十一月份线下AWD心得

最新推荐文章于 2024-03-15 20:01:23 发布
最新推荐文章于 2024-03-15 20:01:23 发布
阅读量398 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TM_1024/article/details/109748872
版权

网络安全 脚本自动化 代码审计 权限维持 比赛心得
关键词由CSDN通过智能技术生成

前言

  • 非常幸运的在11月份参加了3场线下赛。包括工业互联网安全技能大赛、湖湘杯、太湖杯。
  • 很显然,被打爆,其中太湖杯,电脑全程无响应,虽然响应也不会,但属实很是郁闷。

心得

  • 各种脚本确实不能少,现写不太妥,就比如湖湘杯,一拿到手ssh,账号密码ubuntu/venus。虽然不知道其它队伍是不是这样的,但很明显是弱密码,上手批量改ssh密码,如果成功不是爽的一匹吗?

  • 然后第二步,备份源码,备份数据库,可以写一个.sh文件,将一些命令直接写死。一键执行。数据库千万别忘了,打比赛时有个队写脚本循环删你数据库,恶心人。

  • 备份好开始防一波,上文件监控、流量监控脚本各种功能脚本。注意不要破坏服务的完整性,不要直接被判cheak失败。脚本最好自己写更熟悉,不然用的时候出现各种问题就可能不好解决。脚本可以打包为可执行程序,这样用的话更方便,值得研究,如何把脚本写的更好。

  • 再就可以开始审计代码,找利用点,一般来说。会有预留后门能直接利用或者说很明显的洞,直接D盾或者其它工具扫一下可能就出来了,然后删除自己靶机上的利用点后可以用脚本批量打,比谁反应能力快,写的脚本好。利用好第一波,就能"利滚利"一样利好后面的形式。

  • 然后权限维持,写马,不死马确实是有效,有一点经验之谈。把马写在除web目录外的位置。用sh

最低0.47元/天 解锁文章
风过江南乱
关注
专栏目录
应急挑战杯大学生网络安全邀请赛 AWD 靶机题目源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 应急挑战杯大学生网络安全邀请赛 AWD 靶机题目源码+学习说明.zip
awd 线下攻防java防护_AWD攻防工具脚本汇总(二)
weixin_29150151的博客
03-03 1739
情景五:批量修改ssh密码拿到官方靶机第一件事改自己机器的ssh密码,当然也可以改别人的密码~import paramikoimport sysssh_clients = []timeout = 5new_password = "qing_@3389.."def get_flag():passclass SSH_Client():def __init__(self, host, port, use...
AWD平台搭建
qq_53365842的博客
03-28 5608
这里采用github开源的AWD平台: https://github.com/vidar-team/Cardinal 搭建平台 查看教程和官方文档 https://cloud.tencent.com/developer/article/1744139 发现需要下载Cardina版本,查看官方文档下载 https://cardinal.ink/guide/install.html#release-%E5%AE%89%E8%A3%85-%E6%8E%A8%E8%8D%90 https://github.c
awd 线下攻防java防护_关于AWD线下攻防的经验
weixin_36436683的博客
02-26 474
# -*- coding: utf-8 -*-#use: python file_check.py ./import osimport hashlibimport shutilimport ntpathimport timeCWD = os.getcwd()FILE_MD5_DICT = {} # 文件MD5字典ORIGIN_FILE_LIST = []# 特殊文件路径字符串Specia...
国赛分区赛awd赛后总结-安心做awd混子
Love&Share
06-30 9280
转载于安全客我自己发的哈~,感兴趣可以点链接进 https://www.anquanke.com/post/id/245158 安全客 - 有思想的安全新媒体 最近参加了国赛分区赛,我所在的分区正好是awd赛制,所以总结了下关于awd的基操,方便新手入门 简单来说就是三步 登录平台,查看规则,探索flag提交方式,比赛开始前有时间的话使用nmap或者httpscan等工具扫一下IP段,整理各队的IP(靶机的IP应该是比赛开始后才会给出) 登录ssh->dump源码->D盾去后门->一人写
CTF线下AWD脚本合集.zip
03-31
CTF(Capture The Flag)线下AWD(Attack-Defence,攻击防御)脚本合集是一份专为网络攻防比赛设计的资源包,适用于初学者和那些希望在比赛中快速得分的选手。这个合集主要面向的是那些对网络安全有一定兴趣,但又不...
一个线下 AWD 比赛的自动化工具.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
CTF线下AWD脚本合集
最新发布
08-25
本人在长城杯、蓝桥杯、巅峰极客等线下AWD攻防比赛所用到的全部工具(如WAF、EDR、文件监控脚本、文件还原脚本、混淆战局工具、流量监控工具、批量拿分脚本模板)和脚本以及教程及笔记还有练习平台和靶场源码,并...
郁离歌的awd线下攻防经验.pdf
06-22
网络安全攻防线下awd模式攻防 来自 郁离歌
各种awd工具,工具集合
10-21
在网络安全领域,AWD(Attack vs ...总的来说,这个压缩包提供的工具和资料集对于参加AWD线下赛的网络安全爱好者来说是非常宝贵的资源。通过深入学习和实践,可以提升自己的网络攻防技能,更好地应对实际的网络挑战。
Java反序列化漏洞修复
Dove_Knowledge的博客
10-27 1837
1、jar包反编译(JD-GUI) 2、反编译后的进行代码审核,看是否有前端payload中的数据直接被反序列化(如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。) 3、修复方案 (1)重写 ObjectInputStream#resolveClass 方法resolveClass 会在 readObject 前自动触发,我们可以通过重写 resolveClass 来读取类名,判断使
awd 线下攻防java防护_2017强网杯线下AWD攻防总结(适合新手)
weixin_29184371的博客
02-26 1383
这篇文章首发于个人博客https://iewoaix8736.github.io/鉴于刚建立博客,比较少人看,所以在t00ls分享给大家,欢迎来交流前言:本菜为高校组,这篇文章适合新手学习参考(dalao飘过,不喜勿喷)AWD攻击这次线下攻防用的是一个Finecms,版本是5.0.9的之前对这个cms并不了解现在复现一下,从哪里跌倒,就从哪里爬起来。朋友给我看了他审计的一片文章http://www...
awd 线下攻防java防护_AWD: AWD线下攻防常用Python库
weixin_29367103的博客
02-26 844
awdphpspear米斯特安全团队放错了...AWD线下攻防常用库 基于Python2.7Extend_Module Author:@Virtua1Vision 0.0.7主要更新了防御模块。修复了一些bug,之前流量监控脚本和文件守护脚本无法同时开启,现在文件守护脚本不会守护txt文件了,所以流量监控生成的日志不会再被移除。移除了一些文件守护版本不成熟的功能。增加了文件监控,不会自动修复了,避...
awd 线下攻防java防护_CTF线下攻防AWD的技巧【1】
weixin_26732855的博客
02-26 983
本帖最后由 80743522 于 2018-12-22 23:04 编辑今天开启在i春秋分享的第一个话题--AWD的攻防技巧及生存之道本话题可能不会讨论一些具体的技术,更多的是给师傅们分享一下思路一个人的力量是薄弱的,希望及时得到师傅们的补充和建议,本话题将分为三期讲解笔者的AWD攻防经验相对于传统的CTF夺旗来说,AWD的变数更大,对于选手应变能力和处理问题的心态有很大的挑战,并且由于环境限制,...
第一次awd感想
weixin_45097188的博客
12-08 1172
下面来说一下本次打awd遇到的坑以及收获 开头来先吐槽一番 作为一个逆向菜鸡,第一次打awd攻防竞赛也是懵的一批,本次awd是本校与省内几个高校共同办的一个小型的内部线下竞赛。毕竟这次没有高年级的大佬参加,所以虽然打的懵,但是还不至于被打的人都傻了。 至少后面几轮解出漏洞来也是疯狂的对别的队进行疯狂输出,无奈脚本没打通,只能手动提交flag,最后交的手都抽筋了也不过打了近1000分最左右,真是太菜...
2018.11.24上海市网络安全大赛线下AWD感想杂谈
uiop_uiop_uiop的博客
11-24 1768
第一次参加线下赛,虽然对web方面的知识目前还不是很懂,这次比赛主要是去长长见识,并成功入坑web 比赛是9:30正式开始,大约在9:00的时候就到现场打开电脑进行准备操作了,期间是介绍某某嘉宾的开幕式不用管。这时候先把要启动的虚拟机软件啥的先准备好,然后仔细去阅读主办方下发的比赛材料。这里贴一下这次比赛我们的文档作为样例,理解全场环境的网络拓扑环境。把网线插上DHCP或者按照主办方要求修改IP...
第一次玩AWD总结
qq_33319299的博客
07-23 3631
第一次玩AWD总结 第一次玩AWD,全靠大佬带,自己就像流水线工人样,一直提交大佬发的 flag
AWD流程总结-纸上谈兵向
qq_41513009的博客
09-21 1290
awd流程总结
AWD比赛入门攻略总结
qq_64162562的博客
03-15 1384
最近参加了一些AWD比赛,之前没怎么接触过,顺带做个总结,希望能帮助到大家。
CTF线下赛解题策略与技巧手册
"CTF线下赛思路总结手册.pdf" 在CTF( Capture The Flag)线下赛中,参赛者通常会遇到各种网络安全挑战,涵盖Web安全、逆向工程、密码学、取证分析等多个领域。本手册主要关注的是Web安全部分,提供了一系列的解题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值