lines:
if cmp(r.strip(), line.strip()) == 0:
flag = 0
break
if flag:
print r
我使用菜刀连接我的服务器之后,运行脚本,接着就出现异常进程了。
这时就可以使用kill -9 22046(进程号PID)将其杀死,但是菜刀有复连功能,所以进程还会存在。
赛后总结
这次比赛我感觉异常失败,昨晚ftp弱密码爆破,匿名登陆,遍历目录这些漏洞都是看到过的,mysql弱密码爆破直连3306,连接后执行sql命令查看文件内容,获取flag。今天问了问主办方,存在漏洞不止一处弱口令,文件包含,目录遍历常规漏洞都存在,要学习的还有很多。