搭建CTF-AWD训练平台

最新推荐文章于 2024-05-15 16:31:47 发布
置顶 最新推荐文章于 2024-05-15 16:31:47 发布
阅读量5.8w 收藏 114
点赞数 50
分类专栏: # CTF 文章标签: CTF AWD平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanghelouzi/article/details/90204325
版权

下载

git clone https://github.com/zhl2008/awd-platform

项目大小是429.03M,下载了整整一个小时
在这里插入图片描述

项目说明

AWD线下环境启动说明

by Hence Zhang @Lancet

比赛的环境介绍:

服务器全部以docker形式部署在同一台虚拟机上。

Check_server:
服务检查服务器,用于判定选手维护的服务是否可用,如果不可用,则会扣除相应的分数。不开启任何端口。需要与flag服务器通信。

Flag_server:
选手提交flag的服务器,并存储选手的分数。开启80端口。

Web_server:
选手连接的服务器,选手需要对其进行维护,并尝试攻击其他队伍的机器。通常开启80端口,22端口,并将端口映射到主机。

比赛逻辑拓扑:
在这里插入图片描述
比赛入口服务器
比赛启动
1.根据当前队伍数量copy所有的队伍的比赛文件夹:

python batch.py web_dir team_number

for example: python batch.py web_server 5

2.启动比赛:

python start.py ./ team_number

​ for example: python start.py ./ 5

3.启动check脚本:

docker attach check_server

python check.py

比赛参数

Flag 提交: 172.17.0.6:80/flag_file.php?token=teamx&flag=xxxx (x为你们的队伍号)
比赛规则(新):

1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接;

2.每台docker主机上运行一个web服务或者其他的服务,需要选手保证其可用性,并尝试审计代码,攻击其他队伍;

3.比赛开始后,前30分钟,选手维护各自的主机,在这个阶段,所有的攻击和服务不可用不影响分数;

4.选手可以通过使用漏洞获取其他队伍的服务器的权限,读取他人服务器上的flag并提交到指定的flag服务器:

http://flag服务器IP:端口/fflag_file.php?token=队伍token&flag=获取到的flag 来获得相应的分数。

例如:flag server地址为8.8.8.8,端口为8080,队伍token为team1,flag为40ed892b93997142e46124516d0f5ac0,则请求http://8.8.8.8:8080/fflag_file.php?token=team1&flag=40ed892b93997142e46124516d0f5ac0来获得相应分数。

每次成功攻击可获得2分,被攻击者扣除2分;有效攻击两分钟一轮;

5.选手需要保证己方服务的可用性,每次服务不可用,扣除1分,服务可用,加1分;服务检测两分钟一轮;

6.选手可以从flag服务器上获取所有的攻击情况以及当前的分数:

攻击情况url地址:http://flag服务器IP:端口/result.txt

得分情况地址:http://flag服务器IP:端口/score.txt

7.不允许使用任何形式的DOS攻击
比赛规则(旧):

1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接;

2.每台docker主机上运行一个web服务或者其他的服务,需要选手保证其可用性,并尝试审计代码,攻击其他队伍;

3.比赛开始后,前30分钟,选手维护各自的主机,在这个阶段,所有的攻击和服务不可用不影响分数;

4.选手可以通过使用漏洞获取其他队伍的服务器的权限,并在他人服务器上请求如下地址:

http://flag服务器IP:端口/flag.php?token=队伍token来获得相应的分数。

例如:flag server地址为8.8.8.8,端口为8080,队伍token为team1,则请求http://8.8.8.8:8080/flag.php?token=team1来获得相应分数。

每次成功攻击可获得2分,被攻击者扣除2分;有效攻击两分钟一轮;

5.选手需要保证己方服务的可用性,每次服务不可用,扣除1分,服务可用,加1分;服务检测两分钟一轮;

6.选手可以从flag服务器上获取所有的攻击情况以及当前的分数:

攻击情况url地址:http://flag服务器IP:端口/result.txt

得分情况地址:http://flag服务器IP:端口/score.txt

7.不允许使用任何形式的DOS攻击

配置

下载成功之后进入项目目录

cd awd-platform

项目目录,其中的web_xxxx为awd赛题
在这里插入图片描述
下载docker镜像

sudo docker pull zhl2008/web_14.04

紧接着就是修改docker镜像的名称(不改名称的话请去修改代码)

sudo docker tag zhl2008/web_14.04 web_14.04

然后就可以按照文档里面的说明进行操作
在这里插入图片描述
例如:我创建两个队伍,使用的赛题是web_yunnan_simple

python batch.py web_yunnan_simple 2

启动比赛

python start.py ./ 2

check模块有问题的,不能正常使用,需要的可以自行依据赛题环境修改check代码,规则大概是文件存在check通过,不存在check失败扣分。
在这里插入图片描述
然后就会在项目根目录下会生成以队伍名称命名的目录
在这里插入图片描述
靶机端口映射规则

team1 - 8801
team2 - 8802
...

ssh端口映射规则

team1 - 2201
team2 - 2201
...

ssh连接密码awd-platform/pass.txt

team1:ctf:6f1704cbabd4e013bcdbd979665f2a9b
team2:ctf:ab0253740d7974fefb474f2f7e2da2c9

至此,赛题环境全部搭建起来了,下面是效果演示:
web界面
在这里插入图片描述
ssh 登陆
在这里插入图片描述
提交flag
在这里插入图片描述
初始分数榜(如果提交flag之后分数没有变,请修改score.txt的权限),有点low,可以自己写一个排行榜。
在这里插入图片描述
比较懒直接使用dalao@夜莫离的模板直接修改了。
在这里插入图片描述
比赛或者练习结束之后,需要清除docker环境,可以使用下面的命令(注:初始项目执行会直接删除所有的CONTAINER,需要自己修改代码,血的教训)

sudo python stop_clean.py

踩坑有点多,完

huanghelouzi
关注
  • 50
    点赞
  • 114
    收藏
    觉得还不错? 一键收藏
  • 60
    评论
专栏目录
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
CTF-AWD-WEB AWD 模式下的WEB试题仓库 上传一些参加过的CTF线下赛AWD模式的WEB试题等
AWD平台搭建与使用入门
Flynn的博客
03-16 1万+
简单介绍 平台搭建 因为平台已经做的比较集成化,所以安装还是很简单的。 首先需要下载赛题项目 git clone https://github.com/zhl2008/awd-platform #这一条命令可以将文件下载到当前工作目录,文件名为awd-platform 因为项目地址是在github上面,所以对某些国内用户可能会有一些网络问题,这里博主搬运了一下,上传到csdn上面了。(点击前往) 然后需要下载docker sudo apt install docker.io 这里如果没有更换ap
2024年最全搭建CTF-AWD训练平台_by hence zhang@lancet,2024年最新熬夜整理最新大厂C C++高频面试题
最新发布
2401_84978595的博客
05-15 386
Flag 提交: 172.17.0.6:80/flag_file.php?token=teamx&flag=xxxx (x为你们的队伍号)比赛规则(新):1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接;2.每台docker主机上运行一个web服务或者其他的服务,需要选手保证其可用性,并尝试审计代码,攻击其他队伍;3.比赛开始后,前30分钟,选手维护各自的主机,在这个阶段,所有的攻击和服务不可用不影响分数;:端口/fflag_file.php?
AWD平台搭建(Cardinal 从零开始) 2021/11/17
mumuzi的博客
11-17 1万+
#Time 2021/11/17 因为之后要在校内组织AWD比赛,所以在github上找了一会,试了试最多star的,虽然说好用但是没有好康的界面,全是一堆代码感觉很枯燥,于是最终还是选择了使用Cardinal来搭建。中间有一些坑点都已解决。 Cardinal环境搭建 环境の搭建 选择debain和ubuntu应该都没问题,我选的是debain9.9 首先拿到一台新的机器,基操 sudo apt-get update sudo apt-get upgrade 其次,因为要用到docker,所以之后我们
关于awd赛制的学习路程·环境搭建
m0_61361405的博客
09-01 227
在安装好了之后会发现:在Ubuntu中复制的内容,在主机中并不相通。(当然这和搭建环境并没有什么关系,但是之后在其他网页复制代码什么的会方便很多)
CTF-AWD-Yunnan_1防守和攻击
御七彩虹猫
03-24 2625
CTF-AWD-Yunnan_1防守和攻击
CTF - AWD (Attack with Defense) 线上下赛 攻防平台
微风飘呀飘
05-28 5730
Ti0sAWD是由 Ti0s-Team 开发的 awd 竞技攻防平台,使用 PHP + Mysql 编写。 本程序可以作为 CTF 线上 线下比赛平台,亦可用于团队内部 AWD 模拟训练 推荐服务器 4H8G + 20G + Centos 网站架构: 前端:Materialize CSS +jQuery +部分Bootstrap,采用Html + Ajax动态刷新页面 后端:纯PHP 数据库:Mysql Awd 网络攻防竞技系统模式 基于Docker服务的Aw...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
awd-platform-master.zip
09-07
2. **CTF-AWD平台架构**:这个平台可能包含多个组件,如Web服务器、数据库、漏洞靶机、防御系统等,每个组件都可以作为一个独立的Docker容器运行。这样可以方便地扩展和更新各个部分,同时保持系统的灵活性和可维护...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用...
DockerHub快速搭建安全环境
08-14
dockerhub 快速搭建基础环境、安全环境。Dvwa WebGoat Snort ELK openvas mysql redis Oracle Weblogic tomcat nginx websphere jboss Struts2实例 juice-shop centos
AWD自动提交flag脚本
09-01
AWD自动提交flag脚本
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
概述 基于Django框架开发,同时kvm虚拟化和SDN技术的使用带给了使用者强大的靶机攻防体验。开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。 技术栈 python3.6 + Django 2.1.7 + 10.3.9-MariaDB or Mysql-8.0 + REST Framework 3.9.2 + xadmin + Celery + Vue 部署 基于ubuntu 18 LTS版本 安装mysql、redis 并在setting.py中配置连接信息 创建虚拟环境基于python3.6 安装requirements.txt中的依赖包,如果报下面的错误 OSError: mysql_config not found sudo
awd攻防训练赛1
soldi_er的博客
05-28 2907
文章目录前言1.服务器运维2.攻击环节探测其他队伍主机攻击总结反思 前言   学校战队的几个人简单尝试了一下bugku的线上awd攻防赛,做个记录。 1.服务器运维   下载Web源码:xftp连接192-168-1-247.pvp254.bugku.cn/,在/var/www/html目录下有网站源代码.zip,下载。   连接服务器主机:ssh连接服务器,以team2身份在根目录下寻找主机上的flag文件。 find / -name "*flag*" 2.攻击环节 探测其他队伍主机   编写Pyt
AWD训练赛QWQ
Welcome To Myon'Blog !
10-08 259
MySQL 5.7.6版本以下,才能使用此方法来修改密码,从MySQL 5.7.6版本起,user表使用authentication_string列代替之前版本中的password列来存储密码,并且它删除了password列。这样只要不是本地的ip(这里指的是非队伍白名单里的ip)都无法使用cms用户来远程连接我们的数据库了,当然更不能查看到我们修改后的网站登录密码。但是这是一个错误的flag,不知道是完全错误的还是进行了加密的,有大佬可以告知一下原因吗?
CTF线下赛AWD知识点【持续完善ing】
leekos的博客,分享web安全相关知识~
07-28 1312
即攻防对抗,比赛中每个队伍维护多台服务器(一般两三台,视小组参赛人数而定),服务器中存在多个漏洞(web层、系统层、中间件层等),利用漏洞攻击其他队伍可以进行得分,加固时间段可自行发现漏洞对服务器进行加固,避免被其他队伍攻击失分。在AWD中,一般都需要专门防御加固自己服务器的环节,但加固的很多操作都会涉及到root权限,如果直接给root权限最好,但一般只会给一个普通权限账号,这时候往往就需要给服务器提权了。,可以利用脚本发生大量垃圾数据包,混淆视觉,给对方人员增加检测的难度,浪费对方的时间。
AWD平台搭建--Cardinal
墨子辰的博客
01-28 9108
AWD搭建步骤一、前提摘要二、环境准备三、启动mysql,创建数据库四、搭建Cardinal平台五、靶机搭建六、Cardinal上部署靶机七、连接Asteroid大屏 先看一个成品炫酷图 一、前提摘要 Cardinal由Vidar-Team团队开发,接受并允许各大高校、安全团队、技术爱好者使用 Cardinal 作为比赛训练平台或举办内部训练赛。 但不允许在未经许可授权的情况下,使用 Cardinal 的代码、文档、相关软件等开展商业培训、商业比赛、产品销售等任何营利性行为。禁止恶意更换、去除 Cardi
CTF——AWD模式小总结
热门推荐
weixin_46079186的博客
11-04 1万+
本文以bugku平台awd比赛来写 awd 比赛平台 一、防御(比赛开始有30分钟防御时间) 比赛开始得到一个 靶机,如下信息ssh 用户名和密码,还有虚拟ip 然后我们ssh 连接进行防御,这里我推荐使用Xshell配合Xftp使用,打开xshell 新建一个连接,写入相应信息 填入用户名还有密码,然后点击连接 2. 进入之后我们直接点击,xftp按钮(目的: 需要连接xftp下载文件) 连接成功后如下 进入/var/www将html文件下载下来 (目的是扫描是否存在后门,还有代码审计
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 60
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值