CTF-AWD入门手册

最新推荐文章于 2024-03-15 20:01:23 发布
最新推荐文章于 2024-03-15 20:01:23 发布
阅读量5.7k 收藏 140
点赞数 17
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/128611701
版权

引文

AWD赛制是一种网络安全竞赛的赛制。AWD赛制由安全竞赛专家及行业专家凭借十多年实战经验,将真实网络安全防护设备设施加入抽象的网络环境中,模拟政府、企业、院校等单位的典型网络结构和配置,开展的一种人人对抗的竞赛方式,考验参赛者攻防兼备的能力。其主要特点为:强调实战性、实时性、对抗性,综合考量竞赛队的渗透能力和防护能力。本文就个人经验来讲一下AWD比赛中需要做的事。

站点部署

比赛开始时我们会分配到一个至多个靶机,通常是分配给我们ssh 用户名和密码还有虚拟ip等信息,我们需要自己去连接靶机。个人推荐使用xshell搭配xftp来使用,当我们连接靶机之后要做什么呢。

dump源码

比赛开始第一件事,dump网站源码,使用ssh工具保留源码,复制两份,用d盾去扫一份,因为当我们靶机受到攻击时对手可能直接删除我们的源码导致靶机DOWN机,而通常比赛中主办方会在源码中留有一些后门,我们用D盾去扫描一下来进行修复攻击

数据库备份

我们登录数据库来进行备份,当数据被删除时可以使用命令快速还原。

mysqldump -u db_user -p db_passwd db_name > 1.sql //备份指定数据库

还原命令:

mysql -u db_user -p db_passwd db_name < 1.sql //还原指定数据库

修改密码

当主办方给我们的连接密码过于简单时,不排除对手先登录我们靶机来进行破坏,于是我们要快速修改弱口令密码。

linux修改ssh即本地密码:

passwd

修改mysql登录密码:

mysql>set password for root@localhost =password('xino');

关闭不必要端口

一些端口会存在漏洞,为了保证安全我们关闭一些不必要的端口来进行维护:

最低0.47元/天 解锁文章
哈喽沃德er
关注
  • 17
    点赞
  • 140
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AWD竞赛全流程解析
m0_74131821的博客
05-20 3182
AWD是一个非常有意思的模式
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
CTF-AWD-WEB AWD 模式下的WEB试题仓库 上传一些参加过的CTF线下赛AWD模式的WEB试题等
awd比赛可用的自动化获取flag脚本。.zip
09-30
awd比赛可用的自动化获取flag脚本。
AWD:赛前准备工作以及深度脚本讲解
薯片薯条的博客
11-10 9977
有幸被邀请代表学校去参加线下攻防,也就是俗称的AWD比赛。 当然,在这一方面我也只能算是小白,所以希望各位大佬在看完我写的博客以后能指正一些错误。 一.比赛介绍 AWD赛制是按照分组来进行比赛的。每组3-4人,经过不同的分工,从而实现对服务器的维护以及对其他人的服务器进行攻击。 每个服务器都会有一个提前放好的有漏洞的网站,需要进行代码审计,然后修补漏洞。 举个例子,某些参数一可以参杂系统的cmd命令上来,如果执行成功,就会获取你服务器上某个文件夹下的flag.txt的内容,一旦获取成功,就代表被攻破。 .
AWD攻防比赛指导手册
瓦罗兰特顶级C位的博客
01-04 2422
「 攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛CTF Capture The Flag」 几种主要的比赛模式之一,该模式常见于线下赛。
CTF-AWD
weixin_45042115的博客
10-04 4225
CTF-AWD AWD (Attack With Defence),比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。简而言之就是你既是一个hacker,又是一个manager。 必备操作: 备份网站文件 修改数据库默认密码 修改网页登陆端一切弱密码 查看是否留有后门账户 关闭不必要端口,如远程登陆端口 使用命令匹配一句话特性 关注是否运行了“特殊”进程 权限高可以设置防火墙或者禁止他人修改本目录 防御 ssh远程登录 一、口令登录 口
AWD的那些事
战神/calmness的博客
12-23 4650
介绍 AWD全称 Attack With Defence 总之就是你既是 hacker 又是 manager ;目标就是拿到其他战队靶机的shell 即可,通过shell 访问 flag服务器,得到flag后提交得分; 攻击-发现漏洞 防御-修复漏洞 比赛形式与规则 服务器主要是包括WEB靶机和PWN靶机,服务器基本上为linux系统在系统某处存在flag或者执行某条命令获取flag flag 定时刷新,每隔一段时间会生成新的flag,攻击者可以提交新的flag 来得分,但不可重复提交相同的...
CTF——AWD模式小总结
jennycisp的博客
08-30 2159
sshipXshellXftp2. 进入之后我们直接点击,xftp按钮(目的: 需要连接xftp下载文件)连接成功后如下进入/var/www将html文件下载下来 (目的是扫描是否存在后门,还有代码审计等)wafwatchbird攻击xshell4. 运行waf 之后,打开我们的web 页面,在任意一个php 页面后面输入,就会进入到waf 配置页面然后设置密码(这边我没截图我直接在本地搭建一个截图凑合看)配置好了之后就会进入到内部然后这里查看日志。
ctf-all-in-one
01-30
ctf-all-in-one
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-WEB入门DOC-2019版1
08-03
CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
AWD比赛入门攻略总结
最新发布
qq_64162562的博客
03-15 1095
最近参加了一些AWD比赛,之前没怎么接触过,顺带做个总结,希望能帮助到大家。
Bugku S3 AWD排位赛-3(带你入门awd流程)
Welcome To Myon'Blog !
09-03 3182
1、注意事项 2、xshell连接与html目录下载 3、D盾与河马的使用(文件扫描) 4、Seay的使用(代码审计) 5、爆破对手的IP地址 6、其他 (1)mysql远程访问漏洞 (2)Redis未授权访问漏洞 (3)pwn漏洞
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值